À partir du 15 mai prochain, vos achats sur internet devront être sécurisés par une authentification forte. Un changement destiné à faire baisser la fraude, jugée trop élevée sur les paiements en ligne, mais qui pourrait vous compliquer la vie.

C’est, de l’avis de nombreux observateurs, un moment clé dans l’histoire du e-commerce. Alors que la crise sanitaire entraîne un boom sans précédent des ventes à distance, avec une croissance estimée à 30% en un an pour les seuls achats de biens, de nouvelles règles de sécurité s’imposent aux paiements par carte bancaire, utilisée 8 fois sur 10 pour régler les achats en e-commerce.

Au milieu de tout cela, les consommateurs se voient contraints de changer des habitudes prises depuis des années, sans toujours bien comprendre ce qui se passe, faute notamment de pédagogie suffisante de la part de leurs banques. Quels sont les changements en cours pour les paiements sur internet ? Où trouvent-t'ils leur origine ? Qu'est-ce que ça va changer concrètement ?

Pourquoi les règles changent-elles ?

Pour comprendre les changements en cours, il faut remonter un peu en arrière, début 2018 précisément, lorsque les institutions européennes adoptent la 2e directive sur les services de paiements (DSP2). Parmi les objectifs fixés par ce texte, celui de « créer un espace stable et sûr pour le e-commerce en Europe », rappelle Sasha Pons, Chief Product Officer chez Dalenys, une filiale de Natixis (Groupe BPCE) spécialisée dans les paiements.

Du point de vue de la sécurité des paiements, le secteur s’apparente en effet encore à une jungle où chaque commerçant fait un peu ce qu’il veut. Résultat : en France en 2019, le taux de fraude des paiements en ligne par carte bancaire était 17 fois supérieur à celui des paiements de proximité dans les boutiques en dur.

Pour réduire ce fossé, la DSP2 veut imposer un principe : celui d’une authentification forte pour tous les paiements en ligne.

A consulter : les banques qui proposent des cartes bancaires gratuites

Qu’est-ce que l’authentification forte ?

Sur le papier, le principe de l’authentification forte est assez simple : pour s’assurer que la carte bancaire avec laquelle vous payez est bien la vôtre, on vous demande non pas une, mais deux preuves distinctes et de nature différente. Ainsi, fournir la combinaison numéro unique/date de validité/cryptogramme ne suffit pas : avant d’accepter le paiement, votre banque va vous demander une autre preuve.

Le principe n’est pas nouveau. C’est celui du protocole 3D Secure (3DS), utilisé de longue date pour sécuriser certains paiements à distance et que nous avons tous expérimenté à un moment ou un autre. Le 2e facteur prend généralement la forme d’un code à usage unique reçu par SMS, qu’il faut renseigner sur la page de paiement.

Tout en conservant ce principe, la DSP2 bouscule les règles du jeu, à travers deux changements : la méthode utilisée pour l’authentification forte et la fréquence de cette dernière.

Quelles sont les nouvelles méthodes d’authentification ?

Les institutions européennes ont fait un choix : elles ont considéré que le code SMS n’était pas suffisamment robuste pour contrer la fraude. Le coup a été particulièrement dur pour les banques françaises : « Contrairement aux banques allemandes, par exemple, elles avaient fait le choix de miser sur ce code SMS », explique Sasha Pons.

Avec la DSP2, elles ont donc été contraintes de revoir largement leurs protocoles et, ce faisant, de bousculer les habitudes de leurs clients. La plupart des grandes enseignes ont déjà avancé sur le sujet. Les nouveaux dispositifs s’appellent ainsi Sécuripass au Crédit Agricole, Secur’Pass à la Caisse d’Epargne, Certicode Plus à la Banque Postale ou encore Confirmation mobile au Crédit Mutuel Alliance Fédérale.

Les noms diffèrent, mais tous ont à peu près le même principe. La méthode la plus fréquemment proposée pour remplacer le code SMS est la confirmation de paiement dans l’application mobile de la banque, après envoi d’une notification. Elle est utilisée un peu plus d’une fois sur deux actuellement, selon Jean-Michel Chanavas, président de Mercatel (1).

Cette méthode, toutefois, pose « un problème d’inclusion », note Sasha Pons. Tout le monde, en effet, n’est pas équipé d’un smartphone. « Certains Français choisissent de s'en passer pour des questions de confidentialité. D'autres vivent dans des zones blanches, et n'ont pas ou peu d'accès au réseau mobile », détaille le porte-parole de Dalenys.

Pour celles et ceux qui ne peuvent pas, ou ne souhaitent pas installer l’application de leur banque, deux autres méthodes sont prévues :

  • Le couplage d’un code SMS ancienne formule et d’un mot de passe, statique celui-là, mais différent du code d’accès à votre espace bancaire en ligne.
  • Un boîtier en plastique, fourni par la banque, dans lequel le client introduit sa carte, tape son code secret et récupère ainsi un code à usage unique, généralement à 8 chiffres, pour authentifier son paiement. C’est la méthode la plus sûre contre la fraude, selon Sasha Pons. Elle a le défaut, pour le consommateur, de le contraindre à toujours avoir le boîtier sous la main, et pour les banques, d’être très coûteuse.

