• La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Une du journal La Tribune

Dernière édition

Flèche menu déroulant
Newsletters
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat
Logo La Tribune
  • Économie
  • Finance
  • Tech & IA
  • Énergie & industrie
  • Transports
  • Défense & aérospatiale
  • Climat

Sélectionnez votre région

Logo La Tribune

RECHERCHER

Loupe

LTD
La Tribune Dimanche
Ouvrir dans une nouvelle fenêtre
Air&Cosmos icon
Air&Cosmos
Ouvrir dans une nouvelle fenêtre

À la une
  • Finances publiques
  • Fiscalité
  • Immobilier
  • Consommation
  • Distribution
  • Politique internationale
  • Finances personnelles
  • Banque & assurances
  • Marchés financiers
  • Intelligence artificielle
  • High tech
  • Télécoms
  • Start-up
  • Énergie
  • Politique industrielle
  • Chimie & pharmacie
  • Automobile
  • Mobilités
  • Aéronautique
  • Défense
  • Spatial
  • Environnement
  • Agriculture & agroalimentaire
Idées & débats
Kiosque numériqueNewsletters
La Tribune DimancheLa Tribune AfriqueAir&Cosmos
  • La Tribune Now
  • Votre argent avec Finance Héros
  • Construire les mobilités de demain
  • Fonction Finance 2.0 avec Cegid
  • Transformations durables avec Forvis Mazars
  • Accélérer avec le Cloud par AWS
  • Fisher Investments
  • Au coeur du business
  • VisionAir avec Bpifrance
  • Adaptabilité permanente : Le pouvoir d’agir avec IBM Consulting
  • Succès d'entreprises avec Deloitte
  • L'Œil sur vos Finances
  • Les Rencontres de Roissy Meaux Aéropôle
  • France Travail accompagne le Salon des Maires
  • La CCI Paris Ile-de-France, le réflexe des entrepreneurs
  • #La Tribune Business Interviews
  • #La Tribune Business Dossiers
  • #La Tribune Business TV
  • Instant Sélection
Événements
Entreprises & FinanceBanques / Finance

Paiement en ligne: le SMS anti-fraude n’est pas encore mort

Juliette Raynal

Publié le 25 septembre 2019 à 04:48

Le Quotidien Numérique

18 juillet 2026

Photo d'illustration de l'article
LireS'abonner

Les plus lus

  • 1

    Incendies : Positive Aviation franchit une étape décisive pour transformer un ATR en alternative au Canadair

  • 2

    Moyen-Orient : la guerre du détroit aura bien lieu

  • 3

    Cyclisme : du changement dans la direction de l'équipe de Paul Seixas

  • 4

    Pétrole : le Panama va prendre la main sur un oléoduc, « l'une des infrastructures stratégiques les plus importantes du pays »

  • 5

    Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

  • 6

    « L'effort concerne tout le monde » : David Amiel, ministre des Comptes publics, alerte sur le budget

Régions

  • Auvergne-Rhône-Alpes
  • Bourgogne-Franche-Comté
  • Bretagne
  • Centre-Val de Loire
  • Corse
  • Grand Est
  • Hauts-de-France
  • Île-de-France
  • Normandie
  • Nouvelle-Aquitaine
  • Occitanie
  • Pays de la Loire
  • Provence-Alpes-Côte d'Azur

La Tribune +

  • Espace abonné
  • Kiosque numérique
  • Annonces légales
  • Déposer vos annonces légales

Services

  • Supplément
  • La Tribune now

Evénements

  • ACT50
  • Aéroforum
  • AIM
  • Bordeaux Solar Summit
  • Family & Business Forum
  • Forum Europe Afrique
  • Impacts Santé
  • Les Lauréates
  • Paris Air Forum
  • Sommet Aéronautique & Spatial de Bordeaux
  • Sommet Économique de la Corse
  • Tech For Future
  • World News Media Congress
  • Tous nos événements en régions

Pour gérer vos consentements,

Suivez-nous sur les réseaux sociaux

YouTube
LinkedIn
Facebook
Instagram
X

Application mobile

App Store
Google Play

  • Nous Contacter
  • Charte d'indépendance et de déontologie
  • Mentions Légales
  • CGU
  • CGU Pro
  • Gestion des cookies
  • Exercez vos droits
  • Politique de confidentialité

Droits de reproduction et de diffusion réservés @LaTribune

Partenaire digital de confiance - Certification de qualité
  • La Tribune
  • La Tribune Dimanche
  • La Tribune Afrique
  • Air&Cosmos
  • |
  • Événements
  • L'instant Sélection
Google icon
Ajouter La Tribune à vos sources préféréesAjouter La Tribune à vos sources préférées
Le SMS envoyé par les banques lors d’un achat sur Internet a permis de baisser le taux de fraude. Mais la directive européenne sur les paiements impose d’utiliser de nouvelles méthodes de sécurité renforcées… complexes à déployer.

