Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

L'e-commerce, victime collatérale de l'obligation de double authentification (DSP2) ?

A partir du 14 septembre 2019, pour tout paiement en ligne supérieur à 30 euros, une double authentification sera nécessaire. L'Union Européenne a finalement accordé un sursis jusqu'en 2022 pour plus de 20 Etats membres, dont la France. En effet, cette nouvelle obligation – exigée par la Directive sur les services de paiement (DSP2) – bouleverse le quotidien des sites de e-commerces et des banques. Explications.
Twitter Facebook Linkedin Flipboard Email
×

L'e-commerce, victime collatérale de l'obligation de double authentification (DSP2) ?
Cette législation européenne a pour ambition de sécuriser les comptes en ligne afin de limiter la fraude sur les paiements en ligne par carte bancaire. © Nicklas Alejandro

Le changement peut sembler mince et pourtant… A partir du 14 septembre 2019, pour tout paiement en ligne supérieur à 30 euros, une double authentification – ou 3DSecure 2 – sera obligatoire. La two-factors authentification est une méthode par laquelle un utilisateur peut accéder à une ressource informatique après avoir présenté deux preuves d'identités distinctes.

 

Créée sous l'égide de la Directive sur les services de paiement 2e génération (DSP2), adoptée le 25 novembre 2015 (ci-dessous), cette législation européenne a pour ambition de sécuriser les comptes en ligne afin de limiter la fraude par carte bancaire.

 

 

 

L'authentification par SMS a fait ses preuves, mais...

Aujourd'hui, dans la majorité des cas, l'authentification se fait via l'envoi d'un SMS contenant un code. Elle repose donc uniquement sur la possession du smartphone du porteur qui sert à recevoir le message de confirmation. Appelée "SMS 3D Secure", cette méthode a fait ses preuves. Selon l'Observatoire de la sécurité des moyens de paiement, en 2018, le taux de fraude par paiement authentifiés est de 0,07 %, contre 0,21 % pour les transactions non authentifiées. 

 

Mais cette méthode connaît également des ratés avec le "SIM swap" (échange de carte SIM) qui cible précisément ce type d'authentification renforcée. Jack Dorsey, le patron de Twitter, en a fait les frais le 30 août 2019. Cette fraude permet d'associer à une autre carte SIM le numéro de téléphone de l'utilisateur ciblé. Concrètement, dans un premier temps, l'usurpateur appelle le numéro d'assistance de l'opérateur mobile en prétextant la perte de la carte ou un changement de téléphone. Une nouvelle carte SIM est alors activée par l'opérateur.

 

L'usurpateur récupère ainsi l'usage du téléphone et le fouille à la recherche d'un maximum d'informations personnelles. Il peut ainsi récupérer les données nécessaires pour recevoir le code de vérification d'achats en ligne. Un autre vecteur d'attaque utilisé par le passé consiste à réaliser des achats de façon répétée et à tester différents codes jusqu'à tomber sur le bon. Il exploitait une faiblesse du générateur de nombres aléatoires utilisé par les banques, mais la sécurité de ce dernier a été réhaussée ces derniers mois.

 

Les géants technologiques favorisent l'authentification multi-facteurs

Les géants de la tech préconisent également l'authentification à multiples facteurs. En mai 2019, Google en partenariat avec l'université de Californie et de New-York a affirmé que le simple ajout d'un numéro de téléphone de récupération peut bloquer 100% des systèmes automatisés, 99% des attaques par phishing de masse et 76% des attaques ciblées survenues au cours de cette année. Mais l'Union Européenne veut aller encore plus loin dans la sécurisation.

 

 

L'authentification apporte une preuve de l'identité

L'identification permet d'établir l'identité de la personne en répondant à la question "qui êtes-vous ?". L'authentification apporte une preuve de l'identité, soit "êtes-vous réellement cette personne ?". La nouvelle directive, complétée par un Règlement du 27 novembre 2017 (ci-dessous), impose "une authentification reposant sur l'utilisation de deux éléments ou plus".

 

 

En cas de non-conformité, la banque coupera le flux de transaction

Ce texte créé trois facteurs d'authentification par la connaissance (quelque chose que seul l'utilisateur connaît), la possession (quelque chose que seul l'utilisateur possède) et l'inhérence (quelque chose que l'utilisateur est). Ces facteurs doivent être "indépendants" de sorte que "la compromission de l'un ne remet pas en question la fiabilité des autres". Il est donc exigé au moins deux éléments sur trois, par exemple un mot de passe et un code SMS ou un mot de passe et une empreinte digitale. Dans le cas où le prestataire de service ne se mettra pas en conformité, la sanction sera lourde : la banque coupera le flux de transaction.

