C’est dans le cadre d’un projet ayant pour objectif de faire baisser le taux de fraude sur les paiements en ligne par carte bancaire que la nouvelle directive européenne DSP2 invite les e-commerçants à mettre à jour leur solution de paiement. Alors que ces derniers étaient censés appliquer une nouvelle méthode d’authentification “forte” avant le 14 septembre 2019, elle a finalement été repoussée de 3 ans en France.
0,07% de fraude avec l’envoi de SMS
Alors que se développent de plus en plus les solutions de contrôle d’identité par empreinte biométrique ou reconnaissance faciale, l’Autorité Bancaire Européenne demande aux e-commerçants qu’ils protègent davantage les particuliers. Ils devront ainsi aller au delà du simple envoi d’un code unique par SMS (dans le cadre de la procédure “3D Secure”) en utilisant de nouvelles technologies plus sécurisées.
Cela ne veut pour autant pas dire que la vérification d’identité par SMS n’a pas porté ses fruits : le taux de fraude des transactions authentifiées par ce moyen est de 0,07%, contre 0,21% (soit 3x plus) pour les transactions non authentifiées, dixit les chiffres de l’Observatoire des moyens de paiement. Comme l’expliquent nos confrères des Échos, cela représente en moyenne 1€ de fraude pour 578€ de transaction.
L’inquiétude des e-commerçants
Dès lors qu’elle a été annoncée, cette nouvelle directive a fait trembler tous les e-commerçants européens, qui appréhendaient déjà une chute drastique du nombre de transactions. Une étude menée par le spécialiste des paiements Stripe a estimé à 57 milliards d’euros le coût d’une telle mise à jour pour l’écosystème.
Avec le délai supplémentaire, les marchands, prestataires de services de paiement et autres banques en ligne pourront ainsi mieux s’adapter pour migrer progressivement leur base de clients vers de telles solutions. Norbert Pieper, l’attaché de presse du régulateur allemand (BaFin) explique de manière lucide : “La mise en place de ces solutions prend un temps considérable”.
Avec l’accord de l’Autorité Bancaire Européenne, plusieurs pays ont pris la décision de décaler de quelques mois (ou années) l’entrée en vigueur de la directive : si la France s’est engagé à contraindre ses e-commerçants à appliquer cette authentification forte à partir de 2022, le Royaume-Uni accorde un délai plus restreint. L’Allemagne, l’Italie et l’Espagne ont également annoncé avoir retardé la mise en application.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
D’accord, mais de quelle façon les pirates s’y prennent-ils pour subtiliser les codes confidentiels uniques ?
Parce qu’en principe, ils n’ont pas accès à notre téléphone (à moins bien sûr qu’on ait téléchargé une application qui comportait une porte dérobée ou quelque chose de ce type).
Parce que c’est un TISSU DE MENSONGES, exprès parce qu’ils ont des intérets à fliquer leurs clients, et en accord avec les banques centrales américaines pour pister tout le monde. Le problème vient de ceux qui ont accepté ces dispositifs de paiement smartphone, tout comme beneficier de réductions dans les magasins uniquement si vous avez un smartphone, c’est une HONTE! Il ne faut pas se laisser faire et mettre à l’INDEX tous ceux qui ont accepté le deal. Quand aux banquiers et aux personnels qui acceptent ainsi que les caissières, je les MAUDIS.
Via ce qu’on appelle une attaque de SIM Swapping : le pirate se « déclare » auprès du réseau opérateur avec une autre carte SIM, et l’associe au numéro du propriétaire de la carte bancaire visé.
De cette façon, il peut intercepter les appels et les SMS d’un numéro donné depuis n’importe quel endroit, sans avoir accès au téléphone d’origine.
C’est une faille du protocole GSM (n’ayant sûrement pas le droit de mettre des liens ici, une recherche sur Internet devrait vous en apprendre plus).
Est-ce que ce coût de mise en place n’est pas supérieur au préjudice ? Sans compter les gens qui n’ayant pas de lecteur d’empreinte (ou ne voulant pas l’utiliser) sur leur téléphone vont juste renoncer à leur achat et aller sur un site moins contraignant ?