Vous venez de choisir sur Internet des billets de train pour un week-end à Saint-Malo, mais pour finaliser votre transaction et rendre cette petite escapade possible, une dernière étape est indispensable : il vous faut renseigner dans une fenêtre de dialogue les six chiffres que votre banque vous a envoyés par SMS. Cette méthode de sécurisation des paiements, que l'on appelle dans le jargon SMS OTP (pour « one time password », qui signifie « mot de passe à usage unique »), vise à vérifier que le détenteur de la carte bancaire est bien à l'origine du paiement. Elle est apparue en France en 2008 et s'est généralisée, sans être obligatoire, au début des années 2010. Aujourd'hui, près de 40 % des transactions sur Internet en France font l'objet d'une authentification via ce type de message. Contraignante pour certains, rassurante pour d'autres, elle s'apprête à disparaître. Mais beaucoup plus progressivement que prévu.

La nécessité d'authentifier plus fortement

« Depuis sept ans, le taux de fraude par carte bancaire sur Internet baisse grâce à l'introduction de cette technologie », souligne-t-on à la Banque de France. Mais, la nouvelle directive européenne sur les services de paiement (DSP2) visant à renforcer la protection des consommateurs estime que la sécurité apportée par cette méthode n'est plus suffisamment élevée et qu'elle n'est pas compatible avec le principe d'authentification forte. Or celle-ci devient obligatoire pour toutes les transactions à distance supérieures à 30 euros.

Qu'appelle-t-on une authentification forte ? Il s'agit d'une méthode de sécurisation qui fait appel à deux familles distinctes de facteurs d'authentification permettant de prouver son identité. Aujourd'hui, il existe trois grandes familles de facteurs. Le facteur de connaissance qui désigne une information que seul le titulaire du compte connaît, comme le code PIN de sa carte bancaire, le facteur de possession, le consommateur détenant quel­que chose qu'il est le seul à posséder, comme sa carte bancaire ou son smartphone, et le facteur biométrique, comme l'empreinte digitale ou la reconnaissance faciale, par exemple.

Des dégâts potentiels pour l'industrie du e-commerce

C'est aux banques qu'il incombe de mettre en place et déployer ces nouvelles méthodes d'authentification. Entré en vigueur le 13 janvier 2018, le texte devait devenir contraignant à compter du 14 septembre 2019, laissant ainsi le temps aux différents acteurs de prendre les mesures nécessaires à sa mise en place. Mais les établissements bancaires ont estimé qu'ils n'étaient pas en capacité d'équiper tous leurs consommateurs d'une nouvelle solution d'authentification forte à partir de cette date, évoquant des habitudes de paiement très ancrées, d'importants efforts pédagogiques à réaliser et de lourds dégâts potentiels pour l'industrie du e-commerce.

Suivant un avis de l'Autorité bancaire européenne (EBA) publié en juin dernier, la Banque de France a donc décidé d'accorder un délai supplémentaire pour sa mise en œuvre. « Ce plan de migration sur la manière dont un client va s'authentifier est prévu jusqu'au 31 décembre 2020. Dans les quinze mois à venir, la grande majorité des consommateurs sera en mesure d'utiliser une nouvelle solution d'authentification forte », assure l'institution.

Newsletter

Industrie et service

Chaque jour à 13h, l’essentiel de l’actualité industrielle.

Illustration de la newsletter Industrie et service

Néanmoins, les principales banques tricolores ne partent pas d'une page blanche. Selon la Banque de France, toutes ont déjà développé un système de sécurité reposant sur leur propre application bancaire mobile. « Chez BNP Paribas, nous avons une solution baptisée "Clé digitale". Elle est en place depuis plus de trois ans pour valider les opérations sensibles de banque en ligne comme l'ajout d'un nouveau bénéficiaire pour un virement. Et elle a été déployée depuis un an pour valider les transactions en ligne », témoigne Christine ­Guillaumet, directrice adjointe de l'offre cartes et paiements innovants chez BNP Paribas. « Lorsqu'un client réalise un paiement par carte bancaire sur Internet, il reçoit une notification sur son smartphone qui l'invite à ouvrir l'application mobile de la banque. Il peut alors lire les détails de la transaction, son montant, le nom du marchand, et la valider en renseignant un code à six chiffres qu'il a préalablement choisi. à l'avenir, nous prévoyons d'introduire la validation par empreinte digitale », poursuit-elle, sans donner plus de précisions sur le calendrier. à ce jour, un peu plus d'un client sur deux aurait déjà enregistré sa clé digitale.

