Fortuneo

Fraude carte bancaire : comment remplacer le code SMS pour payer en ligne ?

Paiement biométrique mobile
© maxsim - Fotolia.com

Dans six mois, de nouvelles règles de sécurisation des paiements sur internet entreront en vigueur, rendant notamment le code SMS obsolète. Par quoi sera-t-il remplacé ? Pour MasterCard, la réponse tient en un mot : biométrie.

Olivier Gabrielli

Olivier Gabrielli est responsable innovation et paiement digitaux chez Mastercard France

Olivier Gabrielli, de nouvelles règles issues de la directive européenne révisée sur les services de paiement (DSP2) doivent entrer en vigueur le 14 septembre prochain. Elles concernent notamment la sécurisation des paiements en ligne par carte bancaire. Que fait Mastercard pour aider les banques à s’adapter à cette nouvelle donne ?

Olivier Gabrielli : « Effectivement, à partir de septembre 2019, les transactions par carte bancaire à distance devront être mieux sécurisées, notamment en améliorant l’authentification du consommateur hors quelques cas d’exemption [Lire encadré ci-dessous]. L’enjeu est bien sûr de réduire la fraude (1). Mais il est impératif de le faire sans dégrader l'expérience de paiement du consommateur. Dans ce contexte, notre premier souci est d'aider les banques à réduire leur taux de fraude, afin qu'elles bénéficient des exemptions prévues par la nouvelle réglementation. Nous leur fournissons pour cela un système de scoring, baptisé Decision Intelligence, qui les aide à décider, ou non, d'autoriser une transaction, grâce à l'analyse de données. Notre second souci est de leur proposer les modalités d'authentification forte qui soient les moins perturbantes possibles pour leurs clients. »

Authentification forte, mode d’emploi

A compter du 14 septembre prochain, les paiements en ligne devront être sécurisés par le recours à une authentification forte du consommateur. De quoi s’agit-il ? D’un mode d’authentification reposant sur l'utilisation de deux facteurs ou plus, indépendants les uns des autres et appartenant aux catégories suivantes :

  • Quelque chose que seul l'utilisateur connaît. Par exemple, un code PIN à quatre chiffres, une question secrète, un mot de passe, etc.
  • Quelque chose que seul l'utilisateur possède. Par exemple, une clé, un mobile, etc.
  • Quelque chose que l'utilisateur est. Un facteur biométrique donc, comme par exemple l’empreinte digitale, ou un système de reconnaissance du visage, de l’iris, de la voix, etc.

Certaines exemptions à l’usage de l’authentification forte sont toutefois prévues :

  • en fonction du montant de l’achat : les paniers de moins de 30 euros, notamment, ne seront pas concernés.
  • en fonction de la banque du client : les enseignes affichant un faible niveau de fraude pourront choisir de se passer d’authentification forte.

Lire aussi : Paiements en ligne : pourquoi le mobile devient incontournable

Aujourd’hui, c’est le code unique par SMS qui sert à sécuriser ces paiements à distance. Mais la DSP2 rend cette solution obsolète. Quelles sont les alternatives possibles ?

O.G. : « MasterCard privilégie l’authentification biométrique. Pourquoi ? Parce qu’elle a fait la preuve de sa fiabilité et qu’elle est déjà connue des consommateurs, qui l’utilisent de plus en plus fréquemment pour déverrouiller leurs smartphones. »

Comment le paiement en ligne avec authentification biométrique se passera-t-il concrètement ?

O.G. : « C’est assez simple. Au moment de la finalisation de son achat sur internet, après avoir entré ses coordonnées de carte, le consommateur recevra une notification sur son smartphone. Cette notification lui permettra immédiatement d’ouvrir l’application de sa banque, qui affichera les informations de la transaction et lui proposera de l’authentifier grâce à son empreinte digitale ou à la reconnaissance faciale, selon le type de mobile et le choix du consommateur. »

Quid de ceux dont le mobile n’est pas équipé d’un capteur biométrique ?

