Achat en ligne par carte bancaire : le code SMS bientôt insuffisant

Procédé courant de sécurisation des paiements en ligne par carte bancaire, le code SMS à usage unique est pourtant appelé à disparaître au profit de nouveaux dispositifs. Explications.

Vous vous apprêtez à achever votre shopping en ligne. Vous avez renseigné votre numéro de carte bancaire avant de déclencher le paiement. Une page web s’ouvre, vous invitant à compléter un code à usage unique, reçu simultanément sur votre téléphone, par SMS. Une fois le code rentré, le paiement est validé. Cette situation est bien connue de tous les adeptes du e-commerce. Intérêt de la manœuvre : s’assurer que le paiement est bien effectué par le titulaire de la carte. Le système n’est pas infaillible - un numéro de mobile peut être détourné - mais il représente aujourd’hui ce qui se fait de plus courant et de plus simple pour prévenir la fraude.

Ce ne sera sans doute plus le cas demain. Ce mode d’authentification, connu sous le nom de 3D Secure (ou 3DS) ne remplit pas, en effet, les critères récemment mis en place dans la cadre de la 2e directive sur les services de paiement (DSP2), texte européen qui propose de généraliser la double authentification (ou authentification forte).

Lire sur le sujet : Paiements en ligne : pourquoi le mobile devient incontournable

Deux facteurs au lieu d’un

C’est le récent rapport de l’Observatoire de la sécurité des moyens de paiement, publié par la Banque de France, qui le dit : « (…) Ce mode d’authentification ne repose que sur un seul facteur : la possession du mobile du porteur, qui sert à recevoir le code de validation ; les données de carte nécessaires à l’initiation de la transaction ne peuvent être considérées comme un second facteur ». Pourquoi ? Parce que le numéro de carte, la date de validité et le cryptogramme apparaissent en clair sur la carte bancaire, et peuvent donc être aisément répliqués et détournés.

D’ici la mise en œuvre effective de la DSP2, en 2019, l’observatoire appelle donc à la migration vers d’autres technologies d’authentification forte « pleinement compatibles avec les requis de la DSP2 (…) ». Celles-ci devraient faire la part belle à la biométrie, dont les capteurs de reconnaissance (digitale, faciale, vocale) tendent à se généraliser sur les mobiles, les tablettes et les ordinateurs personnels.

Des cas d’exemptions

Fin 2016, les e-commerçants, par la voix de leur fédération, la Fevad, s’étaient inquiétés de cette généralisation de l’authentification renforcée, craignant qu’elle ne complique l’acte d’achat et fasse donc baisser leurs taux de conversion. Ils semblent avoir été entendus par l’Autorité bancaire européenne, qui a mis en place un certain nombre d’exemptions, de cas d’usage à l’occasion desquels le recours à un 2e facteur d’authentification ne sera pas requis.

Ce sera notamment le cas pour les paiements inférieurs à certains seuils : en dessous de 30 euros, de 100 euros en paiement cumulé ou de 5 opérations successives. Mais également dans un autre cas de figure : lorsque les prestataires du service de paiement (PSP) du client et du commerçant estiment, au regard de leurs dispositifs de détection de la fraude, que le risque lié à l’opération est faible. A condition, bien sûr, que ces dispositifs fassent la preuve de leur fiabilité : les PSP devront ainsi maintenir leurs taux de fraude sous certains seuils, sous peine de perdre la possibilité de recourir à l’exemption.