Si vous avez l’habitude d’effectuer des achats en ligne, vous avez sûrement noté que la procédure d’authentification de paiement vient d’évoluer. Tout du moins pour les achats supérieurs à 100 €. En effet, depuis le 15 avril 2021, ces paiements doivent faire l’objet d’une double authentification (ou authentification forte). C’était déjà le cas depuis plusieurs semaines pour les paiements supérieurs à 250 euros. Les commerçants ont 4 semaines pour se mettre en règle. Et à partir du 15 mai, ce sont toutes les autres transactions qui vont être concernées par ce basculement. À noter qu’un certain nombre d’exemptions resteront autorisées, même après cette date : petites transactions (moins de 30 €) ou transactions très régulières d’un même émetteur.
Concrètement, les transactions concernées ne sont en principe plus possibles en renseignant seulement les informations de sa carte bancaire (numéro, date d’expiration et cryptogramme). Ni même avec le dispositif de sécurisation supplémentaire 3D Secure (envoi d’un code de validation par SMS). En vertu de la directive européenne DSP2 (directive des services de paiement) entrée en vigueur en 2018, au moins un autre élément d’authentification est exigé. De plus en plus de clients des banques ont d’ailleurs reçu (ou vont prochainement recevoir) un message d’information, au moment de se connecter à leur compte bancaire. Par exemple, pour la Bred : « Dans les prochaines semaines, le code à usage unique reçu par SMS ne suffira plus. Pour continuer à effectuer vos paiements par carte bancaire sur Internet, BREDSecure devient obligatoire. » L’établissement indique ensuite comment activer ce système via une application mobile préalablement téléchargée sur son smartphone.
Deux éléments d’identification supplémentaires
Pour les paiements, l’authentification forte impose que deux preuves d’identification distinctes soient apportées par le client. Ces preuves peuvent être :
- un élément de connaissance (mot de passe, code secret ou question secrète) ;
- un élément de possession (téléphone mobile ou clé USB) ;
- un élément biométrique (empreinte digitale, forme de l’iris ou reconnaissance vocale).
La solution la plus couramment utilisée aujourd’hui par les banques est celle de l’envoi (après renseignement des informations bancaires par le client), d’une notification sur téléphone mobile qui invite à s’authentifier dans son appli bancaire. Cette authentification sera ensuite possible soit en tapant un code (le plus souvent celui permettant d’accéder à ses comptes bancaires en ligne), soit en posant son doigt sur le capteur biométrique intégré au téléphone. En principe, seul le propriétaire du compte peut apporter ces deux preuves. C’est cette procédure qui porte un nom commercial différent pour chaque banque : BREDSecure à la Bred, Certicode à la Banque postale, Clé digitale chez BNP Paribas, Sécuripass au Crédit agricole, etc.
La Fédération bancaire française (FBF) précise qu’une banque qui recevra une transaction de paiement de plus de 100 € sans authentification forte « déclinera temporairement la transaction et demandera que la transaction soit représentée avec une authentification forte valide ».
Cette nouvelle procédure ne doit pas empêcher les banques de prévoir une alternative gratuite au dispositif de clé digitale (l’envoi d’une notification sur smartphone invitant à s’authentifier sur l’appli bancaire). Sinon les consommateurs ne possédant pas d’appareil (ou de génération trop ancienne) ne pourraient plus réaliser d’achat en ligne.