O.G. : « Dans ce cas, le code SMS, qui fonctionne bien et a l’avantage d’être déjà adopté par les consommateurs, devrait pouvoir continuer à être utilisé durant une période transitoire. C’est en tout cas la volonté des banques, qui ne veulent pas avoir à mettre en place une autre solution provisoire en attendant la généralisation de la biométrie. Elles demandent donc aux régulateurs de prolonger l’usage du code SMS au-delà du 14 septembre. »

Cette évolution est-elle une opportunité pour MasterCard de gagner des parts de marché ?

O.G. : « Cela dépasse les enjeux de concurrence : tout le monde a intérêt à ce que la transition se passe le mieux possible, que le consommateur puisse continuer à acheter facilement. Dans ce contexte, MasterCard communique auprès des banques, des marchands et des prestataires de services de paiement (PSP) pour leur présenter sa vision, s’assurer que tout le monde avance à la même vitesse et leur proposer des solutions clé en main. Nous avons ainsi déployé Identity Check, notre nouveau programme d’authentification en remplacement de SecureCode, qui prend en compte ces évolutions ».

Des commerçants encore mal informés

Selon une enquête européenne (2) effectuée par MasterCard auprès de commerçants en ligne, seuls 14% d’entre eux ont déjà mis en place l’authentification forte. Et pour cause : 75% n’étaient pas, au moment de l’étude à l’automne dernier, au courant d’une nouvelle norme de sécurité entrant en vigueur en 2019. Conséquence : un e-commerçant sur deux sait d’ores et déjà qu’il ne sera pas prêt dans les temps.

(1) En 2017, la fraude sur les paiements par carte bancaire a été d’un euro pour 1 850 euros payés, et d’un euro pour 620 euros payés si on se limite aux paiements en ligne. (2) Enquête menée de septembre à novembre 2018 dans 17 pays européens auprès de 327 commerçants en ligne.

Partager cet article :

© cbanque.com / Propos recueillis par VM / Janvier 2019

Commentaires

Me prévenir en cas de nouveau commentaire
Publié le 1er février 2019 à 12h55 - #1AnDroKtoNe
  • Finistère
  • 51 ans

Comme je n'ai pas de smartphone et que je n'ai aucunement l'intention d'en acheter un, et même si j'en avais un de toutes façons je ne l'utiliserai pas pour gérer ma banque, Android (et consorts) est une véritable passoire question fuite des données...
Je me demande donc comment je ferais pour payer en ligne s'ils venaient à retirer l'authentification par SMS... ?

Trouvez-vous ce commentaire utile ?142
Publié le 1er février 2019 à 14h10 - #2GL65
  • Homme

Certaines banques (Crédit Mutuel, CIC par ex) diffusent déjà des lecteurs de carte (carte bancaire) à connecter au PC, permettant de s'authentifier fortement avec sa CB, et donc de payer ses achats Internet sans Mobile

Trouvez-vous ce commentaire utile ?70
Publié le 1er février 2019 à 14h15 - #3AnDroKtoNe
  • Finistère
  • 51 ans

Super si c'est compatible Linux :-)

Trouvez-vous ce commentaire utile ?
Publié le 1er février 2019 à 16h20 - #4bernardw
  • Homme
  • Budapest
  • 68 ans

Pour pouvoir commander par internet avec ma carte N26 j'ai déjà dû acheter un smartphone plus récent, avec une version supérieure d’Android, alors que le précédent était encore en bon état. Faudra-t-il faire une dépense supplémentaire alors que ma retraite est amputée par la CSG et perd du pouvoir d'achat tous les ans pour cause de non indexation sur l'inflation ?

