Suivez-nous

Tech

Jugée trop peu efficace, l’authentification par SMS doit trouver une alternative

Les e-commerçants ne pourront plus se contenter de vérifier l’identité de leurs clients en leur envoyant un code à usage unique par SMS. En France, ils devront migrer vers de l’authentification par empreinte biométrique ou reconnaissance faciale à partir de 2022.

Il y a

le

Paiement par carte
© Pexels- Negative Space

C’est dans le cadre d’un projet ayant pour objectif de faire baisser le taux de fraude sur les paiements en ligne par carte bancaire que la nouvelle directive européenne DSP2 invite les e-commerçants à mettre à jour leur solution de paiement. Alors que ces derniers étaient censés appliquer une nouvelle méthode d’authentification « forte » avant le 14 septembre 2019, elle a finalement été repoussée de 3 ans en France.

0,07% de fraude avec l’envoi de SMS

Alors que se développent de plus en plus les solutions de contrôle d’identité par empreinte biométrique ou reconnaissance faciale, l’Autorité Bancaire Européenne demande aux e-commerçants qu’ils protègent davantage les particuliers. Ils devront ainsi aller au delà du simple envoi d’un code unique par SMS (dans le cadre de la procédure « 3D Secure ») en utilisant de nouvelles technologies plus sécurisées.

Cela ne veut pour autant pas dire que la vérification d’identité par SMS n’a pas porté ses fruits : le taux de fraude des transactions authentifiées par ce moyen est de 0,07%, contre 0,21% (soit 3x plus) pour les transactions non authentifiées, dixit les chiffres de l’Observatoire des moyens de paiement. Comme l’expliquent nos confrères des Échos, cela représente en moyenne 1€ de fraude pour 578€ de transaction.

L’inquiétude des e-commerçants

Dès lors qu’elle a été annoncée, cette nouvelle directive a fait trembler tous les e-commerçants européens, qui appréhendaient déjà une chute drastique du nombre de transactions. Une étude menée par le spécialiste des paiements Stripe a estimé à 57 milliards d’euros le coût d’une telle mise à jour pour l’écosystème.

Avec le délai supplémentaire, les marchands, prestataires de services de paiement et autres banques en ligne pourront ainsi mieux s’adapter pour migrer progressivement leur base de clients vers de telles solutions.  Norbert Pieper, l’attaché de presse du régulateur allemand (BaFin) explique de manière lucide : « La mise en place de ces solutions prend un temps considérable ».

Avec l’accord de l’Autorité Bancaire Européenne, plusieurs pays ont pris la décision de décaler de quelques mois (ou années) l’entrée en vigueur de la directive : si la France s’est engagé à contraindre ses e-commerçants à appliquer cette authentification forte à partir de 2022, le Royaume-Uni accorde un délai plus restreint. L’Allemagne, l’Italie et l’Espagne ont également annoncé avoir retardé la mise en application.

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

3 Commentaires

3 Commentaires

  1. Patrick Huet

    27 août 2019 at 21 h 00 min

    D’accord, mais de quelle façon les pirates s’y prennent-ils pour subtiliser les codes confidentiels uniques ?
    Parce qu’en principe, ils n’ont pas accès à notre téléphone (à moins bien sûr qu’on ait téléchargé une application qui comportait une porte dérobée ou quelque chose de ce type).

  2. Sébastien

    27 août 2019 at 23 h 06 min

    Via ce qu’on appelle une attaque de SIM Swapping : le pirate se « déclare » auprès du réseau opérateur avec une autre carte SIM, et l’associe au numéro du propriétaire de la carte bancaire visé.
    De cette façon, il peut intercepter les appels et les SMS d’un numéro donné depuis n’importe quel endroit, sans avoir accès au téléphone d’origine.
    C’est une faille du protocole GSM (n’ayant sûrement pas le droit de mettre des liens ici, une recherche sur Internet devrait vous en apprendre plus).

  3. Dwalin

    28 août 2019 at 11 h 08 min

    Est-ce que ce coût de mise en place n’est pas supérieur au préjudice ? Sans compter les gens qui n’ayant pas de lecteur d’empreinte (ou ne voulant pas l’utiliser) sur leur téléphone vont juste renoncer à leur achat et aller sur un site moins contraignant ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les bons plans 🔥

Dernières news

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Advertisement RED

Les tests