- Par Vincent MIGNOT
- Publié le vendredi 25 août 2017 à 11h41
Le 13 janvier prochain entrera en vigueur la directive révisée sur les services de paiement, dite DSP2. Parmi les mesures contenues dans le texte européen, la généralisation de la double authentification pour valider les achats en ligne.
Améliorer la sécurité des paiements en ligne : c’est l’un des impératifs qui a amené la Commission européenne à réviser sa directive sur les services de paiement. Le nombre de ces paiements, en effet, augmente rapidement avec l’essor du e-commerce. Ils restent aussi les plus perméables à la fraude : les achats par carte bancaire par internet ont par exemple représenté 12% des opérations effectuées en France en 2016, mais deux tiers des montants détournés.
Lire aussi : Carte bancaire, chèque et virement : ce que coûte la fraude
Ainsi, parmi les sujets pris en charge par la DSP2 qui devraient avoir un impact direct sur notre quotidien figure l’authentification forte, ou double authentification, de ces achats effectués à distance. Un sujet qui peut paraître technique, mais qui en réalité fait déjà partie de notre quotidien. Le code à usage unique reçu par SMS pour valider un achat en ligne – soit le dispositif dit 3D Secure – c’est déjà de l’authentification forte.
Qu’est-ce que l’authentification forte ?
L’authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus, qui doivent être indépendants, de telle manière que la compromission de l’un ne remet pas en question la fiabilité des autres. Ces éléments doivent appartenir à une ou plusieurs de ces catégories :
Connaissance : quelque chose que seul l’utilisateur connaît. Par exemple, un code PIN à quatre chiffres, un code à usage unique reçu par SMS, une question secrète, un mot de passe, etc.
Possession : quelque chose que seul l’utilisateur possède. Par exemple, une carte de codes secrets, un cryptogramme à trois chiffres inscrit au dos de la carte, une clé, un mobile, etc.
Inhérence : quelque chose que l’utilisateur est. Par exemple un facteur biométrique, comme l’empreinte digitale, ou un système de reconnaissance du visage, de l’iris, de la voix, etc.
On le constate, le mobile – qui peut être reconnu grâce à un numéro unique d’identification ; qui permet de recevoir des codes secrets à usage unique ou, dans une version plus sophistiquée, des notifications push dans l’application mobile de sa banque ; qui démocratise la biométrie grâce à des capteurs embarqués d’empreinte digitale ou d’iris – est de loin le support le plus adapté et le plus diffusé aujourd’hui pour mettre en œuvre cette authentification forte. Pour acheter en ligne à l’avenir, mieux vaudra donc avoir ce sésame à portée de la main.