Importants plans de communication

Société Générale a adopté la même approche avec sa solution « Pass Sécurité ». La banque de La Défense assure que « la majorité de ses clients l'utilise déjà ». Au Crédit ­Agricole, environ trois millions de paiements en ligne ont déjà été effectuées avec sa solution maison « Sécuripass ». « L'authentification peut être réalisée grâce à un code confidentiel et personnel ou via l'empreinte digitale ou faciale du client », indique la banque verte à La Tribune.

« Cette première période de migration doit permettre de couvrir plus des trois quarts des utilisateurs et des transactions réalisées sur Internet », précise la Banque de France dans une note de ­l'Observatoire de la sécurité des moyens de paiement. Pour atteindre cet objectif, les établissements bancaires vont devoir déployer d'importants plans de communication afin d'inciter les consommateurs à adopter cette nouvelle méthode.

« Il y a deux types de clients à motiver : ceux qui ont déjà l'appli mobile de la banque mais qui n'ont pas encore enregistré leur clé digitale et ceux qui n'ont pas encore téléchargé l'appli mobile »,résume Christine Guillaumet chez BNP Paribas.

Quid des clients non équipés de smartphone ? « Il n'existe pas de solution complètement universelle. Il va donc falloir que les acteurs du marché trouvent des solutions différentes », reconnaît-on à la Banque de France. Chez BNP Paribas, on évoque la piste d'un appel sur le téléphone fixe du client où un code à saisir serait délivré par un robot. Une autre piste évoquée par la place consiste à ajouter un code confidentiel au SMS OTP. Le choix de la solution ad hoc appartient aux banques. Elles bénéficieront de dix-huit mois supplémentaires à partir du 31 décembre 2020 pour supprimer l'utilisation du SMS à code à usage unique.

Si ce plan de migration est aux mains des banques et non dans celles des professionnels du e-commerce, ces derniers restent malgré tout directement concernés tant les habitudes de paiement ont un impact sur leur chiffre d'affaires. « À l'introduction du SMS OTP, certains e-commerçants ont vu leur chiffre d'affaires baisser de 30 % », se souvient Marc Lolivier, le directeur général de la Fédération du e-commerce et de la vente à distance en France (Fevad). « Il faut trouver un bon équilibre entre un haut niveau de sécurité et un parcours client le plus fluide possible car tout ce qui ralentit le passage au paiement est négatif pour le e-commerçant », explique-t-il.

Les acteurs du e-commerce pourraient trouver satisfaction dans les exemptions que prévoit la DSP2. En effet, selon le texte de loi, trois types de transactions en ligne peuvent échapper à l'authentification forte : les achats inférieurs à 30 euros, les transactions dont le niveau de fraude est estimé à faible risque grâce à une fine analyse des données, et lorsque le vendeur est considéré comme un partenaire de confiance, après avoir été ajouté sur une liste blanche par le client.

Or pour que ces exemptions puissent être accordées par la banque, cette dernière doit recevoir un certain nombre d'informations de la part du e-commerçant. « Le marchand doit pouvoir exposer ses arguments à la banque du client. Si cette dernière ne partage pas son avis, elle pourra forcer l'authentification forte », explique la Banque de France. Seul hic : l'infrastructure permettant ce dialogue, baptisée 3DS, n'est pas adaptée à ces échanges complexes. Il faut, en quelque sorte, rénover toute la tuyauterie pour permettre ce dialogue enrichi.

Le SMS OTP a encore de beaux jours devant

« C'est un chantier qui impose de très lourds développements informatiques pour les e-commerçants. Pour les plus gros sites marchands cela peut représenter plusieurs millions d'euros », estime Marc ­Lolivier. Là encore, suivant l'avis de l'EBA, la Banque de France a accordé un délai supplémentaire à l'ensemble de l'écosystème. Et les différents acteurs concernés (banques, e-commerçants et prestataires de paiement) ont jusqu'au 31 mars 2021 pour se raccorder à cette nouvelle infrastructure en cours de livraison.

C'est un soulagement pour les professionnels du e-commerce qui craignaient tout simplement un « shut down » du système 3D Secure si toutes les transactions en ligne avaient dû être authentifiées de manière forte dès le 14 septembre dernier. « Le système n'a pas été fait pour supporter 50 transactions à la seconde », explique le directeur général de la Fevad. « Cela aurait été catastrophique pour les e-commerçants dont les transactions n'auraient pas pu aboutir », ajoute-t-il.

Au final, le SMS OTP a encore de beaux jours devant lui puisque d'ici la mise en place progressive de la nouvelle architecture informatique et le déploiement des nouvelles solutions de clés digitales, la Banque de France s'attend à ce que le nombre d'achats sur Internet validés par SMS augmente. Le taux de fraude sur ces paiements authentifiés reste dix fois inférieur à celui des paiements non authentifiés, indique-t-elle. De quoi rassurer les consom­mateurs. n

Juliette Raynal

Sur le même sujet

Jingye avait racheté British Steel en 2020, alors que le sidérurgiste traversait une grave crise financière.