Trouvez-vous ce commentaire utile ?62
Publié le 1er février 2019 à 20h44 - #5Lisette
  • Femme
  • Carcassonne
  • 59 ans

D'abord, quel pourcentage de la population Française possède un smartphone? Et quel pourcentage de ce pourcentage possède un smartphone qui peut faire ce genre de chose?
Si on met tous ces contrôles en place, vous allez voir chuter les ventes sur internet !
Moi, même si j'avais les moyens, je n'achèterai jamais un smartphone qui fait la biometrie parce qu'ils coutent le salaire complète d'un mois et je trouve ça aberrant !
Déjà, on nous oblige d'avoir un compte bancaire (et payer des frais sur notre propre argent), ensuite on nous oblige d'avoir tous un ordi ET internet à la maison (de plus en plus on ne peut plus faire une reclamation dans une agence de, par example Orange, Bouygues, le Poste,.. tout doit être fait par internet, comme ça ils se sentent pas obligé de répondre à nos questions. Et maintenant nous sommes obligés de prendre notre voiture et polluer en allant aux magasins (qui vendent tous les mêmes trucs) parce que les banques veulent plus de sécurité? Le Certicode ne suffit plus? Mais où on va?

Trouvez-vous ce commentaire utile ?92
Publié le 2 février 2019 à 12h24 - #6liphos

J'ai pas tout compris. Le code SMS c'est bien un élément double facteur, non ? Le code de la carte correspond à quelque chose que je sais. Le code SMS permet de vérifier que je possède bien le smartphone associé au numéro de téléphone. Dans dans l'article est indiqué que seul les modes d'authentification à double facteur seront autorisés mais que le code SMS devra être banni. Pour moi c'est incohérent.

Trouvez-vous ce commentaire utile ?50
Publié le 2 février 2019 à 18h07 - #7IZOROLEM
  • Homme

Pour mes achats en ligne j'évite le mobile je privilégie le PC et via plateforme de paiement tel que paypal en exemple.Le téléphone revenir à l'essentiel le tout numérique a ces failles je ne fais aucune confiance avec cet interface qu'est le smartphone ou on vous incite à tout faire avec

Trouvez-vous ce commentaire utile ?60
Publié le 5 février 2019 à 08h55 - #8rhet
  • Paris
  • 46 ans

encore une liberté de moins !!!!

Trouvez-vous ce commentaire utile ?11
Publié le 6 février 2019 à 10h35 - #9Petit louis
  • Homme
  • 67 ans

Le smartphone, quelle horreur !
Dans le bus ou le tramway, plus de 50% des gens sont branchés dessus.
Quelle fermeture au monde!
Un petit Nokia C2-05 est amplement suffisant.

Trouvez-vous ce commentaire utile ?11
Publié le 9 février 2019 à 20h19 - #10pipoux
  • Homme
  • Albi
  • 55 ans

@liphos, le SMS est transmis en clair et n'importe qui peut l'intercepter et récupérer le code à 6 chiffres (pour peut qu'il ait quelques notions et le matos adaptée.
Certains préconisent des applications style Google authenticator (mais d'autres existent aussi). Ainsi le site marchand demande de fournir un code qui s'affiche sur le smartphone dans l’application. Le site. Une fois le code tapé sur le site, ce dernier vérifie grâce à un algorithme si le code est valide. ainsi le code n'a jamais transité sur aucun réseau.

Trouvez-vous ce commentaire utile ?01
Publié le 9 février 2019 à 20h24 - #11pipoux
  • Homme
  • Albi
  • 55 ans

@IZOROLEM, Paypal est certainement le système le plus mal sécurisé, qui couter un bras au site qui accepte le paiement : 3% de commission au lieu de 1,5 à 2% pour un paiement par CB. C'est entre autre pour çà que la commission européenne a fait le forcing pour imposer le virement SEPA instantané. Pour initier un paiement, il suffira juste de fournir le numéro de portable du vendeur, et moins de 10 secondes après le paiement sera dans les comptes du vendeur. Irrévocable et facile, même entre particulier, et le tout sans matériel. La fin du paiement par CB sur un site, sur un marché, dans une boutique.

