A compter du 15 mai 2021, effectuer un paiement à distance nécessitera un nouveau mode d’authentification – dite authentification forte – du porteur de carte. Pour renforcer la sécurité, le smartphone est la nouvelle clé qui permet de valider un paiement. Chaque banque a opté pour des modalités qui lui sont propres.
Paiements à distance : les lacunes des dispositifs actuels
Le dispositif actuel, dit « 3dsecure » repose sur un code unique par transaction envoyé par la banque via un SMS sur un téléphone portable qui est en principe celui du client. Rien ne prouve que celui qui utilise le SMS est bien le destinataire souhaité (détournement), pas plus que le propriétaire du téléphone, qui a pu être volé.
Ce renforcement de la sécurité du commerce électronique est l’application de la directive européenne sur les services de paiement (DSP2).
Principes de l’authentification forte
L’authentification est considérée comme forte lorsqu’elle réunit deux des trois éléments suivants :
- l’information : une donnée que vous seul connaissez, comme un mot de passe ;
- la propriété : quelque chose que vous seul possédez, comme un code unique généré par SMS, une carte bancaire ou un appareil sécurisé que vous utilisez – tel votre smartphone ;
- le caractère unique : un trait distinctif qui vous est propre, typiquement une caractéristique biométrique comme une empreinte digitale, votre visage ou votre voix.
Quand avez-vous besoin de recourir à l’authentification forte ?
L’authentification forte est requise notamment pour :
- l’accès à l’espace client de votre banque ;
- toute action en ligne comportant un risque de fraude (ex : changement d’adresse, virement occasionnel) ;
- le paiement en ligne.
En matière de paiement, des exceptions sont possibles :
- les opérations à faible montant (< 30 €) ;
- les abonnements et opérations récurrentes: cela sera valable dès la deuxième opération, l’opération initiale nécessitant une authentification comme lorsque le montant sera modifié ;
- les transactions réalisées auprès de bénéficiaires de confiance: chaque usager a la possibilité de se créer une liste de bénéficiaires de confiance, la liste blanche (ex : enseigne chez laquelle il fait régulièrement des achats). Cette liste est stockée par sa banque ;
- les opérations peu risquées dans l’espace client de sa banque: interne de compte à compte, interrogation de solde/dernières opérations.
En pratique : rapprochez-vous de votre banque
Chaque banque propose son propre dispositif d’authentification forte (auquel elle a donné un nom commercial), souvent via son application mobile. Il convient donc de vous rapprocher de votre établissement pour vous informer des modalités qu’elle a retenue dès le 15 mai prochain.
Très souvent, vous aurez à revalider périodiquement (par exemple, tous les 90 jours) votre mot de passe inclus dans le processus d’authentification forte.
| Payer à distance sans smartphone Et si vous n’avez pas de smartphone ? Là encore, rapprochez-vous de votre banque. Certaines d’entre elles mettent à votre disposition un boîtier ou lecteur de mot de passe. D’autres solutions, à base de SMS peuvent également être proposées. |
Source : La Finance pour tous, publié le 14 avril 2021
Pour en savoir plus : la DSP2 et les enjeux de sécurité – Fédération bancaire française
