Le manque d’efficacité du système d’authentification par SMS pour les transactions en ligne a incité l’Union Européenne à prendre des mesures renforcées. La Directive DSP2 aura pour objectif de mettre en place des systèmes d’identification plus fiables, notamment avec la reconnaissance faciale et les empreintes digitales.
Prévue pour être appliquée à partir de Septembre 2019, cette mesure vient d’être reportée pour l’année 2022 par les autorités françaises. Les e-commerçants et les banques disposent ainsi de trois ans supplémentaires pour mettre à jour leurs procédures de transaction en ligne.
Les directives DSP2 garantiront plus de sécurité pour les consommateurs
Actuellement, 85% des achats en ligne sont vérifiés par l’envoi d’un code SMS à usage unique avant d’être validés. Cette procédure a permis d’éliminer le tiers des fraudes au niveau des paiements sur internet. En effet, selon l’observatoire de la sécurité des moyens de paiement, 0,21% des fraudes sont recensées pour les transactions qui ne bénéficient pas de ce moyen d’authentification, contre 0,07% pour celles qui en font usage.
Les nouvelles directives DSP2 adoptées par les pays de l’UE vont permettre de mieux sécuriser l’usage des moyens de paiement en ligne, mais aussi les transactions bancaires.
La DSP2 va remplacer la 3D Secure
La procédure d’authentification par SMS fait partie des procédures 3D Secure et se base sur une vérification d’identité de l’utilisateur du téléphone. Les failles de ce système permettent cependant à toutes personnes ayant le téléphone à leur disposition de valider les transactions.
Par ailleurs, les pirates informatiques ont également développé des techniques pour contourner cette sécurité. Pour pouvoir s’assurer que le numéro de téléphone lié au moyen de paiement est bien utilisé par le propriétaire du compte au moment de la transaction, il devient également nécessaire de vérifier l’identité réelle de l’utilisateur.
C’est dans ce cadre que les nouveaux dispositifs de la directive DSP2 entre en jeu. Cette dernière s’appuie sur les technologies les plus récentes pour mieux sécuriser les moyens de paiement en ligne et les activités sur les comptes bancaires. Les e-commerçants et les banques devront ainsi intégrer des solutions d’identification plus performantes sur leurs sites.
Ainsi, le niveau de sécurité, dont pourront bénéficier les consommateurs, sera amélioré via l’authentification par empreinte biométrique et reconnaissance faciale. Cette mesure complémentaire au SMS est nécessaire, puisque selon certaines études, 1/8 des consommateurs français font directement usage de leurs cartes bancaires pour réaliser des achats sur le web.
Les conséquences d’une authentification plus poussée que le code SMS
Dans le cadre de la mise en place des procédures d’identification plus poussées de la DSP2, il est important de noter certaines difficultés. En effet, l’authentification par empreinte digitale et la reconnaissance faciale sont bien des technologies proposées par certains modèles de smartphones récents, mais tous les consommateurs des sites de ventes en ligne ne disposent pas de tels téléphones.
Par ailleurs, l’intégration de ces vérifications va aussi rallonger le parcours d’achat des consommateurs, et risque de réduire le taux de conversion des boutiques en ligne. Lors de l’officialisation de la DSP2, les e-commerçants ont ainsi émis leurs craintes quant à une grande baisse de leurs chiffres d’affaires. Par ailleurs, les banques sont également les premiers concernés par ce nouveau dispositif, car les cartes bleues sont les moyens de paiement les plus utilisés.
La DSP2, des règles d’identification plus fortes
Le géant du secteur des paiements Stripe a réalisé une étude concernant l’application de la DSP2 et a estimé que le coût de la mise en place de ces directives s’élèverait à 57 milliards d’euros. En effet, cette réglementation implique de nombreux acteurs, dont les banques qui vont aussi devoir mettre à jour leurs systèmes pour pouvoir collecter et utiliser les nouvelles données à contrôler.
Les facteurs de validation des transactions en ligne demandés par la DSP2
Les directives de la DSP2 vont contraindre les sites de vente en ligne à remplacer l’authentification par SMS par des mesures d’identification plus strictes pour les transactions supérieures à 30 euros. Les mises à jour seront par contre obligatoires concernant les activités effectuées directement depuis un compte bancaire, comme les virements ou les paramétrages de sécurité.
Pour que les opérations soient validées, l’Autorité bancaire européenne a inclu trois facteurs d’identification dans la DSP2. En premier lieu, elle implique le concept de connaissance, par lequel la banque interroge l’utilisateur sur une chose qu’il est le seul à connaître. Elle oblige aussi à vérifier le facteur de possession, qui se base sur quelque chose que seul le consommateur détient. Le troisième facteur est l’inhérence, par laquelle la banque peut comparer l’identité réelle de son client à celui de l’utilisateur, grâce à des données biométriques, comme la morphologie du visage ou les empreintes digitales. Une transaction ne peut être validée que lorsque deux de ces facteurs interdépendants auront été certifiées.
Pour la mise en place d’un tel système, les banques se sont plaintes d’un délai trop court par rapport à l’ampleur du développement technologique nécessaire. Actuellement, les cartes avec empreintes digitales sont déjà en circulation, mais les premières applications biométriques ne seront pas disponibles avant 2020. Ainsi, la France, l’Allemagne, l’Espagne et l’Italie ont reporté l’application de la DSP2 en 2022 pour s’assurer de la qualité de sa mise en place.
Auteur/autrice