 

Une période transitoire de trois ans

Cette nouveauté a effrayé les commerçants absolument pas préparés à ce changement. Conséquence de quoi, selon une information du journal Les Echos, la Banque Centrale Européenne (BCE) a finalement accordé, fin août 2019, un sursis jusqu'en 2022 dans plusieurs Etats européens. Dans l'Hexagone, la Banque de France a instauré une transition en deux temps. Un premier délai de 18 mois doit permettre aux acteurs d'être en règle pour la majorité de leurs transactions. Puis un second délai, portant le tout à 36 mois, pour atteindre une conformité totale.

 

Jusque là, les sites marchands peuvent donc conserver la double authentification actuelle par SMS 3D Secure, soit l'envoi d'un SMS de vérification sur le téléphone portable de l'acheteur. Problème : l'ambition originelle des textes européens était de créer un cadre commun. Pour l'instant, c'est raté !

 

Apple Pay, un exemple de double authentification

"Auparavant, c'était un peu au bon vouloir de la banque", raconte Gaël Collin, avocat au barreau de Paris. En effet, un site pouvait imposer à l'acheteur un mot de passe ou l'envoi d'un code SMS. A partir de 2022, chaque site devra instaurer une authentification renforcée, libre à lui de choisir la combinaison de facteurs (connaissance, possession, inhérence). Certains sites atteignent déjà ce niveau de sécurité, comme Apple Pay. L'utilisateur peut utiliser son smartphone comme carte bancaire. Il lui suffit de rapprocher son téléphone d'un terminal de paiement. Le service exige également de justifier son identité par reconnaissance faciale ou empreinte digitale.

 

Une perte de 57 milliards d'euros d'activité économique en Europe

L'article 10 du Règlement prévoit néanmoins des dérogations où la double authentification ne sera pas nécessaire, comme pour les paiements de moins de 30 euros, les paiements échelonnés et pour les utilisateurs récurrents d'un même site (90 derniers jours auprès du même opérateur). Mais ces exemptions ne suffisent pas à rassurer les e-commerçants. Une étude de la plate-forme de paiement Stripe, menée par 451 Research, n'a fait que renforcer ces craintes. "Plus vous mettez de barrières lors du paiement et des niveaux de friction, moins les personnes vont acheter ou laisser leur panier puis le valider", explique maître Collin.

 

Cette étude, publiée en juin 2019, prédit une perte de 57 milliards d'euros d'activité économique pour l'Europe la première année suivant l'entrée en vigueur de l'authentification forte. Ces résultats reposent sur des enquêtes menées auprès de 500 professionnels de paiement en ligne et de 1000 consommateurs en France, en Allemagne, aux Pays-Bas, en Espagne et au Royaume-Uni. Il apparaîtrait que trois entreprises sur cinq de moins de 100 employés ne connaissent pas l'authentification forte et n'ont pas prévu de s'y conformer avant l'ancienne échéance de septembre ou ignorent quand elles seront prêtes. En revanche, chez les marchands de plus de 5000 employés, seul un professionnel du paiement sur 25 ignore cette régulation.

 

"On a fait un transfert de coût qui n'est pas vraiment justifié"

La double authentification impose également aux e-commerçants des lourdeurs administratives. En effet, ils vont devoir prouver qu'ils ont bien mis en œuvre cette réglementation. "Toutes les données, tous les paiements vont devoir être inscrits et gardés. Cela va vraiment faire beaucoup plus de travail pour eux", précise Gaël Collin. Typiquement, si un site choisi d'utiliser la reconnaissance faciale, il aura l'obligation de s'adresser à la Commission nationale de l'informatique et des libertés (CNIL). Ces étapes supplémentaires compliquent la mise en œuvre concrète de ces obligations.

 

"Au final, c'est le commerçant qui va payer pour la banque afin qu'elle n'ait plus à supporter les fraudes. On a fait un transfert de coût qui n'est vraiment justifié", commente Jason Benizri, avocat au barreau de Paris. En effet, en cas de fraude, c'est aujourd'hui la banque qui est responsable et qui va devoir rembourser l'acheteur. Avec ces nouvelles règles, ce sera au site d'e-commerce d'investir dans des nouveaux modes d'authentification minimisant le risque à l'origine. "Ce sera prétexte à vendre de la technologie plus coûteuse aux commerçants", poursuit l'avocat. Gaël Collin ajoute et conclut "Cette législation va clairement arranger les établissements bancaires."

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale