Le code par SMS pour valider les achats sur internet disparaîtra fin 2020

Le monde de l'e-commerce dispose encore de presque quinze mois pour changer ses systèmes de validation des achats en ligne des internautes avec leur carte bancaire. Alors que la date limite initiale de la bascule générale vers le nouveau système avait été fixée le 14 septembre 2019, l'Autorité bancaire européenne (ABE) a l'a repoussée au 31 décembre 2020. À cette date, disparaîtra sur le Vieux continent l'authentification par code à usage uniqué envoyé par SMS, au titre de la directive sur les services de paiement pour les transactions en ligne par carte.

Ce texte européen oblige les banques, prestataires de paiement en ligne et sites d'e-commerce à se préparer à utiliser "l'authentification forte" pour valider les achats en ligne, sonnant le glas de la validation par SMS prisée par les banques, connue sous l'appellation 3D Secure. Pour l'autorité bancaire européenne et pour les spécialistes de sécurité, ce mode d’authentification n'est pas suffisant pour lutter contre la fraude, dans un contexte où celle-ci grimpe en flèche. 

L'envoi d'un SMS avec un code à usage unique à l'internaute permet à la banque de s’assurer, lors de chaque paiement en ligne, que la carte bancaire servant à l'achat est bien utilisée par son véritable titulaire. L'acheteur doit alors le saisir dans une "fenêtre" (pop-up) qui s'affiche sur son écran pour valider son achat sur le site d'e-commerce. Ce système n’est pas infaillible (un numéro 06 peut être piraté) mais il est "simple" pour limiter la fraude.

Toutefois, les "puristes" de la sécurité informatique critiquent le fait que cette "fenêtre" n'est pas forcément générée par le site où a été fait l'achat, ni par celui de la banque d'où provient la carte, offrant des failles exploitables par les pirates informatiques. Son défaut est de ne reposer que sur un seul paramètre d'authentification: la possession du mobile du porteur (avec son "06"), qui lui sert à recevoir le code de validation à usage unique.

Pour lutter plus efficacement contre la fraude, l'authentification forte ou renforcée consiste à demander à l'internaute de s'authentifier lors du paiement en ligne grâce à au moins deux facteurs distincts pris parmi trois: quelque chose qu'il sait (mot de passe, code PIN), quelque chose qu'il possède (ordinateur, smartphone) et/ou quelque chose qui le caractérise comme individu (empreinte digitale, rétine, forme du visage, voix).

Mais cette conversion au nouveau système de validation des achats en ligne suppose des migrations informatiques complexes qui préoccupent les acteurs impliqués (banques, site d'e-commerce, prestataires de paiement en ligne par carte). Les acteurs de l'e-commerce redoutent aussi que les internautes soient rebutés par des procédures de sécurisation et d'authentification trop lourdes ou complexes et imposées trop brutalement.

Dans ce contexte délicat, l'ABE a admis qu'exceptionnellement et afin d'éviter des conséquences négatives imprévues pour certains utilisateurs de services de paiement, il lui fallait fixer un délai supplémentaire limité dans le temps pour que la directive s'impose à tous les acteurs concernés. Mais, seront-ils tous prêts le 1er janvier 2021?