carte blanche

En septembre, l'Europe bascule dans l'authentification forte pour les paiements électroniques

Dès le 14 septembre 2019, pour tout paiement supérieur à 30 euros, les sites de commerce électronique devront utiliser des méthodes d’authentification forte du client. Marchands et clients devront s’habituer à l’authentification à deux facteurs.

La directive sur les services de paiement (UE) 2015/2366, appelée PSD2, est entrée en vigueur le 13 janvier 2018. Par dérogation, certains articles ne s’appliquent que plus tard. Le 15 septembre 2019 marquera ainsi l’entrée en vigueur d’une des dispositions les plus visibles de la directive: les États membres "veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur:

- accède à son compte de paiement en ligne;

- initie une opération de paiement électronique;

- exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse."

"Les éléments sur lesquels repose l’authentification forte sont de trois types: connaissance, possession, inhérence."


La notion d’"authentification" vise toutes les procédures mises en place pour vérifier l’identité de l’utilisateur ou la validité de l’utilisation. Un code, un numéro unique, un mot de passe, etc., sont autant de procédures au sens de la directive, même si elles n’ont pas la même efficacité et ne présentent pas le même niveau de sécurité.

D’où l’idée de l’"authentification forte" du client. Cette notion renvoie à l’"authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l’utilisateur connaît), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification".

Les éléments sur lesquels repose l’authentification forte sont de trois types:

- Connaissance: ce que je sais (un mot de passe, un code PIN...)

- Possession: ce que j’ai (une carte, un digipass générant un code d’authentification...)

- Inhérence: ce que je suis (une empreinte digitale, la reconnaissance faciale...).

"Le choix des éléments est laissé à la discrétion des commerçants et des banques, à la condition qu’ils soient indépendants."

L’authentification forte repose sur une combinaison d’au moins deux éléments: par exemple un mot de passe + un code unique reçu sur mon GSM. Le choix des éléments est laissé à la discrétion des commerçants et des banques, à la condition qu’ils soient "indépendants", en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres.

Le système 3D-Secure n’est donc pas le seul reconnu. Ce système, en place depuis plusieurs années, repose sur une idée similaire: la combinaison de deux informations provenant des différents domaines qui interagissent pour une transaction: le commerçant et sa banque (1er domaine), le payeur et sa banque (2e domaine) et le système d’interopérabilité interna-tional (3e domaine). Efficace, le système 3D-Secure a néanmoins un défaut: il n’est pas très convivial, au point que certains consommateurs renoncent parfois à leur achat s’ils voient l’interface s’afficher. Le système 3D-Secure 2.0 est supposé corriger ce défaut grâce à la technologie de reconnaissance faciale.

En cas de fraude, l’existence ou non de l’authentification forte sera un pivot du partage des responsabilités.

Il est, par ailleurs, à noter qu’au-delà des paiements en ligne et de l’accès au compte de paiement en ligne, l’authentification forte intervient à d’autres niveaux. C’est ainsi qu’en cas de fraude, l’existence ou non de cette authentification forte sera un pivot du partage des responsabilités et le commerçant qui n’aura pas mis en place un système d’authentification forte pourra voir sa responsabilité alourdie.

Il est urgent que chaque commerçant contacte sa banque pour voir, parmi la panoplie technique proposée par celle-ci, les procédures qui peuvent convenir à chaque situation. En fonction de la plateforme, de la technologie, du produit ou du service vendu ou encore du profil de la clientèle, une méthode n’est pas l’autre. Le risque est réel: le 15 septembre, la banque coupera le flux de transaction, ce qui serait plutôt problématique.

Il est aussi urgent de communiquer avec les clients car un changement d’habitude au niveau du paiement est toujours délicat.

Lire également

Echo Connect