Le code SMS sécurisera les paiements sur internet jusqu’en 2022, malgré les risques

Le code reçu par SMS restera la modalité d’authentification double facteurs la plus utilisée par les banques pour les paiements en ligne jusqu’en 2022. Le passage à un mode d’authentification plus sécurisé, prévu par la directive DSP2 qui devait initialement entrer en vigueur le 14 septembre 2019 – mais il fait l’objet d’un nouveau sursis dans plusieurs pays européens afin de permettre aux commerçants et banques de s’adapter. Il pose pourtant des problèmes réels pour la sécurité des transactions.

code SMS paiements achats internet

C’est devenu une habitude : lors du paiement d’un achat en ligne, une page « 3D Secure » apparait – et vous demande d’entrer un code reçu par SMS. Depuis quelques années, les banques et les e-commerçants ont adopté l’authentification double facteurs afin de réduire au maximum la fraude sur internet. A priori avec ce système, il est impossible pour quelqu’un en possession de votre carte d’effectuer un paiement sur internet sans votre accord, puisqu’il doit pour cela entrer un code unique que vous avez reçu sur votre smartphone.

Code par SMS : il faudra finalement s’en contenter pour les paiement sur internet jusqu’en 2022

Ainsi les Echos soulignent que le taux de fraude des transactions authentifiées est passé à 0,07% contre 0,21% pour les autres types de transaction, d’après les chiffres de l’observatoire des moyens de paiement cité par le quotidien. Pourtant le recours au SMS pour l’envoi du code n’est pas gage d’une sécurité absolue. Comme le montre une vidéo de chercheurs en sécurité de la firme Positive Technologies, il est en effet possible en collectant certaines informations sur une cible en particulier d’intercepter ses SMS. Ce qui par ricochet peut permettre d’authentifier indûment un achat. Il existe également des malware qui se chargent discrètement de cela. Sans parler des fuites de données.

Ce genre d’attaque reste pour l’instant assez rare et complexe. Mais il n’est pas exclu qu’il se développe dans les prochaines années. C’est pourquoi autant les institutions financières que le gendarme des banques européennes sont au courant de ces failles depuis plusieurs années et poussent à l’adoption de nouveaux modes d’authentification forte. C’est dans ce sens qu’une nouvelle directive appelée DSP2 (2e directive sur les services de paiement UE2015/2366) a été adoptée le 25 novembre 2015. Avec un règlement délégué supplémentaire (UE2018/389) adopté le 27 novembre 2017.

En plus d’établir de nouvelles normes et d’abaisser le seuil de responsabilité des clients à 50€ (contre 150€ jusqu’à présent) en cas de fraude, ce texte rend l’implémentation des services de paiement électroniques sur internet plus simple et moins onéreuse. Elle devait initialement s’imposer à tous les commerçants et banques à partir du 14 septembre 2019. Mais plusieurs pays – dont la France – ont décidé de repousser sa mise en vigueur, avec des durées variables. Dans l’hexagone, il faudra ainsi attendre encore près de trois ans jusqu’en 2022 pour que le SMS soit remplacé soit par un code à entrer dans une applications bancaire et/ou des données biométriques.

Lire également : Achats sur internet – les banques n’auront bientôt plus le droit d’envoyer un code par SMS

Le Royaume Uni a de son côté repoussé son application à mars 2020 – l’Allemagne n’a quant à elle pas annoncé de date butoir à en croire Les Echos. Outre ces trois pays, l’Espagne et l’Italie ont également choisi de repousser son entrée en vigueur. La raison est partout la même : les commerçants en ligne ont des difficultés à s’adapter dans les temps. Néanmoins, à l’issue de ce sursis, les Etats pourront obliger légalement tous les acteurs à se conformer à la législation.

Source : Les Echos

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…

NordVPN : des faux sites propagent un dangereux malware bancaire

Des pirates profitent de la popularité de NordVPN pour diffuser Win32.Bolik.2, un malware bancaire sur l’ordinateur de leurs victimes. Des faux sites, imitant à la perfection l’interface de celui de NordVPN, propagent en effet des versions vérolées du célèbre VPN. Une…

Impots.gouv : environ 2000 comptes victimes d’un piratage

Les comptes impots.gouv d’environ 2000 administrés ont subi un piratage : des pirates sont parvenus à accéder aux déclarations d’impôts et les modifier. Les agents de Bercy affirment avoir néanmoins pu reprendre rapidement le contrôle de la situation et avertir…

WhatsApp, Skype et Slack sont victimes d’une faille de sécurité

WhatsApp, Skype et Slack sont vulnérables. Ces trois logiciels reposent sur la technologie Electron, qui présente une importante faille de sécurité. Les développeurs ont été prévenus, mais ils font pour l’instant la sourde oreille et aucun correctif n’a été déployé…