La validation de paiement par SMS ne va pas disparaître en 2019
Publié par Stéphanie Marius le - mis à jour à
La lutte contre la fraude se tourne vers la biométrie et un échange de données plus riches entre les différents acteurs de la chaîne de paiement. Cependant, la fin de la validation par SMS ne devrait pas être aussi rapide qu'annoncé.
Plusieurs médias, parmi lesquels Le Figaro(1), Le Parisien(2) et Les Échos(3), alertent les consommateurs sur la fin prochaine de la validation de paiement via SMS, baptisée SMS OTP par les acteurs du secteur. Une assertion liée à l'entrée en vigueur, le 14 septembre 2019, des RTS (normes techniques de réglementation), encadrant la sécurisation des paiements, et à une mise en garde de l'European banking authority.
Ce texte se situe dans le cadre de la Directive des services de paiement 2 (DSP2), adoptée depuis janvier 2018 par le législateur européen et dédiée à la sécurité des paiements. "L'optique est double, rappelle Bertrand Pineau, responsable veille, innovation et développement à la Fevad. Il s'agit de sécuriser l'économie digitale dans son ensemble et l'e-commerce en particulier." Les RTS regroupent un ensemble de précisions techniques au principe général énoncé dans la DSP2. L'un des nouveaux thèmes apportés par la DSP2 et repris dans les RTS est l'authentification forte, soit la vérification de l'identité du payeur. Selon l'Observatoire des paiement 2017, 30% du montant total des transactions sont soumis à cette vérification renforcée.
Comment fonctionne l'authentification forte?
Cette dernière implique trois éléments: un facteur de connaissance (un mot de passe, que connaît le consommateur), un facteur de possession (un objet possédé par le clients, tel qu'un smartphone ou une carte) et un facteur d'inhérence (empreintes digitales, reconnaissance faciale, par exemple). "Un paiement est sécurisé dès lors qu'au moins deux des trois critères sont remplis", explique Bertrand Pineau.
Le 3D Secure est la méthode d'authentification la plus utilisée par les prestataires de paiement.
Or, la plupart des e-commerçants ont opté pour le système 3D Secure, soit l'envoi d'un SMS des confirmations sur le mobile du client, que ce dernier doit entrer sur la page de paiement pour déclencher le règlement. Selon une étude menée par le Comité consultatif du commerce CB(4), cette méthode d'authentification est la plus utilisée par les prestataires de paiement (86%).
Un engouement qui n'est pas partagé par la Banque européenne. Cette dernière juge le SMS insuffisamment fiable et le déclare non conforme aux RTS. En effet, le SMS OTP est vulnérable à certaines attaques et ne vérifie qu'un critère de sécurité, la possession du téléphone par son utilisateur. Par ailleurs, "les serveurs SMS des opérateurs rencontrent des problèmes de fiabilité, souvent pendant les pics de consommation", indique le Comité consultatif du commerce CB(5). Une raison valable pour abandonner ce système, lequel a su ramener la fraude au paiement à 0,06% des transactions?
Le SMS OTP a contribué fortement à la baisse de la fraude
"Le 3D Secure avec le système SMS OTP a mis dix ans à s'installer et ne va pas disparaître du jour au lendemain, tranche Bertrand Pineau (Fevad). Ses fragilités ne sont pas rédhibitoires et il permet de lutter très efficacement contre la fraude. Par ailleurs, il fait l'objet d'une bonne adoption par les consommateurs." Une position partagée par Loys Moulin, directeur du développement de groupement des cartes bancaires CB: "Parler de la fin du SMS à court terme serait inexact. Le délai avant son abandon se compte en années et non en mois." Bertrand Pineau évoque un délai "de deux à trois ans, possiblement davantage".
La Fevad et le Groupement cartes bancaires CB plaident tous deux pour une concertation autour de la Banque de France, comprenant les associations de consommateurs, les e-commerçants, les banques, les émetteurs de cartes et les acteurs intermédiaires (prestataires de paiement, notamment). "Il est nécessaire de travailler ensemble sur ce sujet complexe", insiste Bertrand Pineau.
Quelles alternatives?
Parmi les remplaçants possibles figure la biométrie: le SMS laisse place à une validation grâce au scan des empreintes digitales, à la reconnaissance faciale ou à l'identification du système veineux de l'utilisateur via son smartphone. "Mais cela nécessite que la population soit massivement équipée d'un smartphone à reconnaissance biométrique", met en garde Loys Moulin. Un lecteur d'empreintes digitales peut également être intégré à la carte bancaire du client.
