Authentification forte ou SCA (strong customer authentification) : qu’est-ce que ça change pour vous ?

À partir de septembre 2019, vos achats en ligne ne pourront plus être authentifiés par un simple SMS et vous ne pourrez plus accéder à vos comptes bancaires via la simple combinaison identifiants/mot de passe. La directive sur la sécurité des paiements (DSP2) de l’Union Européenne, demande aux banques et aux sites de vente en ligne de passer par un système de validation plus sûr.

La fin du code reçu par SMS

Comment sécuriser les achats en ligne en décourageant la fraude sans pénaliser l’internaute par des procédures (trop) complexes? 

Les banques avaient trouvé depuis une dizaine d’années un compromis avec le système d’authentification par SMS (procédé 3D Secure), déployé sur nombre de sites d’e-commerce en France. Selon la Banque de France, cette méthode est aujourd’hui utilisée pour sécuriser 40 % des achats en ligne.

Mais, l’application de la DSP2 sur les paiements électroniques rendra bientôt ce dispositif obsolète. En effet, la réception sur son smartphone d’un code unique ne permet pas de garantir l’identité de l’acheteur avec suffisamment de certitude : soit parce que les SMS peuvent être détournés (une technique de piratage de plus en plus courante), soit parce que le smartphone peut être volé à son propriétaire.

Ainsi, en plus des paiements en ligne de plus de 30 euros, il y a le sujet de la sécurité de l’accès à distance des comptes bancaires. Le texte impose en effet le recours à une authentification forte. Et la combinaison de l’identifiant et du mot de passe, généralement utilisée aujourd’hui, ne suffira plus.
Les banques, comme les e-commerçants, vont devoir sophistiquer leur procédure d’authentification.


Qu’est-ce que l’authentification forte ?

L’authentification forte, telle que définie par la DSP2, signifie que les accès aux comptes et les transactions de plus de 30 euros seront vérifiés à l’aide d’au moins deux des éléments suivants, (d’où l’appellation double authentification) :

  •  un mot de passe ou un code que seul l’utilisateur connaît (élément mémorisé)
  •  un appareil (téléphone mobile, carte à puce, etc.) que seul l’utilisateur possède (élément matériel)
  •  une caractéristique personnelle du client : empreinte digitale, reconnaissance vocale ou faciale (élément biométrique)

 

Bien que validant a priori deux critères (connaissance et possession) ci-dessus, le SMS n’est pas considéré comme suffisamment intègre ou confidentiel pour être retenu comme la preuve d’un facteur fiable de possession, pour les raisons évoquées dans le premier paragraphe.

Les banques devront proposer des moyens d’authentification plus fiables pour les utilisateurs. L’utilisation de capteurs d’empreintes sur les cartes ou d’applications d’authentification proposées par les banques est ainsi étudiée. Mais le timing paraît serré. Plusieurs fédérations de commerçants avaient demandé en novembre 2018, un délai supplémentaire de trois ans pour faciliter la mise en place de ces nouveaux moyens d’authentification.

Les entreprises ne sont pas prêtes

La plateforme de paiement Stripe (solution de paiement que nous utilisons) a dévoilé une étude qui révèle une perte de 57 milliards d’euros d’activité économique pour l’Europe la première année suivant l’entrée en vigueur de l’authentification forte. Les résultats sont fondés sur des enquêtes menées auprès de 500 professionnels du paiement en ligne et de 1 000 consommateurs en France, en Allemagne, aux Pays-Bas, en Espagne et au Royaume-Uni.

Parmi les points importants, l’étude révèle que trois entreprises sur cinq de moins de 100 employés ne connaissent pas l’authentification forte, et n’ont pas prévu de s’y conformer avant l’échéance de septembre, ou ignorent quand elles seront prêtes. En revanche, chez les marchands de plus de 5 000 employés, seul un professionnel du paiement sur 25 ignore cette régulation.

Toujours selon l’étude, les entreprises prévoient de minimiser les transactions nécessitant l’authentification forte, notamment grâce à un ensemble d’exemptions permettant des paiements récurrents ou de petits achats de moins de 30 euros.

Mais rassurez-vous, nous avons pris les bonnes dispositions en respectant les procédures imposées dans les solutions de paiement que nous vous proposons.

Vos clients peuvent réserver vos activités en toute sécurité grâce au SCA. Même si cela peut paraître contraignant de prime abord, cette obligation a pour but de lutter contre la fraude et ainsi prévenir les clients de tous problèmes bancaires potentiels.

Le Capitaine veille sur vous et votre activité 😉