E-commerce et e-paiement : le nouveau défi de l’authentification forte
Notre manière d’effectuer des paiements et des transactions a beaucoup changé. Du troc à l’invention de la monnaie, les moyens de commercer se sont multipliés avec le temps. En 2020, le défi qui se pose pour les acteurs du paiement à travers le monde est de réguler et sécuriser les nouveaux types de paiements digitaux. A l’heure où faire des achats en ligne est devenu pratique courante, s’assurer que l’intégralité des transactions effectuées via ce canal soient sécurisées est primordial.
L’évolution de la sécurité des paiements en ligne
Pour ce faire, la Commission Européenne et l’Autorité Bancaire Européenne (ABE) ont mis en place en 2009 la première Directive sur les Services de Paiement. La mesure phare de ce premier document concernait la sécurité des transactions en e-commerce. Une fois son achat en ligne confirmé, l’utilisateur est redirigé sur une nouvelle page Web où il devra entrer le code de confirmation qui lui aura été envoyé par SMS par sa banque. Cette pratique a représenté la première barrière mise en place pour contrer la fraude en ligne.
Encore active aujourd’hui, elle ne suffit malheureusement plus pour couvrir l’énorme diversité de moyens de paiement disponibles en ligne. L’ouverture des flux financiers avec l’Open Banking a permis à de nombreux nouveaux acteurs de proposer leurs solutions de paiement. Là où le secteur traditionnel bancaire mettait du temps à changer ses pratiques, les crypto-monnaies, néo-banques et autres nouveautés sont apparues sur une courte période de quelques années.
La multiplication rapide de ces nouvelles solutions a donc poussé la Commission Européenne à proposer une deuxième version de la Directive sur les Services de Paiements (DSP2). Validée en 2015 et appliquée progressivement depuis 2018, elle continue de s’adapter en observant les pratiques du marché. Le prochain point d’attention sur lequel la DSP2 va insister est le côté impératif (et plus seulement recommandé) de l’authentification forte lors d’achats en ligne. Historiquement, deux mesures importantes de sécurité pour les achats en ligne et à distance se sont implémentées, dans cet ordre :
- Au début des années 2000, le cryptogramme visuel est mis en place pour faire office de première barrière contre la fraude au paiement à distance. Composé de trois chiffres, il apparaît au dos des cartes de paiement et est demandé au porteur pour valider ce type d’achats.
- Le 3D Secure va ensuite faire son apparition à la fin des années 2000 afin de consolider les premières bases mises en place en termes de sécurité des paiements à distance. Cette authentification à deux facteurs consiste à envoyer par un canal différent (souvent par SMS) un code de confirmation à l’acheteur. L’objectif reste de s’assurer que la personne confirmant l’achat est bien celle qui l’a effectué.
A partir du premier janvier 2021, une troisième mesure a donc officiellement été instaurée : l’authentification forte à deux facteurs. L’application de cette authentification forte va progressivement être mise en place pour devenir in fine la norme lors des achats en ligne.
De nouveaux moyens sécurisés d’authentification
Comment définir et appliquer une authentification « forte » ?
Les acteurs du paiement se penchent sur cette question afin de mettre en place des moyens sécurisés et pertinents pour authentifier de manière certaine l’acheteur. Les avancées technologiques, comme dans beaucoup d’autres domaines, permettent l’apparition d’innovations et de nouvelles méthodes liées au paiement.
Parmi ces méthodes, l’une semble faire de plus en plus l’unanimité : la biométrie. Notre identité biométrique peut être définie par l’ensemble des données biologiques nous constituant, de notre empreinte digitale à l’iris de nos yeux. Ces données sont évidemment plus fiables qu’un numéro, un code ou un cryptogramme, votre identité biométrique étant unique et difficilement falsifiable.
L’authentification forte va donc consister en une validation à deux facteurs. Lorsque vous effectuerez des achats en ligne, deux éléments vous seront maintenant demandés parmi les trois suivants :
- Une information sensible que vous seul êtes censé connaître. On parle ici des mots de passe, questions secrètes et autres codes de sécurité.
- Une vérification via un support en votre possession: votre téléphone mobile personnel, votre carte bancaire…
- Une donnée biométrique, recueillie par exemple via un scan de l’empreinte digitale sur une application bancaire. Plus tard, des identifications par l’iris des yeux, reconnaissance vocale et autres feront leur apparition.
Le défi des E-commerçants et des prestataires de services de paiement va être de rendre cette authentification la plus rapide et la moins contraignante possible. Des obstacles étant déjà présents lors d’achats en ligne, comme les formulaires d’inscription et de paiement, il faudra éviter que l’authentification forte ne ralentisse trop le parcours. Beaucoup de transactions en ligne sont interrompues par les internautes à cause de ces facteurs ralentissants. Et la menace des abandons de panier massifs a déjà été brandie par plusieurs acteurs au moment de la mise en œuvre de cette nouvelle mesure.
Un autre point à suivre concernant l’implémentation de cette authentification forte sera celui de l’accès à la technologie. Pour effectuer une vérification biométrique, le porteur de carte devra posséder un smartphone, télécharger ensuite son application bancaire et apprendre à l’utiliser. Pour les nouvelles générations, ces démarches seront assez naturelles. Pour les générations précédentes, un peu moins. Une partie de la population va sûrement être réticente à l’idée de changer ses habitudes de consommation et devra être accompagnée dans ce changement.
Il faudra donc bien veiller à ce que ces nouvelles mesures de sécurité soient accessibles et applicables par tous. Dans tous les cas, l’authentification forte va s’imposer comme la norme sécuritaire en matière de paiement en ligne, et nous devrons tous nous y adapter.
