Paiements en ligne : pourquoi le mobile devient incontournable

Gros plan d'un homme utilisant un mobile et une carte bancaire
© wutzkoh - Fotolia.com

Le 13 janvier prochain entrera en vigueur la directive révisée sur les services de paiement, dite DSP2. Parmi les mesures contenues dans le texte européen, la généralisation de la double authentification pour valider les achats en ligne.

Améliorer la sécurité des paiements en ligne : c’est l’un des impératifs qui a amené la Commission européenne à réviser sa directive sur les services de paiement. Le nombre de ces paiements, en effet, augmente rapidement avec l’essor du e-commerce. Ils restent aussi les plus perméables à la fraude : les achats par carte bancaire par internet ont par exemple représenté 12% des opérations effectuées en France en 2016, mais deux tiers des montants détournés.

Lire aussi : Carte bancaire, chèque et virement : ce que coûte la fraude

Ainsi, parmi les sujets pris en charge par la DSP2 qui devraient avoir un impact direct sur notre quotidien figure l’authentification forte, ou double authentification, de ces achats effectués à distance. Un sujet qui peut paraître technique, mais qui en réalité fait déjà partie de notre quotidien. Le code à usage unique reçu par SMS pour valider un achat en ligne - soit le dispositif dit 3D Secure - c’est déjà de l’authentification forte.

Qu’est-ce que l’authentification forte ?

L’authentification forte du client s'entend d'une authentification reposant sur l'utilisation de deux éléments ou plus, qui doivent être indépendants, de telle manière que la compromission de l'un ne remet pas en question la fiabilité des autres. Ces éléments doivent appartenir à une ou plusieurs de ces catégories :

Connaissance : quelque chose que seul l'utilisateur connaît. Par exemple, un code PIN à quatre chiffres, un code à usage unique reçu par SMS, une question secrète, un mot de passe, etc.

Possession : quelque chose que seul l'utilisateur possède. Par exemple, une carte de codes secrets, un cryptogramme à trois chiffres inscrit au dos de la carte, une clé, un mobile, etc.

Inhérence : quelque chose que l'utilisateur est. Par exemple un facteur biométrique, comme l’empreinte digitale, ou un système de reconnaissance du visage, de l’iris, de la voix, etc.

On le constate, le mobile - qui peut être reconnu grâce à un numéro unique d'identification ; qui permet de recevoir des codes secrets à usage unique ou, dans une version plus sophistiquée, des notifications push dans l’application mobile de sa banque ; qui démocratise la biométrie grâce à des capteurs embarqués d'empreinte digitale ou d'iris - est de loin le support le plus adapté et le plus diffusé aujourd'hui pour mettre en œuvre cette authentification forte. Pour acheter en ligne à l'avenir, mieux vaudra donc avoir ce sésame à portée de la main.

Seul un achat sur trois concerné aujourd'hui par l’authentification forte

Car l'une des grandes nouveautés de la DSP2, c’est la généralisation prochaine de ce mode renforcé d’authentification. C’est encore loin d’être le cas aujourd’hui : seul un achat en ligne sur trois est authentifié grâce à 3D Secure, selon l’Observatoire de la sécurité des moyens de paiement. Un chiffre qui progresse régulièrement, mais lentement. Si presque toutes les cartes bancaires en circulation en France sont aujourd’hui compatibles, les e-commerçants, eux, rechignent parfois à l’utiliser, car il augmente le taux d’échec des transactions, et fait donc baisser les ventes. Ils se sont d’ailleurs ouvertement inquiétés des conséquences d’une telle généralisation.

Ils risquent toutefois de ne pas avoir le choix. La nouvelle directive, en effet, ne s’adresse pas à eux, mais aux prestataires de services de paiement (PSP), c’est-à-dire aux sociétés (établissements de crédit, de paiement ou de monnaie électronique) qui leur permettent d’accepter les paiements en ligne. Ces PSP devront ainsi mettre en œuvre systématiquement cette authentification forte, dans 3 cas de figure :

  • lorsque le payeur accède à son compte de paiement en ligne ;
  • lorsqu’il initie une opération de paiement électronique ;
  • lorsqu’il exécute une opération par le biais d’un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.

Si ces PSP ne le font pas, la sanction sera simple : leur responsabilité sera engagée, et ils devront donc supporter les conséquences de toute fraude consécutive à un paiement non sécurisé par authentification forte.

Partager cet article :

© cbanque.com / VM / Août 2017

Commentaires

Publié le 25 août 2017 à 14h42 - #1menjelo

Tout cela est bien sympathique et "rassurant".
MAIS cela ne règle pas pour autant le problème des autoroutes (entre autres) ou AUCUN CODE n'est nécessaire. N'importe qui peu faire gratuitement le tour de France avec une carte volée.
Par ailleurs détenir un portable n'est, à ma connaissance, pas encore obligatoire. Tout le monde n'en possède pas un. En ce qui me concerne, je ne souhaite pas en avoir.
C'est un moyen détourné de rendre les mobiles obligatoires, alors que les téléphones fixes existent toujours et que EUX, ne sont pas dépendant d'une couverture réseau aléatoire.
Il serait judicieux avant de pondre ce genre de directive, de penser aussi aux personnes (agées ou pas) qui risque de se retrouver un peu embarrassées parce qu'elles ne veulent pas de portables ou qu'elles habitent dans des zones où la couverture réseau laisse à désirer

Trouvez-vous ce commentaire utile ?94
Publié le 25 août 2017 à 16h23 - #2herve turlure
  • Homme
  • Nantes
  • 55 ans

On ne peut pas reprocher à la directive de viser à mettre en place un dispositif visant à apporter de la sécurité aux usagers d'un service qu'ils ont très largement adopté, à savoir le paiement à distance : 80% des internautes achètent désormais sur Internet et parmi ceux-là 74% des retraités. Nul n'est obligé de détenir un téléphone pour faire du paiement, le paiement par carte de proximité reste parfaitement opérationnel et sécurisé avec son code confidentiel. Le développement du e-commerce est une véritable opportunité pour les commerçants Français, c'est un véritable relais de développement et les Français montrent du talent dans ce business. Donc faisons tout pour l'améliorer

Trouvez-vous ce commentaire utile ?12
Publié le 25 août 2017 à 17h48 - #3Pacalufa
  • Homme
  • PACA
  • 63 ans

Si on est capable d'avoir une carte bancaire on peut aussi avoir un portable. Les codes de sécurité peuvent aussi être envoyé sur un téléphone fixe.

Trouvez-vous ce commentaire utile ?26
Publié le 29 août 2017 à 10h53 - #4Guimalherbe
  • Homme
  • Bordeaux
  • 32 ans

Je ne pensais pas que le débat se reporterait sur le fait de posséder ou non un mobile, sachant que le 3D secure ne nécessite pas d'avoir un smartphone, un simple 3310 suffit pour recevoir le code de sécurité par SMS.
La part des français non équipés d'un mobile (smartphone/feature phone) doit déjà être très très faible, mais alors si on considère la population qui réalise des achats sur internet, ça doit être simplement ridicule, non ?

Trouvez-vous ce commentaire utile ?01

Ajouter un commentaire