Le SMS (SMS-OTP pour «One Time Password») qui permet de valider la plupart des achats sur Internet devra être remplacé dès septembre 2019 par des systèmes d’identification plus performants.
Une authentification forte est traditionnellement définie comme l’utilisation de plusieurs facteurs pour authentifier l’utilisateur d’un moyen de paiement :
- la connaissance, qui consiste pour la banque à demander quelque chose que seul l’utilisateur connaît,
- la possession, qui implique quelque chose que seul l’utilisateur possède,
- l’inhérence, qui nécessite la certification d’un trait physique de l’acheteur comme la reconnaissance du visage ou des empreintes digitales.
Dès lors que deux de ces points sont officiellement vérifiés, et qu’ils sont indépendants l’un de l’autre, l’achat en ligne peut être officialisé. À noter que l’authentification par SMS valide deux de ces exigences, la possession (téléphone portable) et la connaissance (code transmis par SMS), mais que le SMS étant reçu sur le téléphone, elles ne sont pas indépendantes l’une de l’autre. Le SMS de vérification, qui transmet un mot de passe unique à l’utilisateur, est donc jugé trop peu sécurisé. Il est en effet possible de détourner ce SMS par divers moyen, que ce soit grâce au vol de carte SIM, l’interception de messages ou tout simplement le vol du téléphone.
En conséquence et afin de lutter contre la fraude aux paiements en ligne, les banques proposer des moyens d’authentification plus fiables pour les utilisateurs tels que des capteurs d’empreintes sur les cartes biométriques ou des applications d’authentification proposées par les banques. Pour l’instant, la carte biométrique est le système le plus développé. Cette nouvelle génération de carte qui intègre un capteur d’empreintes digitales devrait être proposée dès janvier 2019 par certaines banques en France.
Du côté des commerçants, si ces nouveaux systèmes d’authentification réduiront la fraude, le développement de la sécurité rallonge le processus d’achat et réduit le taux de conversion. C’est tout l’enjeu des nouvelles solutions d’authentification des paiements : concilier sécurité et expérience utilisateur.
https://www.banque-france.fr/sites/default/files/medias/documents/818207_osmp2017_web_vf_v5.pdf