Le SMS d'authentification des achats en ligne bientôt supprimé

|
Twitter Facebook Linkedin Google + Email Imprimer

Mis en cause pour son manque de sécurité, le dispositif, baptisé SMS-OTP, devrait disparaître à l’horizon 2019.

SMS
SMS© Ion Chiosea/123RF

Le SMS de validation envoyé lors d’un achat en ligne est en passe de disparaître. L'Union européenne va imposer des conditions plus strictes d'authentification des acheteurs afin de renforcer la sécurité des transactions en ligne, encore insuffisante : d'après l'Observatoire de la sécurité des moyens de paiement, la fraude au paiement par carte bleue en ligne représente 0,161% du montant total dépensé sur Internet, soit un euro de fraude pour 620 euros de paiement. La directive européenne sur les services de paiement 2e version (DSP2), qui doit entrer en vigueur en septembre 2019, a donc pour objectif de garantir une "forte authentification" des règlements d'achats sur Internet, ce qui n'est pas le cas avec le SMS.

De nouveaux moyens de vérification plus sécurisés sont donc à l’étude pour que les banques permettent à leurs clients des moyens plus sûrs pour répondre à ce principe d'identification forte : deux conditions sur trois - la connaissance (seul l'utilisateur connaît la réponse à une question), la possession et l'inhérence (d'un trait physique, comme le visage ou l’empreinte digitale) - devront désormais être réunies pour que l'achat, pour les paiements en ligne de plus de 30 euros, soit finalisé. Détail qui a son importance : les deux points doivent être indépendants l'un de l'autre (ce qui n'est pas le cas avec le SMS : le téléphone possédé n'est pas indépendant de la connaissance du code puisque celui-ci est reçu sur le smartphone en question). Ces évolutions notables vont pousser les banques, mais aussi les e-marchands et les fabricants high-tech à faire évoluer leurs solutions. Selon les Echos, plusieurs fédérations de commerce en ligne ont par ailleurs demandé la mise en place d'un délai de trois ans.

Pour rappel, le système actuel, baptisé SMS-OTP pour One Time Password, ou token SMS, consiste en un message doté d’un code à usage unique qui une fois rentré sur l’interface d’achat permet de valider définitivement une commande passée sur Internet. Outre un niveau de sécurité jugé jusqu'alors satisfaisant, il présente l’avantage d’un temps de délivrabilité extrêmement rapide (97% des messages sont reçus en moins de 1 minute).

 
Suivre LSA Suivre LSA sur facebook Suivre LSA sur Linked In Suivre LSA sur twitter RSS LSA