"Le 3D Secure avec le système SMS OTP a mis dix ans à s'installer et ne va pas disparaître du jour au lendemain" Bertrand Pineau (Fevad)
Autre alternative: un code confidentiel connu du client et tapé sur son application bancaire. "Il faudra tester ces nouvelles méthodes, analyser les incidents et les réticences des consommateurs pour évaluer la fiabilité de ce système", indique Loys Moulin. L'appétence des porteurs de carte bancaire pour l'utilisation de différentes méthodes biométriques s'élève(6) à 52% pour lecture des empreinte digitale via la carte bancaire, à 43% pour la même chose sur mobile, tandis que le score tombe à 36% pour la reconnaissance de l'iris et à 30% pour la reconnaissance faciale (via un selfie, par exemple).
Deux autres innovations devraient permettre de juger de la fiabilité d'une transaction: le 3D Secure 2.0 et le concept d' "inhérence passive". Le premier désigne l'enrichissement des flux de données échangés entre le commerçant, le consommateur et sa banque, permettant d'évaluer le risque que représente le paiement. C'est désormais l'établissement bancaire du consommateur qui décide d'activer l'authentification forte et non plus l'e-commerçant, lequel se trouve déchargé de la décision mais peut faire parvenir à la banque son analyse concernant le profil de risque d'une transaction.
"Le 3S D Secure 2.0 se fonde en grande partie sur le concept d'inhérence passive, indique Bertrand Pineau. Il s'agit de la capacité du marchand, de la banque ou du prestataire de paiement à identifier le device utilisé lors d'une transaction, le lieu de livraison, la manière de naviguer sur le site, de taper son code de carte bancaire...". Ces nouvelles données permettent de dresser un profil de risque pour chaque paiement, afin de déclencher ou non une demande d'authentification forte. "Ce procédé est invisible pour le consommateur et ne devrait pas créer de friction dans le processus de paiement", conclut Bertrand Pineau. Un enjeu crucial pour les marchands, lesquels sont partagés entre un impératif de sécurité et la crainte d'un obstacle engendrant une baisse de leur taux de transformation lors du paiement.
(1) Source: "Le SMS d'authentification des achats en ligne devrait disparaître", Le Figaro, 08/11/2018.
(2) Source: "Banques: vers la fin des SMS pour valider un paiement", Le Parisien, 07/11/2018.
(3) Source: "Les banques bientôt privées de SMS pour sécuriser les paiements en ligne", Le Figaro, 06/11/2018.
(4) Regroupant la Fevad, le Groupement cartes bancaires CB, l'Association française des trésoriers d'entreprise, la Fédération du commerce coopératif et associé, la Fédération du commerce et de la distribution, Mercatel et l'Union des entreprises de proximité.
(5) Source: "Position sur l'évolution de l'authentification forte des transactions cartes e/m commerce", juillet 2018.
(6) Source: étude CB et TNS Kantar, fin 2017. Pourcentage de "oui certainement" + "oui probablement".
- Le paiement One click était, jusqu'à présent, généralement exclu de l'authentification forte car le commerçant considère que sa connaissance du client est suffisante. Dès septembre 2019, cela pourrait changer si aucune dérogation prévue par les RTS ne s'applique.
-Une liste de bénéficiaires de confiance peut être déclarée par le porteur de la carte bancaire auprès de son prestataire de paiement émetteur.
-Les opérations d'un montant inférieur ou égal à 30 euros sont exemptées d'authentification forte. La dérogation est appliquée par le prestataire de paiement émetteur.
-Les opérations récurrentes sont également un cas de dérogation.
-Les procédures et protocoles de paiement sécurisés par les entreprises ne sont pas concernés.
-Enfin, le prestataire de paiement émetteur peut effectuer une analyse de risque de la transaction et décider de ne pas avoir recours à une authentification forte. Une condition toutefois: les prestataires de paiement acquéreur et émetteur doivent avoir un taux de fraude sous les seuils définis dans les RTS. En d'autres termes, le cours à l'authentification dépend du bien acheté (car les taux de fraude varient d'un secteur à l'autre) et de la banque du client et de l'e-marchand.
Source: "Position sur l'évolution de l'authentification forte des transactions cartes e/m commerce", Conseil consultatif du commerce, juillet 2018.