SMS DSP2  : Directive, le SMS est-il toujours dans la course pour la validation des paiements en ligne ?

Depuis le 15 mai 2021, tous les achats en ligne d’au moins 30 euros seront obligatoirement soumis à l’authentification forte, cette dernière remplace donc la traditionnelle authentification en deux étapes qui utilisait le code temporaire envoyé par SMS (SMS OTP), estimée par la législation européenne comme n’offrant plus suffisamment de sécurité.

Selon une étude récente, un paiement en ligne aurait 17 fois plus de risque d’être l’objet d’une fraude en comparaison avec la transaction par carte bancaire dans un magasin, mais même si ce taux connait une baisse continue chaque année, il reste néanmoins trop élevé.

C’est la raison pour laquelle la Commission Européenne poursuit son projet de rendre obligatoire l’introduction d’une authentification forte pour les paiements en ligne via la Directive sur les services de paiement 2 ou DSP2.

Mais de quoi parle vraiment la Directive DSP2 ? Quels sont ses objectifs ? Et aussi, qu’est-ce que l’authentification forte ? Pourquoi l’authentification par SMS OTP n’est-elle plus considérée comme authentification forte ?

Et pour finir, dans cet article, nous aborderons aussi l’avenir du SMS dans la validation des paiements en ligne.

 

Qu’est-ce que la directive DSP2 ?

La Directive sur les services de paiement 2 (DSP2), au même titre que la DSP 1, est une directive européenne comportant des règlements, des décisions, des avis et des recommandations qui concernent les services de paiement dans le marché intérieur de l’Union européenne.

Adoptée définitivement par le Parlement Européen et le Conseil le 25 novembre 2015, elle vise à favoriser l’innovation, la concurrence et l’efficience ; pour cela, elle s’intéresse à pratiquement tout ce qui concerne les services de paiement et notamment les normes de sécurité (paiements en ligne).

En rendant obligatoire l’authentification forte des paiements en ligne de plus de 30 €, le but de la DSP2 est de renforcer la confiance des consommateurs dans les achats en ligne ; il s’agit d’une décision qui impacte les banques, les nouveaux acteurs FinTech du paiement, mais également les consommateurs.

Son introduction se passe plutôt bien, car on n’observe aucune contestation de la part de ces derniers, à savoir les banques, les acteurs FinTech et les consommateurs, qui apprécient tout ce qui peut sécuriser leurs paiements bancaires.

Notez aussi qu’en plus de l’authentification forte, la DSP2 introduit d’autres règlements comme l’accès aux données des comptes des clients des banques aux nouveaux prestataires de services de paiement tiers par un canal de communication sécurisé, l’interdiction de la surfacturation en cas de paiement par carte bancaire ou encore la réduction de la somme que le titulaire d’une carte bancaire doit payer en cas de paiement frauduleux via sa carte.

Qu’est-ce que l’authentification forte ?

L’authentification de paiement est le processus que votre banque ou votre fournisseur de services de paiement utilise pour s’assurer que la personne demandant l’accès à votre compte, ou essayant d’effectuer un paiement via votre carte, est soit vous, soit une personne à laquelle vous avez donné votre consentement.

Et concernant l’authentification forte, ou Strong Customer Authentification en anglais, il s’agit d’un type d’authentification très sécurisé et sans faille qui exige au moins deux facteurs distincts pris parmi trois éléments suivants :

  • Un mot de passe ou un code que seul vous connaissez
  • Un appareil (téléphone mobile, carte à puce…) que seul vous possédez
  • Une caractéristique personnelle vous concernant (empreinte digitale, reconnaissance vocale, ou faciale).
envoi de sms
envoi de sms

Ainsi, l’authentification forte combine deux facteurs indépendants pour confirmer l’identité et l’accès d’une personne à un compte ou à une opération, sécurisant ainsi le paiement aussi bien pour le client final que pour la banque.

Compromettre l’un laisse l’autre intact, de sorte que les systèmes restent en sécurité, le rendant pratiquement inviolable, c’est ce qui a été trouvé de mieux, tout en restant raisonnable, dans le cadre des controles et exigences bancaires.

