Authentification forte du client pour sécuriser les achats en ligne (norme DSP2)

11/12/2019

D’ici décembre 2020, de nouveaux dispositifs d’authentification renforcée vont remplacer progressivement l’utilisation du code de validation par SMS utilisé lors des achats en ligne.

Si depuis le 14 septembre 2019, le dispositif d’“authentification forte” permet d’identifier de façon plus fiable l’utilisateur d’une carte bancaire qui effectue un paiement en ligne, la mise en oeuvre des règles relatives à ce nouveau dispositif destiné à renforcer la sécurité des paiements en ligne et l’accès à un compte par Internet ne devrait en réalité s’achever qu’en 2022.

Authentifier plus fortement le titulaire de la carte de paiement avec laquelle un achat en ligne est effectué, doit en effet permettre de réduire l’utilisation frauduleuse des instruments de paiements en ligne. Ce système d’authentification forte du payeur (aussi appelé SCA pour “Strong Customer Authentication”) qui permet de s’assurer de l’identité du payeur lors d’un achat par internet, a été généralisé par la deuxième directive UE 2015/2366 du 25 novembre 2015 relative aux services de paiement (DSP2), transposée en droit français par l’ordonnance n° 2017-1252 du 9 août 2017, ratifiée par la loi n° 2018-700 du 3 août 2018 et entrée en vigueur le 13 janvier 2018, suivant des conditions précisées par l’Autorité bancaire européenne.

Initialement applicable depuis le 14 septembre 2019, la mise en œuvre progressive des processus d’authentification forte a finalement été repoussée jusqu’en 2022 suivant l’avis de l’Autorité bancaire européenne (ABE) du 21 juin 2019, compte tenu des difficultés qu’aurait engendré la migration vers de nouveaux procédés d’authentification forte dans une courte période.

Ce système, également applicable lors d’un paiement sans contact ou d’une connexion à sa banque en ligne, institue deux niveaux d’identification du payeur lors d’une transaction en ligne. Il devrait ainsi remplacer progressivement le recours aux codes SMS par des solutions plus avancées, reposant par exemple sur une empreinte biométrique ou la saisie d’un code confidentiel.

L’article L. 133-4, f) du code monétaire et financier définit l’authentification forte du client comme une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories suivantes :

D’après le plan de migration sur les dispositifs d’authentification des paiements en ligne communiqué par l’Observatoire de la sécurité des moyens de paiements, d’ici décembre 2020 la grande majorité des consommateurs bénéficiera de ces nouvelles solutions d’authentification renforcée telles que définies par la DSP2 et d’ici mars 2021, l’ensemble des acteurs (banques et e-commerçant) se connectera à cette nouvelle infrastructure et appliquera les règles de fonctionnement définies par la DSP2.

Jusqu’à présent, et depuis 2008, le SMS à usage unique (SMS OTP: one time password) permet de sécuriser les achats en ligne et d’authentifier a priori le titulaire de la carte bancaire. Ce système appelé 3D Secure, consiste à valider une transaction de paiement faite en ligne par carte bancaire, en composant un code de sécurité à usage unique reçu par SMS par le consommateur et envoyé par la banque. La sécurité de ce protocole technique de communication entre la banque et le commerçant a été remise en cause en raison notamment des transactions réalisées grâce aux informations figurant sur la carte bancaire en cas de vol de téléphone, et ont donc conduit à renforcer le système d’authentification du client.

Selon l’ABE, le SMS OTP ne repose que sur un seul facteur : la possession du mobile du porteur, qui sert à recevoir le code de validation. Elle ne serait donc pas conforme aux exigences DSP2 dans la mesure où ce mode d’authentification ne fait intervenir ni facteur biométrique, ni facteur de connaissance.

L’article L. 133-44, I du code précité dispose que “le prestataire de services de paiement applique l’authentification forte du client lorsque le payeur:

1°) accède à son compte de paiement en ligne;

2°) initie une opération de paiement électronique;

3°) exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse”.

La directive DSP2, dans son article 42, prévoit cependant des dérogations à cette authentification forte, en cas de paiements inférieurs à 30 euros notamment ou de paiements récurrents de même montant au profit du même bénéficiaire.