British Steel : le groupe chinois Jingye réclame une indemnisation après la nationalisation

Le sidérurgiste chinois Jingye Steel réclame une indemnisation au gouvernement britannique et menace de saisir la justice après la nationalisation de British Steel, définitivement entérinée cette semaine par Londres au nom de la sécurité nationale.

Politique industrielle
Le site de la mine d'or de Lauriéras, au sud de la Haute-Vienne, est abandonné depuis 2001 mais pourrait reprendre du service avec la Compagnie des mines arédiennes.

Mines d'or du Limousin : la fièvre jaune, entre promesses d'emplois et héritage toxique

OR, LA FIÈVRE JAUNE. Dans le sud du Limousin, près de 300 km² de permis de recherche aurifère réveillent un vieux dossier de pollution à l’arsenic et aux boues toxiques, alors que des études sur le risque cancérogène se préparent. Une série en trois épisodes de Maxime Giraudeau qui raconte une ruée vers l’or qui s’écrit en rouge sur la santé des territoires.

Politique industrielle
Le projet de réhabilitation du Domaine de la Massaye près de Rennes prévoit la construction d'une centaine de maisons accessibles au programme zéro facture d'électricité d'Octopus Energy

Énergie : Le Domaine de la Massaye et Octopus Energy lancent le premier quartier breton « sans factures d'électricité »

La filiale du fournisseur britannique d'énergie s'associe au groupe immobilier Métis pour créer un quartier d'une centaine de maisons et logements neufs en Bretagne. À la clé pour les habitants : zéro facture d'électricité pendant au moins dix ans.

Premium
Energie
Paris-Saclay - Le nouveau pôle scientifique et technologique de France - Installations-Centralisees- Reseau-Chaleur-et-Froid

Rafraîchissement des villes : élus et entreprises anticipent les prochaines canicules

La canicule impose de refroidir les villes. Les industriels de l'énergie Dalkia, Engie et Veolia, se positionnent pour installer toujours plus de réseaux de froid, forts de premiers retours d'expérience dans des collectivités pionnières. D'autant que l'État fixe des objectifs très ambitieux aux horizons 2030 et 2035.

Premium
Energie et Industrie
Flamanville 3, premier réacteur nucléaire à démarrer depuis 25 ans en France, a été raccordé au réseau électrique fin 2024, avec 12 ans de retard par rapport à la date prévue.

Nucléaire : l’EPR de Flamanville encore à l’arrêt pour au moins dix jours

Mis à l’arrêt jeudi pour être contrôlé, le réacteur de Flamanville devrait rester off jusqu’au 26 juillet, d’après EDF. Reste que les précédentes coupures inopinées se sont toutes prolongées dans le temps.

Energie
Les postes sources sont des objets névralgiques du réseau électrique. Ils comprennes des transformateurs et sont à la frontière entre le réseau de transport de RTE et le réseau de distribution d'Enedis.

Saturation du réseau électrique : 2 500 producteurs d’énergie renouvelable dans l’attente de solutions de raccordement

Le foncier n'est plus le seul frein au développement des énergies renouvelables : le réseau électrique devient lui aussi un facteur limitant. Pour la première fois, Enedis publie une cartographie des zones où les délais de raccordement dépassent cinq ans, révélant les premières tensions liées à la montée en puissance du solaire et de l'éolien.

Premium
Energie
Au sud de la Haute-Vienne, trois stations de traitement des eaux ont été installées par Orano sur le périmètre d’anciennes concessions minières.

Dépassé par la pollution perpétuelle des mines d’or, Orano cherche comment stocker les boues toxiques

OR, LA FIÈVRE JAUNE (3/3). L’entreprise assume la dépollution des eaux autour de ses anciennes mines d’or au sud du Limousin. Le procédé génère quantité de boues chargées en métaux lourds, si bien que les fosses de stockage sont arrivées à saturation. Les déchets sont exportés en attendant de trouver une solution sur place.

Premium
Energie et Industrie
Le PDG d’EDF, Bernard Fontana, et le président français Emmanuel Macron visitent le chantier de construction des réacteurs de nouvelle génération EPR2 de Penly, le 12 mars 2026.

Le régulateur de l’énergie propose une hausse des tarifs réglementés de l’électricité

La CRE propose une hausse de 2,5 % des tarifs réglementés de l’électricité dès août 2026, impactant près de 20 millions de foyers. Une augmentation de 26 euros par an est envisagée, portant la facture moyenne à 1072 euros. Le dernier mot revient au gouvernement.

Energie