Dès le 14 septembre 2019, pour tout paiement supérieur à 30 €, les sites de commerce électronique devront utiliser des méthodes d’authentification forte du client. Marchands et clients devront s’habituer à l’authentification à deux facteurs. Le marché n’est pas encore prêt …

Qu’est ce qui change ?

La directive sur les services de paiement (UE) 2015/2366 révisée, appelée PSD2, est entrée en vigueur le 13 janvier 2018. Par dérogation, certains articles ne s’appliquent que plus tard.

Le 15 septembre 2019 marquera ainsi l’entrée en vigueur d’une des dispositions les plus visibles de la directive pour le citoyen lambda : les États membres « veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur :

  1. accède à son compte de paiement en ligne;
  2. initie une opération de paiement électronique;
  3. exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse. »

Authentification et authentification forte ?

Les deux notions sont définies par la directive :

L’authentification est : « une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur. »

Jusque-là, rien de bien nouveau : sont visées toutes les procédures mises en place pour vérifier l’identité de l’utilisateur ou la validité de l’utilisation. Un code, un numéro unique, une mot de passe, etc. sont autant de procédures au sens de la directive, même si elles n’ont pas la même efficacité et ne présentent pas le même niveau de sécurité.

D’où l’idée de l’authentification forte du client : « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l’utilisateur connaît), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ».

L’authentification forte repose donc sur une combinaison d’au moins DEUX éléments. C’est pourquoi on parle aussi de double authentification ou de two-factors authentification.

Les éléments sur lequel reposent l’authentification forte sont de trois types :

  • Connaissance : ce que je sais.
  • Possession : ce que j’ai.
  • Inhérence : ce que je suis.

Un mot de passe, le nom du mon restaurant favori ou un code PIN, relèvent de ce que « sais ».

Un digipass, un numéro inscrit sur une carte physique, un code envoyé par SMS sur mon mobile au moment de la transaction, relèvent de ce que « j’ai ».

Une empreinte digitale, la reconnaissance faciale ou les caractéristiques morphologiques, relèvent de ce que je « suis ».

L’authentification forte consiste donc à sécuriser le paiement par la combinaison d’au moins deux éléments parmi ceux-ci : par exemple un mot de passe + un code unique reçu sur mon GSM.

le choix des deux éléments est laissé au libre choix des commerçants et des banques, à la condition qu’ils soient « indépendants » en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres. Il est logique de laisser le choix au marché car la technologie n’a de sens qu’en rapport avec le produit ou le service vendu, la clientèle visée, le canal de distribution, etc.

Le système 3D-Secure n’est donc pas le seul reconnu. Ce système, en place depuis plusieurs années, repose sur une idée similaire : la combinaison de deux informations provenant des différents domaines qui interagissent pour une transaction : le commerçant et sa banque (1er domaine), le payeur et sa banque (2ème domaine) et le système d’interopérabilité international (3ème domaine).

Efficace, le système 3D-Secure a néanmoins un défaut : il n’est pas très convivial, au point que certains consommateurs renoncent parfois à leur achat s’ils voient l’interface s’afficher. Le système 3D-Secure version 2.0 est supposé corriger ce défaut, grâce à des technologies de reconnaissance faciale.

Au-delà des paiements en ligne et de l’accès au compte de paiement en ligne, l’authentification forte intervient à d’autres niveaux. C’est ainsi qu’en cas de perte ou de vol de l’instrument de paiement, l’existence ou non de cette authentification forte est un pivot du partage de responsabilité créé par la PSD2 (voir articles 73 et 74).

Tous les paiements ?

Il y a des exceptions.

Sans entrer dans les détails, ne sont notamment pas visés (Voir rapport de l’Observatoire en annexe pour plus d’infos) :

  • Les paiements portant sur un petit montant ;
  • Les paiements composés de moins de six transactions successives ou dont le montant cumulé ne dépasse pas 100€ (150€ pour un paiement sans contact) ;
  • Les paiements vers un bénéficiaire de confiance ;
  • Les transactions considérées comme étant à faible risque ;
  • Certains paiements très spécifiques sur un automate (péage ou parking).

Concrètement

Il est urgent que chaque commerçant contacte sa banque pour voir, parmi la panoplie technique proposée par celle-ci, les procédures qui peuvent convenir à chaque situation. En fonction de la plateforme, de la technologie, du produit ou du service vendu ou encore du profil de la clientèle, une méthode n’est pas l’autre. Le risque est réal : le 15 septembre, la banque coupera le flux de transaction, ce qui serait pour le moins problématique.

Il est aussi urgent de communiquer avec les clients, car un changement d’habitude au niveau du paiement est toujours délicat.