Achat en ligne : vers la fin du code d’authentification par SMS en 2019
Pour valider les achats en ligne, les consommateurs doivent généralement renseigner un code à usage unique qu’ils ont préalablement reçu. Cette procédure baptisée SMS One time passeword ne répond pas aux nouvelles exigences européennes en matière de sécurité des paiements, notifiées dans la DSP2 qui entrera en vigueur en septembre 2019. Cette annonce provoque une vive inquiétude chez les e-commerçants et chez les banques car les consommateurs ont fortement recours à cette procédure d’authentification. En ce qui concerne les chiffres, la Banque de France évalue à 40 % les paiements en ligne qui font l’objet d’un contrôle renforcé contre la fraude à la carte bancaire dont 85 % via le système SMS-OTP d’après les données transmises par le Groupement des Cartes Bancaires CB. Le rapport annuel de l’Observatoire de la sécurité des moyens de paiement indique que la fraude à la carte bancaire en ligne est de 0,161 % du volume global dépensé. Ce chiffre représente donc un euro sur 620 euros de paiements.
La Commission européenne veut faire baisser la fraude à la carte bancaire en ligne
La Commission européenne estime que cette fraude est trop élevée. L’institution souhaite donc renforcer les mesures d’authentification en lançant la seconde version de sa directive européenne sur les services de paiement. Les banques sont incitées à s’assurer de l’identité de l’acheteur en vérifiant au moins deux des trois facteurs de reconnaissance qui doivent être indépendants entre eux : la connaissance, la possession et l’inhérence. La connaissance consiste à demander au client une chose que seul lui peut connaître. La possession se traduit par l’implication de quelque chose que seul le client dispose. Enfin, l’inhérence requiert la certification d’un trait physique de l’acheteur, qu’apporte la biométrie avec la reconnaissance faciale ou digitale. Pourtant, le SMS répond bien à deux exigences : la possession du smartphone et la connaissance du code délivré par SMS. Le souci est la non indépendance des deux critères puisque le texto est reçu sur le smartphone.
De la biométrie à la carte bancaire virtuelle : quelles alternatives ?
Afin de parfaire le système de sécurisation des paiements en ligne et d’opérer une stratégie de migration progressive, les banques et les commerçants veulent plus de temps. Pour Loÿs Moulin, directeur du développement chez Cartes Bancaires CB, « il n'est pas pensable d'imaginer qu'en un an, on va à la fois généraliser de nouvelles méthodes d'authentification forte et former tous les consommateurs à les utiliser en lieu et place du mot de passe à usage unique par SMS. ». Bertrand Pineau, directeur de l'innovation de la Fédération e-commerce et vente à distance (FEVAD) rappelle que « les changements exigés par l’Union européenne nécessitent beaucoup d’innovations (…) Des changements trop brutaux pourraient pénaliser toutes les parties. ». Quels seraient les dispositifs alternatifs au SMS-OTP envisageables ? On peut évoquer la biométrie (scan d’empreintes digitales) ou l’octroi d’un code dédié aux achats en ligne par les banques. Mais des solutions existent déjà comme la carte bancaire virtuelle chez les banques en ligne et les banques traditionnelles comme l’e-carte bleue de la Banque Populaire ou l’e-carte bleue de la Caisse d’Epargne.
Un impact sur les chiffes du e-commerce à prendre en compte
Les acteurs concernés au niveau européen mettent en garde contre l’instauration d’un nouvel obstacle pour le fleurissant commerce en ligne. Celui-ci représente dans l’hexagone 8,5 % du total du commerce de détail selon une étude de la FEVAD datant de 2018. Des fédérations européennes de commerçants veulent avoir trois ans pour le déploiement de dispositifs anti-fraude alternatifs. Elles s’inquiètent surtout d’un rallongement du parcours client qui provoquerait automatiquement une baisse du taux de conversion et de la finalisation des achats en ligne. La néobanque Nickel, dont les clients font deux fois plus d’achats en ligne que la moyenne des Français, a également réagi en alertant sur la mise à l’écart « des consommateurs les moins bien équipés en smartphone ». Jérôme Calot, Directeur Marketing de Nickel, rappelle qu’une « des raisons qui expliquent que nos clients achètent davantage en ligne réside dans le fait qu’avec l’impossibilité d'être à découvert, les conséquences d’une fraude sont plus limitées. ».