De nouveaux dispositifs vont devoir remplacer le SMS pour sécuriser les paiements en ligne

De nouveaux dispositifs vont devoir remplacer le SMS pour sécuriser les paiements en ligne

Aujourd’hui, il est courant de valider ses achats en recevant un code à usage unique par SMS. D’ici quelques mois, ce système, appelé SMS-OTP (One Time Password), ne répondra plus aux exigences européennes sur la sécurité des paiements.

Il s’agit d’un changement plutôt inquiétant pour les banques et les commerçants français qui utilisent massivement ce dispositif et réclament du temps pour trouver des alternatives. En France, 40% des paiements en ligne font l’objet d’un contrôle antifraude renforcé, selon la Banque de France. Or d’après le Groupement des Cartes Bancaires CB qui pilote le système de paiement par cartes en France, c’est le SMS qui est utilisé pour cette authentification forte dans plus de 85% des cas.

En principe, les acteurs du paiement en ligne devraient disposer d’encore quelques mois pour effectuer cette migration, puisque les nouvelles règles européennes de sécurisation des paiements en ligne entreront en vigueur en septembre 2019. Cependant, généraliser une nouvelle méthode d’authentification tout en formant les consommateurs en un an est inconcevable.

Basculer dès à présent vers un autre outil antifraude aurait des répercussions sur le commerce en ligne, au dire des banques et des commerçants. Les consommateurs pourraient choisir de ne pas finaliser leurs achats. Cette conviction est partagée au niveau européen, puisque plusieurs fédérations européennes de commerçants demandent un délai supplémentaire de 3 ans pour déployer les nouveaux dispositifs alternatifs.

Concernant les outils qui succéderont au SMS, la biométrie fait partie des solutions envisagées. À l’avenir, le client pourrait par exemple valider son achat en scannant son empreinte digitale sur son téléphone. Les banques pourraient également communiquer à leur client un code dédié à tous leurs achats sur internet : pour confirmer un paiement, il suffirait d’inscrire le code dans une application bancaire ouverte sur le smartphone.

 


Référence

 


Jean-Christophe Pellat

Cert-XMCO