Les achats sur internet ne pourront bientôt plus être sécurisés par un code à usage unique transmis par SMS. Le SMS-OTP qui sécurise près de 35% des transactions en ligne en France, n'est pas suffisamment sécurisé selon la Commission européenne, qui demande au banques de passer à un nouveau mode d'authentification forte d'ici septembre 2019. De leur côté, banques et commerçants estiment que le délai imparti pour changer de mode d'authentification est beaucoup trop court. Des fédérations européennes de commerçants demandent à ce que le délai pour changer de mode d'authentification soit de trois ans.

Vous avez sûrement déjà validé un achat sur internet en entrant un code envoyé par votre banque par SMS ? La Commission européenne exhorte désormais les banques et commerçants à mettre fin à ce système de validation des achats. Le système de SMS-OTP (pour One Time Password) est pourtant un mode courant d'authentification qui protège près de 35% des transactions en ligne  : lors de la validation de la transaction, le client reçoit un code qui permet de vérifier son identité. Le problème de ce mode d'authentification, c'est qu'il est possible d'intercepter les SMS, ce qui fait du SMS-OTP une méthode insuffisamment sécurisée.

Valider des achats sur internet via SMS ne sera bientôt plus possible

La Commission Européenne donne ainsi jusqu'à septembre 2019 aux banques pour trouver une alternative. Mais les banques et les commerçants s'étouffent – ces derniers craignent en effet que les nouvelles méthodes d'authentification prennent trop de temps à être adoptées et impactent le commerce en ligne. “Il n'est pas pensable d'imaginer qu'en un an, on va à la fois généraliser de nouvelles méthodes d'authentification forte et former tous les consommateurs à les utiliser en lieu et place du mot de passe à usage unique par SMS”, explique Loÿs Moulin, directrice du développement chez le groupement Cartes Bancaires CB, citée par Les Echos. Selon les commerçants, un nombre significatif de transactions pourraient ne pas être finalisées en cas de transition trop brutale.

C'est pourquoi plusieurs fédérations européennes de commerçants exigent un délai d'au moins trois ans pour passer à une nouvelle méthode. Mais laquelle ? Certaines sources évoquent la biométrie. Une méthode qui n'est pour autant pas 100% sécurisée, puisqu'il existe des méthodes pour tromper les lecteurs d'empreinte. Il existe néanmoins d'autres modes d'authentification forts déjà en vigueur dans d'autres pays européens, et plus simples à mettre en oeuvre : aux Pays-Bas, par exemple, la plupart des banques fournissent à leurs clients un terminal lecteur de carte doté d'une caméra, qui permet de générer un code unique et sûr en scannant un QR Code sur le site du commerçant lors de la validation de l'achat. D'autres banques proposent des modes d'authentification similaires, reposant uniquement sur l'application mobile pour smartphone.

Pensez-vous que les craintes des commerçants et des banques soient justifiées ? Partagez votre avis dans les commentaires.

Lire aussi : carte bancaire – des capteurs d'empreintes pourront remplacer le code dès 2019