Dès le 14 septembre 2019, pour tout paiement supérieur à 30 €, les sites de commerce électronique devront utiliser des méthodes d’authentification forte du client. Marchands et clients devront s’habituer à l’authentification à deux facteurs. Mais le marché n’est pas encore prêt …
Qu’est ce qui change ?
Le 15 septembre 2019 marquera ainsi l’entrée en vigueur d’une des dispositions les plus visibles de la directive pour le citoyen lambda : les États membres « veillent à ce qu’un prestataire de services de paiement applique l’authentification forte du client lorsque le payeur accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse ».
Authentification et authentification forte ?
Un code, un numéro unique, une mot de passe, etc. sont autant de procédures, même si elles n’ont pas la même efficacité et ne présentent pas le même niveau de sécurité.
D’où l’idée de l’authentification « forte » du client , une authentification reposant sur l’utilisation de deux éléments ou plus, comme quelque chose que seul l’utilisateur connaît — un digipass, un numéro inscrit sur une carte physique, un code envoyé par SMS au moment de la transaction par exemple —, quelque chose que seul l’utilisateur possède ou quelque chose que l’utilisateur est : une empreinte digitale, la reconnaissance faciale ou les caractéristiques morphologiques, par exemple. Ces données sont indépendantes : la compromission de l’une ne remet pas en question la fiabilité des autres.
L’authentification forte repose donc sur une combinaison d’au moins DEUX éléments.
Libre choix
Le choix des deux éléments est laissé au libre choix des commerçants et des banques, à condition qu’ils soient « indépendants ». Il est logique de laisser le choix au marché car la technologie n’a de sens qu’en rapport avec le produit ou le service vendu, la clientèle visée, le canal de distribution, etc.
Le système 3D-Secure n’est donc pas le seul reconnu. Ce système, en place depuis plusieurs années, repose sur une idée similaire : la combinaison de deux informations provenant des différents domaines qui interagissent pour une transaction : le commerçant et sa banque (1er domaine), le payeur et sa banque (2ème domaine) et le système d’interopérabilité international (3ème domaine).
Efficace, le système 3D-Secure a néanmoins un défaut : il n’est pas très convivial, au point que certains consommateurs renoncent parfois à leur achat s’ils voient l’interface s’afficher. Le système 3D-Secure version 2.0 est supposé corriger ce défaut, grâce à des technologies de reconnaissance faciale.
Au-delà des paiements en ligne et de l’accès au compte de paiement en ligne, l’authentification forte intervient à d’autres niveaux. C’est ainsi qu’en cas de perte ou de vol de l’instrument de paiement, l’existence ou non de cette authentification forte est un pivot du partage de responsabilité.
Tous les paiements ? Il y a des exceptions
Sans entrer dans les détails, ne sont notamment pas visés :
Les paiements portant sur un petit montant ;
Les paiements composés de moins de six transactions successives ou dont le montant cumulé ne dépasse pas 100€ (150€ pour un paiement sans contact) ;
Les paiements vers un bénéficiaire de confiance ;
Les transactions considérées comme étant à faible risque ;
Certains paiements très spécifiques sur un automate (péage ou parking).
Une méthode n’est pas l’autre
Il est urgent que chaque commerçant contacte sa banque pour voir, parmi la panoplie technique proposée par celle-ci, les procédures qui peuvent convenir à chaque situation. En fonction de la plateforme, de la technologie, du produit ou du service vendu ou encore du profil de la clientèle, une méthode n’est pas l’autre. Le risque est réel : le 15 septembre, la banque coupera le flux de transactions, ce qui serait pour le moins problématique.
Il est aussi urgent de communiquer avec les clients, car un changement d’habitude au niveau du paiement est toujours délicat.
[Source : Droit et technologie]
