C’est un week-end qui fera date dans l’histoire de la lutte contre la fraude. Dès samedi prochain 15 mai, tous les paiements par carte sur internet (soit 80% des achats réglés dans les boutiques en ligne) devront être sécurisés par une authentification forte, à quelques exceptions près. En clair, renseigner son numéro de carte ne suffira plus pour payer en ligne. Même le code SMS à usage unique, utilisé parfois pour sécuriser les transactions à distance, devient obsolète, car jugé insuffisamment sûr. Le texte européen qui impulse ces changements, la 2e directive sur les services de paiement (DSP2), lui préfère d’autres dispositifs plus robustes.
Lire sur le sujet : Carte bancaire : ce qui change pour la sécurité de vos paiements
Dans cette nouvelle configuration, le rôle des banques grandit. Ce sont elles, désormais, qui auront la responsabilité de déclencher la demande d’authentification forte à l’occasion des achats de leurs clients. Elles également qui doivent équiper leurs clients de dispositifs de sécurité conformes aux dispositions de la DSP2. Que se passe-t-il si elles ne le font pas ? C’est assez simple : le shopping en ligne de leurs clients risque de se solder par des refus de paiement.
Nos banques françaises, celles qui émettent nos cartes bancaires, ont-elles fait le boulot ? Nous avons fait le tour, enseigne par enseigne, des dispositifs déployés pour répondre aux nouvelles exigences. Les voici, résumés dans un tableau.
| Banque | Nom du dispositif | Solution d'authentification par défaut | Solution(s) alternative(s) |
|---|---|---|---|
| Banque Populaire | Sécur'Pass | Application mobile | Code à usage unique SMS + code d'accès à la banque en ligne : gratuit Lecteur de carte à puce : gratuit |
| BforBank | - | Application mobile (en cours de déploiement) | Code à usage unique SMS + code d'accès à la banque en ligne : gratuit |
| BNP Paribas | Clé digitale | Application mobile | Code à usage unique SMS : gratuit Appel au service clients + date de naissance : gratuit |
| Boursorama | - | Application mobile | Code à usage unique SMS : gratuit |
| Caisse d'Epargne | Sécur'Pass | Application mobile | Code à usage unique SMS + code d'accès à la banque en ligne : gratuit Lecteur de carte à puce : gratuit |
| CIC | Confirmation mobile | Application mobile | Digipass, boîtier autonome avec lecteur de QR Code : 29 euros |
| Crédit Agricole | Sécuripass | Application mobile | Code à usage unique SMS + code statique : gratuit. Disponible dans les prochaines semaines |
| Crédit Coopératif | Sécur'Pass | Application mobile | Code à usage unique SMS + code d'accès à la banque en ligne : gratuit Lecteur de carte à puce : gratuit |
| Crédit du Nord | Mon e-paiement sécurisé | Application mobile dédiée | Pas avant fin 2021 |
| Crédit Mutuel Alliance Fédérale | Confirmation mobile | Application mobile | Digipass, boîtier autonome avec lecteur de QR Code : 29 euros |
| Crédit Mutuel Arkéa | - | Application mobile | Code à usage unique (SMS ou vocal) : gratuit |
| Fortuneo | - | Code à usage unique SMS | |
| Hello Bank ! | Clé digitale | Application mobile | Code à usage unique SMS : gratuit Appel au service clients + date de naissance : gratuit |
| La Banque Postale | Certicode Plus | Application mobile | « Numéro sécurisé » : Code à usage unique SMS sur téléphone sécurisé : gratuit |
| LCL | - | Application mobile | Code à usage unique SMS + code statique : gratuit. Opérationnel dans quelques semaines. |
| Ma French Bank | - | Application mobile | Tous les clients MFB disposent d'un smartphone |
| Monabanq | Confirmation mobile | Application mobile | NC |
| Nickel | - | Code à usage unique SMS + code d'accès à la banque en ligne | |
| N26 | - | Application mobile | Tous les clients N26 disposent d'un smartphone |
| ING | - | Application mobile | Code SMS + code statique |
| Orange Bank | - | Application mobile | Tous les clients Orange Bank disposent d'un smartphone |
| Revolut | - | Application mobile | Tous les clients Revolut disposent d'un smartphone |
| Société Générale | Pass Sécurité | Application mobile | Pas avant fin 2021 |
Les banques sont-elles toutes déjà opérationnelles ?
Verdict : oui, presque. La plupart des banques de détail ont anticipé l’échéance du 15 mai et sont prêtes à authentifier fortement les paiements de leurs clients. Certaines avaient largement pris les devants. La Clé Digitale de BNP Paribas et le Pass Sécurité de la Société Générale, par exemple, existent depuis 2016 ; Certicode Plus de La Banque Postale depuis 2017 ; et Sécur’Pass de BPCE depuis 2018. Avant d’être utilisés pour les paiements internet, ces dispositifs ont été mis en place pour sécuriser certaines opérations bancaires sensibles, comme l’ajout d’un bénéficiaire de virement. D’autres se sont réveillées plus récemment : en décembre 2020, par exemple, pour ING et le Crédit du Nord.
