L'authentification par SMS pour valider un paiement en ligne fait partie des habitudes des consommateurs. Le Groupe des Cartes Bancaires CB indique que 85 % des transactions passent par cette modalité d'authentification forte. Mais ce système one time passeword n'est plus considéré comme suffisant par l'Union européenne pour réduire les fraudes bancaires.
Pourquoi le one time passeword SMS est obsolète en 2019 ?
Les nouvelles règles européennes de sécurisation des paiements en ligne (DSP2) sont déployées à partir de septembre prochain. Jusqu'à présent, le dispositif d'authentification forte est jugé comme valide si au moins deux facteurs d'authentification sont réunis. Pour rappel, les facteurs d'authentification sont la possession (mot de passe, code Pin, etc.), la connaissance (numéro de mobile, de carte bancaire, etc.) et l'inhérence (empreinte digitale, reconnaissance faciale ou vocale, etc.).
Désormais, la nouvelle réglementation impose que ces facteurs soient indépendants, rendant le SMS caduque vis-à-vis de ces exigences. D'après l'Autorité bancaire européenne (ABE), le système one time passeword SMS réunit uniquement le facteur de la possession, c'est-à-dire le mobile qui reçoit le code à usage unique. Quid du numéro de vérification de la carte bancaire et de sa date de validité ? Ils ne peuvent pas être assimilés à un facteur de connaissance, car ils peuvent trop facilement être recopiés. Résultat : exit le one time passeword SMS.
Comment sécuriser les achats en ligne ?
Si les acteurs du paiement en ligne disposent de quelques mois pour entériner ce changement, les banques réclament plus de temps. Elles apostrophent les régulateurs sur la difficulté à généraliser de nouvelles méthodes d'authentification forte, démarche qui nécessite une réflexion sur plusieurs années.
Parmi les solutions, la biométrie apparaît intéressante, la validation d'un achat en ligne pouvant se conclure par le scan de l'empreinte digitale. D'autres alternatives sont envisageables comme l'utilisation de cartes bancaires virtuelles ou le fait pour les banques d'octroyer un code réservé aux achats sur le web, accessible depuis l'application mobile bancaire.
En attendant, les commerçants s'inquiètent de la complexité à former les consommateurs pour qu'ils changent leurs habitudes. De plus, l'authentification forte rajoute des étapes dans le parcours client. Autant de contraintes qui risquent de décourager la clientèle e-commerce.
