«Pour authentifier votre paiement de 200 euros, veuillez saisir le code 50695187». Ce type de SMS ne sera pas abandonné au 14 septembre prochain, alors qu'une directive européenne exigeait des Etats membres de passer à une autre étape, dite d'«authentification forte». La France, ainsi que d'autres pays, viennent d'obtenir un délai jusqu'en 2022.
Le quotidien les Echos révèle que la banque de France et la BCE ont donné leur accord pour reculer la date d'application de la directive. Concrètement, les web marchands et les entreprises ayant pour usage d'effectuer des transactions monnétaire via l'Internet peuvent conserver la double authentification actuelle par SMS 3D Secure le temps de se mettre à la page de l'authentification forte DSP2.
Un sursis réclamé par de nombreux acteurs économiques qui avaient alerté les autorités sur leur incapacité à se mettre à la page. Certains e-commerçants estimaient qu'ils risquent de perdre du chiffre d'affaires.
La biométrie généralisée
Cette directive entend renforcer la sécurité lors d'un achat en ligne par carte bancaire. En 2022, la directive européenne devrait contribuer à réduire le taux de fraude pour ces transactions en introduisant un niveau de sécurité supplémentaire. Il ne sera donc plus simplement possible d'utiliser la double authentification 3D Secure, qui implique actuellement d'utiliser son numéro de carte bancaire et de recevoir un SMS en plus. La norme DSP2 ajoutera notamment une étape faisant appel aux données biométriques (empreintes digitales, reconnaissance faciale...).
Ces nouveaux dispositifs seront donc progressivement adoptés par les acteurs de l'e-commerce, ainsi que les banques, d'ici à 2022. La Banque de France estime d'ailleurs qu'environ 70 % des structures concernées seront à la page de la directive à la fin 2020.