Trouvez-vous ce commentaire utile ?01
Publié le 12 février 2019 à 11h43 - #12IZOROLEM
  • Homme

A Pipoux
C'est sur je n'en disconvient pas c'est juste que le smartphone n'est pas mon outil de prédilection et tout faire avec personnellement je n'en veux pas je préfère le PC oui on peux régler avec la CB direct sur les sites sécurisés marchands je pose la question suivante si on perd ou on le vol ou il est en panne on fait comment ? je pense que l'on doit diversifier ses modes de règlements ne pas tout dépendre d'un téléphone ceci dit j'en prend bonne note
bien cordialement

Trouvez-vous ce commentaire utile ?20
Publié le 25 mai 2019 à 13h51 - #13Lepiaf18

Pour @Pipoux
Et qd un quidam dans le métro aura cloné votre smartphone et aura accès à tout ce qu'il y a dedans, vous ferez quoi? Vous rachèterez un autre smartphone à 500 ou 1000€ et passerez plusieurs heures à tout reconfigurer pour un achat de quelques dizaines d'euros?
Paypal me va très bien. Si ça coûte tant que ça aux marchands, soyez assurés qu'ils répercutent ces frais sur leurs prix de vente, il ne faut pas être naïf. C'est comme les frais de livraison gratuits chez Amazon, ça fait partie des arguments commerciaux. Que dire alors des compagnies aériennes qui facturent des frais supplémentaires pour certaines CB?.
Ce n'est pas le consommateur qui l'a demandée cette p... de CB, ce sont les banques qui l'ont imposée. Que tous en assument les défauts!

Trouvez-vous ce commentaire utile ?20
Publié le 25 mai 2019 à 14h30 - #14Lepiaf18

Je rajouterais ceci: A la Banque Populaire, me plaignant de ce que ce je ne "captais rien dans ma campagne" et que je ne pouvais donc pas "jouer" à "avez-vous bien reçu mon SMS", l'agence m'a fourni un petit boitier tout plat muni d'une fente pour glisser la CB. Celui-ci génère un code à chaque demande (il y a d'autres menu jamais utilisés) qu'il me suffit de rentrer sur l'ordi. Ce boîtier n'est relié à rien, pas plus à l'ordi qu'à un éventuel réseau (WiFi, 4G...); il serait chez moi inutilisable puisque quasiment pas de réseau à l'intérieur (à par le Wifi de la Box).
Ce boitier génère sans doute le code par un générateur pseudo aléatoire (ça devrait parler à certains de la même façon que sur le site marchand ou en compément, si bien que le code est reconnu par le site comme s'il avait été reçu par SMS.
La sécurité du système par elle-même n'est sans doute pas extra mais il faut garder à l'esprit que c'est seulement une couche supplémentaire après les données de la carte elle-même (N°, NOM, PRÉNOM, Validité) puis le Cryptogramme visuel, sans compter l'action de commander. Si avec ça y a pas moyen de prouver la fraude ou non, faut en revenir aux bonnes vieilles transactions physiques (en juin 2018 avec mon fils on est allé acheter sa voiture en Allemagne et on l'a payée en devises. Là à moins d'avoir accès à de la fausse monnaie pas de fraude possible!).
Arrêtons avec ce que certains voudraient nous faire prendre pour du progrès, alors qu'en fait c'est une contrainte de plus. N'oubliez pas que la CB est une invention Française, et qui parle de supprimer les distributeurs et l'argent liquide? Les banques Françaises. Il me semble qu'ailleurs (Allemagne, Italie, Espagne, Belgique,...) pour ce que j'en connais l'argent liquide y circule beaucoup plus.
Depuis que les banques doivent payer pour la fraude, elles cherchent par tous les moyens à complexifier le système (Bruxelles n'a pas trouvé ça tout seul, ce sont les lobbies qui ont soufflé cette façon de faire à la Commission, histoire de faire marcher le commerce.
C'est malheureusement le consommateur qui trinque, comme d'habitude. Sauf à résister et leur demander des solutions alternatives moins coûteuses, sous peine de ne plus utiliser; acheter sur Internet n'est pas obligatoire. Il faut parfois faire des choix douloureux dans la vie.

Trouvez-vous ce commentaire utile ?20

Ajouter un commentaire