Le code reçu par SMS restera la modalité d'authentification double facteurs la plus utilisée par les banques pour les paiements en ligne jusqu'en 2022. Le passage à un mode d'authentification plus sécurisé, prévu par la directive DSP2 qui devait initialement entrer en vigueur le 14 septembre 2019 – mais il fait l'objet d'un nouveau sursis dans plusieurs pays européens afin de permettre aux commerçants et banques de s'adapter. Il pose pourtant des problèmes réels pour la sécurité des transactions.

C'est devenu une habitude : lors du paiement d'un achat en ligne, une page “3D Secure” apparait – et vous demande d'entrer un code reçu par SMS. Depuis quelques années, les banques et les e-commerçants ont adopté l'authentification double facteurs afin de réduire au maximum la fraude sur internet. A priori avec ce système, il est impossible pour quelqu'un en possession de votre carte d'effectuer un paiement sur internet sans votre accord, puisqu'il doit pour cela entrer un code unique que vous avez reçu sur votre smartphone.

Code par SMS : il faudra finalement s'en contenter pour les paiement sur internet jusqu'en 2022

Ainsi les Echos soulignent que le taux de fraude des transactions authentifiées est passé à 0,07% contre 0,21% pour les autres types de transaction, d'après les chiffres de l'observatoire des moyens de paiement cité par le quotidien. Pourtant le recours au SMS pour l'envoi du code n'est pas gage d'une sécurité absolue. Comme le montre une vidéo de chercheurs en sécurité de la firme Positive Technologies, il est en effet possible en collectant certaines informations sur une cible en particulier d'intercepter ses SMS. Ce qui par ricochet peut permettre d'authentifier indûment un achat. Il existe également des malware qui se chargent discrètement de cela. Sans parler des fuites de données.

Ce genre d'attaque reste pour l'instant assez rare et complexe. Mais il n'est pas exclu qu'il se développe dans les prochaines années. C'est pourquoi autant les institutions financières que le gendarme des banques européennes sont au courant de ces failles depuis plusieurs années et poussent à l'adoption de nouveaux modes d'authentification forte. C'est dans ce sens qu'une nouvelle directive appelée DSP2 (2e directive sur les services de paiement UE2015/2366) a été adoptée le 25 novembre 2015. Avec un règlement délégué supplémentaire (UE2018/389) adopté le 27 novembre 2017.

En plus d'établir de nouvelles normes et d'abaisser le seuil de responsabilité des clients à 50€ (contre 150€ jusqu'à présent) en cas de fraude, ce texte rend l'implémentation des services de paiement électroniques sur internet plus simple et moins onéreuse. Elle devait initialement s'imposer à tous les commerçants et banques à partir du 14 septembre 2019. Mais plusieurs pays – dont la France – ont décidé de repousser sa mise en vigueur, avec des durées variables. Dans l'hexagone, il faudra ainsi attendre encore près de trois ans jusqu'en 2022 pour que le SMS soit remplacé soit par un code à entrer dans une applications bancaire et/ou des données biométriques.

Lire également : Achats sur internet – les banques n'auront bientôt plus le droit d'envoyer un code par SMS

Le Royaume Uni a de son côté repoussé son application à mars 2020 – l'Allemagne n'a quant à elle pas annoncé de date butoir à en croire Les Echos. Outre ces trois pays, l'Espagne et l'Italie ont également choisi de repousser son entrée en vigueur. La raison est partout la même : les commerçants en ligne ont des difficultés à s'adapter dans les temps. Néanmoins, à l'issue de ce sursis, les Etats pourront obliger légalement tous les acteurs à se conformer à la législation.

Source : Les Echos