Paiements en ligne : un nouvel outil pour réduire la fraude

Depuis le 14 septembre 2019, la directive européenne DSP2 impose des “authentifications fortes” lors des paiements en ligne dans le but de réduire l'ampleur de la fraude. Tous les achats sont-ils concernés ? Décryptage.

Retrouvez ce contenu dans votre compte en cliquant sur ce lien

Ce contenu a bien été ajouté à vos favoris dans votre compte

Voir mes favoris

Pour ajouter ce contenu à vos favoris vous devez être connecté(e)

Me connecter

Pour ajouter ce contenu à vos favoris vous devez être abonné(e)

M'abonner
8mn de lecture
Devant l'ampleur de la fraude sur Internet, une “authentification forte” a été imposée par une directive europoéenne.
© Jane/adobestock

L'ampleur des paiements frauduleux sur Internet

> En France, sur un total de 704,4 milliards d’euros de transactions par carte de paiement en 2018, les fraudes ont représenté 439 millions d’euros. Plus des deux tiers de ce montant ont été détournés sur internet par usurpation des numéros de carte. Ce qui frappe surtout à la lecture du dernier rapport de l’Observatoire de sécurité des moyens de paiement (OSMP), c’est le nombre grandissant de cartes touchées: plus de 1,35 million en 2018 au total pour un montant moyen de fraude de 70,50 euros qui, lui, a tendance à baisser.

Qu'est-ce que l'authentification forte ?

> Aujourd’hui, la sécurisation des paiements en ligne repose sur la saisie des données de la carte elle-même : numéro, date d’expiration, cryptogramme, voire nom et prénom du porteur. Les sites d’e-commerce sont déjà libres de demander une authentification forte du client avec le protocole “3D-Secure” : pour valider l’opération, le consommateur saisit un code à usage unique envoyé par SMS sur son téléphone portable. Mais cette méthode d’authentification est optionnelle. Et pour l’Autorité bancaire européenne, elle doit évoluer vers des procédés plus sophistiqués. C’est pourquoi la deuxième directive européenne Sécurité des paiements dite “DSP2”, transposée en droit français à l’été 2018, impose de nouveaux principes d’authentification forte depuis le 14 septembre 2019.

> Au moment de la transaction, il faudrait que le protocole de sécurisation combine au moins deux des trois facteurs suivants:

  • la possession d’un objet par l’acheteur (carte bancaire, smartphone, tablette ou ordinateur) ;
  • la connaissance d’une information détenue par l’utilisateur de la carte bancaire (un mot de passe ou un code secret);
  • l’inhérence (la vérification de l’identité de l’acheteur par un élément biométrique comme son empreinte digitale, sa voix, son iris ou la reconnaissance faciale par selfie). 

L’AVIS D’EXPERT Bertrand PINEAU, responsable veille, innovation et développement à la Fédération du e-commerce et de la vente à distance

“Les sites marchands comptent sur la dispense d’authentification forte” 

Au moment de déclarer un “bénéficiaire de confiance”, par exemple un site marchand sur lequel on fait souvent des achats, on passera d’abord par un protocole d’authentification forte. Puis ce ne sera plus nécessaire pour valider les transactions suivantes. Malheureusement, pour que les banques soient en mesure d’enregistrer une liste de bénéficiaires de confiance, il faut du temps. Or, les sites marchands comptent beaucoup sur cette dispense d’authentification forte pour faciliter les achats. En attendant, même s’il faut combattre la fraude, il faut aussi éviter que les paiements soient trop compliqués, voire bloqués. Pour cela, les protocoles type 3D-Secure vont perdurer et évoluer, le temps d’une transition en douceur. Parallèlement, un gros travail, invisible pour les consommateurs, vise à enrichir les données du paiement et à les partager entre marchands, banques du marchand et du client, réseaux (CB, Visa, Mastercard…) afin de sécuriser les transactions sans remettre en cause les flux d’achats. Cela permettra de dresser un profil de risques pour chaque paiement, avant de déclencher une demande d’authentification forte. Il s’agit de garantir la continuité de service et la fluidité du parcours client tout en étant conforme à la DSP2.

Qu'est-ce qui changé depuis le 14 septembre ?

> La réglementation de l’authentification forte a changé : ce ne sont plus les sites marchands qui la déclencheront, mais les banques et les prestataires de services de paiement (comme Paypal, Paylib ou Linxo), en fonction des taux de fraude et de leurs montants. «Pour les consommateurs, le changement ne sera pas brutal. Le recours à l’authentification forte pourra être légèrement plus fréquent selon les sites d’e-commerce utilisés. De nouvelles méthodes d’authentification fortes vont être proposées et progressivement généralisées dans les prochaines années», précise Loÿs Moulin, directeur du développement au Groupement des cartes bancaires CB. Ces dispositifs pourront par exemple reposer sur une application pour smartphone ou carte SIM (compatible avec tous les mobiles), nécessitant la saisie d’un code secret ou la vérification d’une donnée biométrique.

