L’utilisation par les banques et e-commerçants de systèmes d’« authentification forte » pour la validation de l’ensemble des paiements en ligne, était attendue au mois de septembre 2019 mais a été repoussée à la fin de l’année 2020.
La sécurité des paiements en ligne est un enjeu majeur aussi bien pour les consommateurs que pour les banques et e-commerçants. Les codes validation par sms envoyés sur les smartphones ont fait leur temps. Ils sont certes pratiques mais n’offrent pas le niveau de sécurité requis pour rassurer consommateurs et professionnels. Il est en effet relativement aisé pour des pirates de contourner le processus de validation d’un smartphone, indépendamment de la marque de ce dernier.
Pour rehausser le niveau de sécurité des paiements en ligne, les e-commerçants et les banques devaient mettre en place des systèmes dits d’« authentification forte » dès septembre 2019. La mise à jour des règles de validation des paiements en ligne devait être effective plus précisément le 14 septembre 2019. Mais les acteurs concernés n’étaient pas pu respecter cette échéance. La migration vers ces nouveaux systèmes de validation prenait vraisemblablement plus de temps que prévu. En octobre 2019, l’Autorité bancaire européenne donnait aux professionnels concernés jusqu’à la fin de l’année 2020 pour finaliser leur migration vers les processus d’authentification forte.
De nouvelles règles mises en œuvre étape par étape
Si la mise en œuvre des processus d’authentification forte prenait davantage de temps que ce qui avait été annoncé au public, c’est parce que cette migration devait suivre plusieurs étapes. Pour les acteurs concernés par la directive européenne, il n’était tout simplement pas question de se précipiter parce qu’il y va de la fiabilité de nouveaux systèmes censés être plus sécurisés. La Banque de France s’accommode d’ailleurs de cette réalité. Estimant qu’un retard à l’allumage est préférable à de potentiels ratés une fois les nouveaux processus lancés, l’institution accorde un délai supplémentaire pour la migration vers les systèmes d’authentification forte.
Le fonctionnement des processus d’authentification forte
Tout est fait pour que ces nouvelles règles de validation des transactions en ligne soient imprenables. A cet effet, un établissement bancaire ou un commerçant en ligne communique quelque chose que seul son client connaît, comme un code. Mais celui-ci ne sera envoyé sur l’appareil du client qu’après authentification de son identité, que ce soit par reconnaissance facile ou à l’aide d’empreintes digitales par exemple.
Le processus d’authentification comporte donc trois critères, dont au moins deux doivent fonctionner pour assurer la sécurité des opérations en ligne. Au quotidien, les clients devront passer par l’application de leur banque pour effectuer leurs achats sur Internet. Le nouveau système est prometteur et séduit les banques, qui estiment que cela va aider à réduire les fraudes à 0.161 % du coût total des transactions réalisées en ligne.