Quand vais-je devoir m’authentifier ?

L’autre grand changement lié à la DSP2, c’est la fréquence de l’authentification forte. Selon des données de mars 2021 publiées par Natixis Payments, 32% des transactions font actuellement l’objet d’une authentification forte. Certes, c’est deux fois plus qu’il y a deux ans, rappelle Jean-Michel Chanavas. Ce n’est pas suffisant, toutefois, au regard des exigences de la DSP2.

L’esprit du texte, en effet, est de tendre vers les 100%. En France, la montée en charge, encadrée par la Banque de France, se fait progressivement, par paliers de montants. Actuellement, tous les achats non authentifiés de plus de 250 euros sont sanctionnés d’un refus. Cette tranche de montant concerne moins de 4% des paiements. Ça va changer rapidement : ce seuil, en effet, va être abaissé à 100 euros dès le 15 avril, puis ramené à 0 le 15 mai. Ce sont donc des millions de paiements qui vont basculer dans les 6 semaines à venir ! Avec, à la clé, un fort risque de dégradation de l’expérience client.

Pourquoi il y a un risque accru d’échecs de paiement ?

Selon Dalenys, la pleine application de la DSP2 entraîne une hausse de 40 points des demandes d’authentification forte. Si on repart du chiffre actuel de 32%, ce sont donc plus de 70% de la grande masse des paiements de moins de 250 euros qui vont être rapidement concernés. Or qui dit qui dit plus d’authentification dit plus d’échecs de paiement. C’est mécanique : le recours à l’authentification crée une « friction » supplémentaire qui fait baisser le taux de succès.

Si on ajoute à cela la mise en place des nouveaux procédés d’authentification, qui entraîne à eux seuls une hausse du taux d’échec de 5 points environ, les prochaines semaines risquent bien d’être compliquées : vous pourriez bien avoir à vous y reprendre à plusieurs fois pour régler votre shopping en ligne !

Qu’est-ce qui risque de coincer ?

Certaines opérations risquent de poser plus de problème que d’autres. C’est le cas notamment des achats initiés sur un smartphone. Mercatel a ainsi calculé que le taux de réussite d’un achat authentifié conforme à la nouvelle réglementation était de l’ordre de 85% sur ordinateur, mais de 75%, soit dix points de moins, sur mobile. En cause, l’absence de redirection automatique. Lorsque que vous achetez depuis votre mobile, vous devez quitter le site du commerçant pour aller authentifier le paiement dans l’application de votre banque. Une fois que c’est fait, elle ne vous redirige pas toujours automatiquement vers le commerçant pour achever la procédure, alors que c’est indispensable. C’est donc une autre nouvelle habitude à prendre : toujours penser à revenir sur le site ou l’appli du commerçant pour terminer la transaction. Pour réduire le risque, les sites de commerce en ligne pourraient élargir les moyens de paiement proposés aux portefeuilles électroniques Apple Pay sur iPhone ou Google Pay sur Android.

Les changements en cours risquent également d’être plus sensibles sur certains sites de e-commerce que d’autres. Certaines boutiques ont déjà habitué leurs clients à utiliser des dispositifs d’authentification forte : pour elles, la transition devrait bien se passer. D’autres en revanche, parmi les plus grosses (on pense évidemment à Amazon), ne demandaient jamais d’authentification. Parce qu’elles disposent d’autres outils de lutte contre la fraude, mais surtout par souci de fluidité de l’expérience du client. En clair, il vous faudra sans doute, dans certains cas, oublier la simplicité de l’achat en un clic !

Dans quel cas n’ai-je pas besoin de m’authentifier ?

Pour éviter une dégradation trop forte de l’expérience de paiement, les banques ont toutefois un recours : la DSP2 prévoit des cas d’exemptions, qui permettent de se passer d’authentification forte.

Comment ça marche ? Les banques et autres émetteurs de carte, qui ont désormais la charge de déclencher l’authentification forte - c’était auparavant le choix du commerçant - peuvent, si elles le décident, se passer d’authentification forte pour les paiements de moins de 30 euros et quand vous n’avez pas cumulé plus de 5 paiements et 100 euros d’achats depuis votre dernière authentification.

Autre cas d’exemption : si votre banque ou celle du commerçant affichent un taux de fraude suffisamment bas. Rappel : le taux de fraude global français pour les paiements à distance par carte bancaire était de 0,17% en 2019. Si votre banque parvient à maintenir son taux en dessous de 0,13%, elle pourra vous exempter d’authentification forte jusqu’à 100 euros. Pour relever ce seuil à 250 euros, le taux devra être ramené à 0,06%. Pour monter à 500 euros, il faudra atteindre un taux équivalent à celui des paiements par carte en magasin. Soit 0,01%.

(1) Mercatel est une structure créée par les entreprises du commerce et de la distribution, chargée notamment d’anticiper les évolutions techniques et réglementaires qui touchent le secteur et de faire valoir le point de vue des commerçants.