Pour un meilleur encadrement de ce nouveau règlement, la Commission Européenne a fait en sorte qu’il n’appartient pas à l’e-commerçant de décider s’il faut appliquer ou non l’authentification forte, cette responsabilité, qui est aussi une obligation, revient uniquement à la banque émettrice de la carte.

La validation des achats par SMS OTP va-t-elle disparaître ?

L’adoption de l’authentification forte signe la fin possible de l’envoi d’un code de confirmation par SMS, jugé trop peu fiable et non conforme à la DSP2 par la législation européenne ; déjà en 2019, les médias annonçaient la fin imminente du SMS en matière de validation des achats.

BFM notamment indiquait à l’époque que « le code par SMS pour valider les achats sur Internet disparaîtrait fin 2020 ». C’est le cas aussi du quotidien Les Echos qui évoquait « la disparition du SMS pour le paiement en ligne fixée à fin 2020 » dans un article publié en octobre 2019.

Est-ce que véritablement la validation des achats par SMS OTP va-t-elle disparaître ?

Code de confirmation par SMS non conforme à la DSP2

Avant le DSP2, la plupart des transactions en ligne faisaient appel à un processus d’authentification en deux étapes qui impliquait l’usage d’un code de confirmation par SMS.

La première étape consistait à entrer le code de la carte sur l’interface proposée par le site e-commerce.

Ensuite, pour prévenir les éventuelles fraudes, celui qui achète devait aussi saisir sur l’interface un code temporaire (One-Time-password, OTP) envoyé par SMS au numéro Mobile associé au compte bancaire utilisé.

Malheureusement, ce système comporte des failles facilement exploitables ; il n’a pas la possibilité de s’assurer que la personne qui est en train d’utiliser le téléphone pour un achat en ligne est vraiment le possesseur de celui-ci.

En rien, juridiquement surtout, ce système ne suppose l’engagement du propriétaire du téléphone, car ce dernier n’a pas été authentifié, il se peut en effet qu’au même titre que les informations bancaires, le téléphone a lui aussi été volé par une seule et même personne.

Dans ce cas de figure, cette dernière a donc tous éléments nécessaires pour utiliser la carte librement, comme si elle était le propriétaire de la carte, et du téléphone, dont elle répond aux sms, c’est vraiment très risqué.

Par ailleurs, on note aussi l’existence d’applications mobiles disposant d’un mécanisme d’interception OTP capables d’intercepter des SMS à des fins malveillantes ; installés à votre insu sur votre smartphone, ce type d’applications peut copier tous les SMS que vous recevrez et les envoyer automatiquement à un destinataire sans que vous vous en rendiez compte.

Le code de confirmation par SMS va quand même survivre à la DSP2 !

De toute évidence, le processus d’authentification qui impliquait l’envoi d’un code de confirmation par SMS ou SMS OTP n’est malheureusement pas suffisamment sécurisé et ne satisfait plus à la directive DSP2.

Toutefois, pour les spécialistes, le SMS OTP devrait quand même survivre à la DSP2 ; mais pour cela, il devra évoluer pour se conformer à l’authentification forte.

Conscientes du fait que les gens sont profondément attachés au SMS et aussi que l’authentification forte imposée par la DSP2 nécessite l’utilisation de smartphone, alors qu’une grande partie de leurs clients ne possèdent pas ce genre d’appareil, des banques telles que le Crédit Agricole, LCL, BPCE, BNP Paribas ou encore la Société Générale se penchent déjà sur une solution d’authentification par SMS dit « renforcé ».

Cette dernière consiste à intégrer dans le SMS de confirmation envoyé, en plus du code temporaire, un autre élément qui ne pourrait être exploité que par le propriétaire du téléphone lui-même ; cette nouvelle solution répond aux procédures d’authentification forte et est tout à fait conforme à la directive DSP2.

Autres actualités sur le SMS et CLEVER Technologies

Actualités des entrepreneurs
Les derniers articles par Actualités des entrepreneurs (tout voir)