A compter du 14 septembre prochain, une double authentification va devenir nécessaire pour certaines opérations sensibles, comme valider ses achats en ligne par carte bancaire ou se connecter à sa banque en ligne. Une évolution qui va faire la part belle aux smartphones et compliquer la vie de ceux qui n’en ont et/ou n’en veulent pas.

Améliorer la sécurité des usagers à l’heure de la banque numérique : c’est l’un des impératifs qui a amené la Commission européenne à réviser sa directive sur les services de paiement. Débuté en 2013, le processus de construction de cette DSP2 va trouver son épilogue, le 14 septembre prochain, avec la mise en œuvre des « normes techniques réglementaires » encadrant l’application concrète du texte.

Trop de perméabilité à la fraude

La DSP2 arrive dans un contexte où le web et le mobile sont devenus, de loin, les principaux canaux d’accès des particuliers à leur banque. Où, également, les paiements en ligne par carte bancaire explosent, en même temps que le recours au commerce électronique. Ces derniers, pourtant, restent encore trop perméables à la fraude : les paiements par carte sur internet ont représenté 70% de l'ensemble des montants détournés via les cartes bancaires en 2018, selon la Banque de France, et restent 17 fois plus risqués que les paiements en magasins.

Pour limiter les risques, la DSP2 impose donc le recours généralisé à l’authentification forte. Le terme peut paraître technique. Mais en réalité, il fait déjà partie de notre quotidien : l’utilisation du capteur biométrique du téléphone pour régler un achat avec Apple Pay ou se connecter à son application bancaire, c'est déjà de l'authentification forte.

Qu’est-ce que l’authentification forte ?

L’authentification forte repose sur l'utilisation de deux éléments indépendants, appartenant à ces catégories :

  • Quelque chose que seul l'utilisateur connaît. Par exemple, un code, une question secrète, un mot de passe, etc.
  • Quelque chose que seul l'utilisateur possède. Par exemple, un mobile, un cryptogramme à trois chiffres, une clé, etc.
  • Quelque chose que l'utilisateur est. Par exemple un facteur biométrique, comme l’empreinte digitale, ou un système de reconnaissance du visage, de l’iris, de la voix, etc.

Le smartphone, pierre angulaire du paysage post-DSP2

C’est précisément la biométrie qui a les faveurs des spécialistes pour remplacer le code à usage unique reçu par SMS, généralement utilisé actuellement pour authentifier les clients. Car celui-ci est appelé à disparaître. Il est considéré par la DSP2 comme insuffisamment sécurisé, certains fraudeurs n’hésitant pas, notamment, à détourner la ligne mobile de leurs victimes pour récupérer les SMS. Surtout, il est loin d’être généralisé : en 2018, 43% seulement des montants dépensés chez les e-commerçants ont donné lieu à une authentification 3DS. La DSP2, elle, veut atteindre les 100%.

Résultat : le smartphone, avec ses capteurs biométriques, va prendre une place de plus en plus importante pour acheter en ligne ou se connecter à sa banque en ligne. Au risque de mettre sur la touche les réfractaires à ces objets. Ou ceux qui n’ont pas les moyens de se les offrir.

Un risque d’exclusion ?

Que va-t-il se passer pour ces personnes ? Vont-elles devoir renoncer à leur compte bancaire, ou aux achats en ligne ? Le risque existe. Des internautes de cBanque n'ayant pas de smartphone s'inquiètent d'ailleurs. Les institutions, toutefois, semblent conscientes de ce risque d’exclusion. Dans le rapport 2018 de son observatoire dédié à la sécurité des moyens de paiements, la Banque de France détaille ainsi un plan de migration progressif, du code temporaire par SMS vers les nouveaux dispositifs 3DS compatibles avec la nouvelle réglementation. Objectif : qu’il soit achevé en trois ans, d’ici 2022. Un délai bienvenu pour que les banques et les commerçants trouvent des solutions universelles.

La DSP2, par ailleurs, prévoit des cas d’exemption à l’obligation d’authentification forte, dans le cas des paiements en ligne. Les opérations d’un montant inférieur à 30 euros seront par exemple exemptées. Tout comme celles effectués chez les e-commerçants affichant un faible taux de fraude. Les clients, enfin, auront la possibilité de fournir à leur banque une « liste blanche » de commerçants considérés comme fiables, et chez qui ils veulent être exemptés de contrôle. De quoi offrir un répit aux réfractaires du smartphone.