Les progrès de la sécurité des paiements ne sont donc pas pour tout de suite ?

> « Nous appliquerons les protocoles de sécurisation des banques et des prestataires de services de paiement dès qu’ils seront prêts, affirme notre contact chez Cdiscount, le n°1 des ventes en ligne en France. De notre côté, nous avons progressé sur la détection des risques de fraude. À partir de certaines caractéristiques (comme le matériel utilisé pour passer la commande, les habitudes d’achats, le lieu de livraison), dès qu’un facteur semble inhabituel, l’alerte à la fraude peut être activée et une demande d’authentification forte peut être faite. Quoi qu’il en soit, nous n’enregistrons aucune donnée personnelle puisque tout est délégué aux banques et aux prestataires de services de paiement. »

La directive prévoit-elle des paiements moins sécurisés que d'autres ?

> Elle dispense effectivement d’authentification forte les paiements de faibles montants, jugés peu risqués. Payer moins de 30 euros par carte sur internet ne sera donc pas plus sûr qu’avant. En revanche, à la cinquième petite opération de suite, l’authentification forte sera déclenchée. Idem dès qu’un certain montant de paiements cumulés sera atteint. Les banques et les prestataires de services de paiement sont libres de choisir le plafond qui leur semble le plus approprié, probablement autour de 100 euros, d’après l’OSMP.

Outre ces petits paiements, d'autres exceptions existent-elles ?

> Oui. Lorsqu’un consommateur achètera un objet payable en plusieurs fois ou lorsqu’il réglera chaque mois un abonnement, seule la première des opérations de paiement sera soumise à authentification forte. Cela s’entend. L’autre exception mérite, en revanche, toute l’attention des familles. Les paiements vers un “bénéficiaire de confiance”, désigné comme tel par le client auprès de sa banque ou son prestataire de paiement échappera à la double sécurité.

L'authentification biométrique est-elle déjà envisageable ?

> « Cela nécessite que les consommateurs soient équipés d’un smartphone à reconnaissance biométrique. En attendant leur généralisation, les protocoles type 3D-Secure vont continuer à être utilisés », affirme Bertrand Pineau, responsable veille, innovation et développement à la Fédération du e-commerce et de la vente à distance (Fevad).

LE PROTOCOLE 3D-SECURE EST-IL FIABLE ?

Ce système envoie par SMS un code à usage unique sur le téléphone du payeur qui doit l’inscrire sur le site marchand pour finaliser son achat par carte bancaire. Entre novembre 2018 et avril 2019, 43% des transactions en ligne par carte ont été réalisés avec 3D-Secure. Cet outil fait drastiquement baisser le taux de fraude : il passe de 0,173% (1€ de fraude pour 578€ de paiement) pour l’ensemble des paiements à distance (avec ou sans 3D-Secure), à 0,07% (1€ fraudé pour 1 428 € de paiement) quand 3D Secure est déclenché. Source : Observatoire de sécurité des moyens de paiement, rapport 2018. 

Après une procédure d'authentification forte, les banques pourront-elles refuser de rembourser le client en cas de fraude ?

> Les consommateurs sont protégés par le Code monétaire et financier, qui n’est pas modifié par la directive européenne. Les articles L 133-15 et suivants prévoient les conditions dans lesquelles les porteurs sont remboursés en cas de transaction non autorisée. Cependant, les banques font signer à leurs clients un contrat qui précise que la carte de paiement est rigoureusement personnelle. Il est interdit de la prêter ! Si quelqu’un de l’entourage du porteur l’utilise ensuite à son insu, la banque ne rembourse pas.

L’AVIS D’EXPERT Loÿs MOULIN, directeur du développement au Groupement des cartes bancaires CB

“ L’authentification biométrique sera proposée par les banques, pas imposée“

Les consommateurs se sont bien habitués aux authentifications par SMS envoyés sur leur téléphone portable. L’Observatoire de sécurité des moyens de paiement a défini avec l’ensemble des acteurs un calendrier qui permettra d’intégrer progressivement les nouvelles méthodes d’authentification forte en accompagnant les acheteurs : une nette majorité des clients et des transactions doit être concernée d’ici à décembre 2020, et l’ensemble d’ici à juin 2022. La biométrie fait partie des méthodes susceptibles d’être proposées par les banques à leurs clients. Cependant, elle ne pourra pas être imposée, comme le recommande la CNIL. Les consommateurs qui ne souhaitent pas en disposer auront d’autres technologies à leur disposition, par exemple la saisie d’un code confidentiel dans leur application de banque à domicile sur leur smartphone. Quant aux méthodes s’appuyant sur l’empreinte digitale ou d’autres données biométriques (œil, voix, visage…), elles sont chiffrées et conservées exclusivement dans les composants sécurisés du smartphone ou de la carte bancaire. Ni les sites marchands ni les banques n’y ont accès. 

 

df
Laurence de Percin
Publié le

Partager cet article :