Il existe toutefois des exceptions. BforBank, la banque en ligne du Crédit Agricole, nous a expliqué que sa solution, déjà mise en œuvre pour sécuriser certaines opérations bancaire sensibles, était encore « en cours de déploiement » pour les paiements sur internet. De son côté, Fortuneo explique qu’elle sécurise les paiements en ligne de ses clients à l’aide d’un code à usage unique expédié par SMS. Un dispositif qui ne semble pas conforme avec la DSP2, mais que la Banque de France devrait encore tolérer pendant quelques mois, le temps que les retardataires s’adaptent.
Lire aussi : Carte bancaire : ces banques en retard sur l'authentification forte
Quelles solutions d’authentification ont été retenues ?
Une solution d’authentification forte se distingue : celle qui s’appuie sur les applications mobiles, utilisée par défaut par la grande majorité des banques.
Le procédé mis en place est généralement le suivant :
- au moment de régler son achat en ligne, le client renseigne classiquement le numéro de sa carte bancaire, sa date de validité et le cryptogramme à 3 chiffres situés à son verso, puis valide ;
- il reçoit alors une notification sur son smartphone : l’application mobile de sa banque lui indique qu’une opération attend d’être authentifiée ;
- un clic sur la notification et l’application se lance : le client s’authentifie alors comme il le fait d’habitude pour accéder à l’appli (éventuellement à l’aide des capteurs biométriques de son mobile) puis confirme la transaction ;
- le paiement de son panier d’achat est alors validé.
Un seul acteur a fait le choix de retenir une autre solution par défaut. Le compte de paiement Nickel, filiale de BNP Paribas, n’utilise pas la notification dans l’appli, mais un code SMS à usage unique couplé au code utilisé par ses clients pour accéder à leur espace bancaire en ligne. Une solution conforme à la DSP2, mais un peu moins pratique à l’usage.
A consulter : Comment obtenir une carte bancaire gratuite ?
Quelles sont les alternatives pour les clients sans smartphones ?
Vous l’aurez compris : valider un paiement par carte sans internet va devenir plus compliqué lorsque qu’on ne possède pas de smartphone ou quand on ne souhaite pas installer l’application de sa banque sur son téléphone ou sa tablette.
Pour ne pas laisser ces clients au bord du chemin, la Banque de France, qui encadre la transition de la place vers les nouvelles solutions, a été claire : les banques doivent prévoir une solution d’authentification alternative et gratuite. La plupart ont fait le choix d’utiliser en solutions de secours celle déjà décrite pour Nickel : la combinaison d’un code SMS à usage unique et d’un code statique.
Ces alternatives, toutefois, sont encore loin d’être proposées partout. Plusieurs enseignes, et pas des moindres, nous ont expliqué ne pas être encore opérationnelles. C’est le cas du Crédit Agricole, qui promet une solution « dans les prochaines semaines », comme sa filiale LCL, mais aussi de la Société Générale et sa filiale, le Crédit du Nord, qui ne proposeront rien avant la fin de l’année 2021.
Enfin, il y a le cas du Crédit Mutuel Alliance Fédérale et de sa filiale, CIC. Elles proposent bien une alternative à la validation dans l’application, sous la forme d’un lecteur de QR Code baptisé Digipass. Problème : cette solution coûte 29 euros, et ne cadre pas avec la demande de la Banque de France. Interrogé sur le sujet, le Crédit Mutuel nous a expliqué que « ceux qui ne possèdent pas de smartphone peuvent (…) à titre transitoire, utiliser un code de sécurité envoyé par SMS pour (…) la validation des paiements par internet ». En ce qui concerne Digipass, la communication de la banque nous a expliqué prévoir « des conditions tarifaires adaptées » pour « [sa] clientèle fragile ».
Et pour ceux qui n’ont pas de mobile ?
Que vont devenir les clients qui rejettent le mobile ? En dehors du Crédit Mutuel, s’ils sont prêts à payer 29 euros, ou du groupe BPCE, qui propose un boitier du même type, ils risquent de se retrouver exclus des achats en ligne par carte bancaire.
Le cas de figure, toutefois, semble extrêmement rare. BNP Paribas, qui a également prévu une solution alternative (voir tableau), nous a ainsi expliqué que les clients n’ayant pas renseigné de numéro de mobile représentait une part minime : moins de 0,1% de la clientèle !
A consulter : Le meilleur des banques mobiles
