Achats en ligne : la validation par SMS bientôt supprimée, une sécurité renforcée envisagée

Sécurité

Par Mathieu le

Finaliser un achat en ligne grâce à un SMS reçu sur son smartphone, c’est (certainement) bientôt terminé. C’est en effet le souhait émis par Bruxelles qui a mis à jour sa directive sur les services de paiement (DSP2).

Trop insuffisant

On a tous déjà eu affaire au célèbre 3-D Secure, une méthode permettant de sécuriser les achats en ligne supérieurs à un certain montant. Le principe était jusqu’alors simple : après avoir reçu un petit message nous dirigeant vers une nouvelle fenêtre, on se retrouvait à attendre un SMS envoyé au numéro de téléphone associé à la carte bancaire. Le code reçu, il suffisait de le rentrer dans une case blanche afin d’authentifier notre achat. Néanmoins, l’Union Européenne vient de rejeter ce système nommé SMS-OTP (One Time Password) qu’elle juge insuffisant à l’égard des risques de fraudes (le vol notamment).

Désormais, pour l’ensemble des achats supérieurs à 30 euros, Bruxelles exige « une authentification forte » comme le précisent nos confrères des Échos. Il faudra ainsi détenir au moins deux éléments parmi trois catégories :

  • Quelque chose que l’on connait comme un mot de passe ou un code PIN
  • Quelque chose que l’on possède comme un téléphone portable ou un PC
  • Quelque chose qui est propre à chacun comme une empreinte digitale ou biométrique

Les banques craignent une baisse des achats

Ainsi, lors d’un achat en ligne, il pourrait être demandé de rentrer un mot de passe puis de confirmer son empreinte digitale sur un smartphone avant de pouvoir finaliser la commande. L’Union Européenne explique cette volonté d’une sécurité accrue par le fait qu’un SMS n’est pas lié au téléphone mobile, mais bien à la carte SIM qui se trouve à l’intérieur. De plus, le code actuel demandé sur internet est celui qui se trouve au dos de la carte et non un mot de passe imaginé par l’acheteur lui-même.

Bruxelles a demandé que cette nouvelle règle de sécurité entre en vigueur dès le mois de septembre 2019 ce à quoi les banques ont répondu qu’il s’agissait d’un délai bien trop court. Selon les organismes bancaires, il faudrait au moins trois ans pour mettre en place un tel système. Un compromis pourrait être trouvé afin de ne pas mettre en place « un procédé trop contraignant pour les utilisateurs » ce qui finirait par faire chuter le nombre d’achats en ligne. Réponse définitive dans les prochains mois.