Paiements en ligne: des mesures de sécurité renforcées par la DSP2

Retour aux articles

A partir du 14 septembre 2019, la 2ème Directive Européenne sur les Services de Paiement (DSP2) introduit des mesures de sécurité renforcées pour les paiements par carte bancaire sur internet.

La 2ème Directive Européenne sur les Services de Paiement (DSP2) vise à mieux protéger les consommateurs de l’Union Européenne contre la fraude et les incidents de paiement, et à moderniser les moyens de paiement à distance. La DSP2 est en réalité partiellement entrée en vigueur le 13 janvier 2018, mais les dispositions concernant l’authentification des paiements en ligne entrent en application ce mois-ci.

Mesures de sécurité actuelles: le 3D Secure et ses limites

Actuellement, le moyen de contrôle le plus répandu pour les paiements sur internet est la procédure d’authentification 3D Secure. Son fonctionnement est simple: lors d’une tentative de paiement en ligne, le propriétaire de la carte bancaire reçoit un sms de sa banque contenant un code unique. Il est invité à saisir sur ce code sur le terminal sur lequel il a initié le paiement afin de finaliser son achat.

Mis en place en 2008, le système 3D Secure a depuis montré ses limites et ne suffit plus aujourd’hui à garantir la sécurité des consommateurs. Son fonctionnement se base sur l’hypothèse que le premier lecteur du sms est nécessairement le propriétaire de la carte bancaire, ce qui a pu être contourné dans de nombreux cas de fraude. Les cas suivants sont quelques exemples des risques liés aux 3D Secure:

  • un proche mal intentionné peut avoir accès à votre carte bancaire et votre téléphone portable quelques secondes et lire et effacer un sms de votre banque;
  • un logiciel espion peut être installé sur un smartphone et permettre au pirate d’avoir accès au contenu du téléphone
  • le numéro de ligne téléphonique peut être détourné via un transfert à votre insu

Des commerçants du Dunkerquois ont d’ailleurs été victimes du piratage de leur téléphone et du transfert de leur ligne téléphonique il y a quelques mois, et se sont fait dérober plusieurs dizaines de milliers d’euros (voir dans la presse).

La DSP2 impose l'authentification forte pour renforcer la sécurité des consommateurs

La directive européenne DSP2 impose désormais aux établissements bancaires et aux e-commerçants de renforcer les contrôles d’authentification lors d’un paiement en ligne supérieur à trente euros, mais aussi pour l’accès au compte bancaire en ligne. L’identité de l’utilisateur doit ainsi être vérifiée par au moins deux éléments distincts d’authentification, qui doivent faire partie des trois facteurs suivants:

  • Un facteur de connaissance: l’acheteur renseigne une donnée que seul le titulaire de la carte doit normalement connaître: un code ou mot de passe, une information personnelle, etc.
  • Un facteur de possession: l’acheteur doit démontrer qu’il est en possession d’une chose appartenant au titulaire de la carte. Il peut s’agir par exemple d’un téléphone portable ou d’un dispositif token.
  • Un facteur d’inhérence: tout ce qui est intimement lié à la personne, comme une empreinte digitale, la reconnaissance vocale ou encore faciale.

Aujourd’hui, l’authentification via le système 3D Secure utilise un seul de ces trois facteurs, à savoir un facteur de possession (du téléphone portable). L’utilisation seule de ce système n’est donc pas conforme aux mesures imposées par la DSP2.

On peut s’imaginer que dans un premier temps, les établissements bancaires choisiront de se mettre en conformité en utilisant conjointement les facteurs de connaissance et de possession. C’est par exemple le cas d’un code personnel à renseigner dans l’application mobile de la banque suite à une tentative de paiement: l’acheteur doit être en possession du téléphone du titulaire de la carte avec l’application de la banque, et il doit avoir connaissance du code personnel à saisir. Ces mesures sont déjà opérationnelles dans plusieurs banques en France: BNP Paribas et la “Clé Digitale”, la Société Générale et le “Pass Sécurité”, ou encore le Crédit Mutuel et la “Confirmation Mobile”. Ces dispositifs ne sont toutefois pas encore imposés aux clients, ce qui devrait progressivement être le cas.

L’utilisation du facteur d’inhérence, plus complexe techniquement et soulevant des questions d’éthique, devrait intervenir dans un second temps.

Pas de sanctions avant 2022

En vigueur depuis le 14 septembre 2019, ces mesures ne deviendront obligatoires qu’en 2022. D’ici là, il n’y aura donc pas de sanctions appliquées aux établissements bancaires ni aux e-commerçants qui ne seraient pas en conformité. Si l’on peut espérer que les banques sauront faire évoluer leurs systèmes rapidement, l’enjeu concerne davantage les nombreux sites de vente en ligne, dont un quart à ce jour ne propose pas encore le système 3D Secure, pourtant en place depuis plus de dix ans… Se pose aussi la problématique de l’application de la DSP2 auprès des sites marchands situés en dehors de l’Union Européenne mais qui pourtant y réalisent une grande partie de leurs ventes.