EconomieFinance - Marchés

Les banques bientôt privées de SMS pour sécuriser les paiements en ligne

Les amateurs d’emplettes en ligne vont devoir changer leurs habitudes. Aujourd’hui, pour valider leurs achats, ils doivent souvent inscrire dans une fenêtre internet dédiée un code à usage unique reçu par texto. Demain, ce système (dit SMS-OTP pour « one time password ») ne sera plus suffisamment sécurisé au regard des nouvelles exigences européennes sur la sécurité des paiements.

Ce changement inquiète les banques et les commerçants français qui recourent massivement à ce dispositif. Dans l’Hexagone, un peu plus de 40 % des paiements en ligne, en montants, fait l’objet d’un contrôle anti-fraude renforcé, selon la Banque de France. Or, dans plus de 85 % des cas, cette « authentification forte » est effectuée par les banques à l’aide d’un texto, selon le Groupement des Cartes Bancaires CB, qui pilote le système de paiement par cartes en France.

De nouvelles règles du jeu dès septembre 2019

Alliées aux commerçants, les banques demandent donc du temps aux régulateurs pour trouver des systèmes de sécurité alternatifs. « Une stratégie de migration progressive vers de nouvelles méthodes d’authentification forte doit être mise en place » souligne, dans un document récent, un comité de représentants de banques et de commerçants réunis par  Cartes Bancaires CB.

En principe, les acteurs du paiement en ligne ont encore plusieurs mois pour réaliser cette migration. Les nouvelles règles européennes de sécurisation des paiements en ligne entreront en vigueur en septembre 2019 (en vertu de  la régulation dite DSP2) .

Une question d’années

« Il n’est pas pensable d’imaginer qu’en un an, on va à la fois généraliser de nouvelles méthodes d’authentification forte et former tous les consommateurs à les utiliser en lieu et place du mot de passe à usage unique par SMS », assure pourtant Loÿs Moulin, directeur du développement chez Cartes Bancaires CB.

« Il faut qu’il y ait un délai de migration qui soit donné », insiste-t-il. Les intéressés ne précisent pas la durée du délai envisagé. Toutefois pour que l’écosystème s’adapte à un nouveau système de sécurisation des paiements, « ce n’est pas une question de mois mais d’années », indique Loÿs Moulin.

Un risque pour le commerce en ligne

Aux dires des banques et des commerçants, basculer dès à présent vers un autre outil anti-fraude pèserait sur le commerce en ligne, aujourd’hui en plein développement. « Il y aurait un risque majeur que de nombreux achats en ligne ne soient pas finalisés », explique Jean-Michel Chanavas, délégué général de Mercatel, un think tank au service des commerçants et distributeurs.

Cette conviction est partagée au niveau européen. Dans un courrier daté de la fin du mois d’octobre, plusieurs fédérations européennes de commerçants demandent au gendarme bancaire européen de revoir sa copie sur la sécurité des paiements et de donner trois ans aux acteurs concernés pour déployer des dispositifs anti-fraude alternatifs.

La biométrie, une solution parmi d’autres

Dans l’immédiat en France, les acteurs du paiement en ligne veulent pouvoir continuer à sécuriser les paiements grâce aux codes à usage unique envoyés par SMS. D’autant que ce dispositif permet des « gains notables en termes de lutte contre la fraude aux paiements sur internet », note un rapport de la Banque de France.

Reste à savoir quels outils succéderont au texto pour répondre au cadre européen. La biométrie fait partie des solutions que les banques pourraient déployer. A l’avenir, le client pourrait par exemple valider son achat en scannant son empreinte digitale sur son smartphone. Les banques pourraient aussi choisir de communiquer à leurs clients un code dédié à tous leurs achats sur internet.

Pour confirmer leurs paiements, les consommateurs n’auraient qu’à inscrire ce code dans une application bancaire ouverte sur leur téléphone portable. « Je pense que c’est la méthode qui va être la plus facile à mettre en oeuvre dans l’esprit des consommateurs », assure Loÿs Moulin, chez Cartes Bancaires CB.


Continuer à lire sur le site d’origine