Outil de prédilection des e-commerçants souhaitant sécuriser leurs transactions, l’authentification par SMS utilisée dans le cadre de 3D Secure ne répond pas aux critères des nouvelles réglementations en matière d’authentification « forte » . Les e-commerçants doivent-ils changer de solution d’ici le 14 septembre et la mise en oeuvre des RTS la DSP2 sur l’authentification forte, ou peuvent-ils conserver une solution technique, utilisée dans 85% des paiements 3D Secure par les banques ? Les réponses de Ludovic Francesconi, directeur marketing et innovation chez CB.
Le 3D Secure avec authentification par SMS est-il menacé par les RTS de la DSP2 ?
LF – L’authentification par SMS valide une des deux exigences des RTS (règles techniques de la réglementation) de la DSP2 : la possession (téléphone portable). Or, il faut deux facteurs pour qu’une méthode d’authentification soit considérée comme “forte”
Aujourd’hui le SMS représente 85% des paiements 3D Secure mais nous observons également une montée en puissance d’autres formes d’authentification, combinant push notification et application bancaire, avec saisie d’un code secret ou reconnaissance d’empreinte digitale.
Concrètement les marchands ne pourront plus utiliser le SMS pour valider les paiements le 14 septembre prochain ?
LF – C’est une crainte de certains marchands mais elle n’est pas justifiée car il y aura sûrement une phase de transition, qui permettrait de conserver ce type de solution en attendant l’adoption des nouvelles méthodes d’authentification.
N’oublions pas que tous les Français ne sont pas équipés de smartphones et qu’il existe encore des zones, avec une couverture cellulaire médiocre, où seul le SMS fonctionne.
Pourrait-on également imaginer un SMS plus sécurisé ?
LF – Il y a effectivement des initiatives pour rendre le SMS conforme aux RTS de la DSP2, par exemple en lui ajoutant un deuxième facteur : l’inhérence basée sur l’empreinte électronique du device (PC, tablette ou smartphone). CB met en place FAST’R by CB, une plate-forme de nouvelle génération basée sur le protocole 3D Secure EMV, qui pourrait récupérer des données techniques du device, si les marchands acceptent de les transmettre.
Cette piste de réflexion bénéficie du soutien de l’Autorité Bancaire Européenne, qui a reconnu que le “device fingerprinting” pouvait être considéré comme un facteur d’inhérence. Et c’est une solution qui ne nécessite pas de collecte du consentement explicite de l’utilisateur puisque la lutte contre la fraude est reconnue par le RGPD comme un cas permettant de se passer de ce type de consentement.
update septembre 2019:
Suite à la publication du rapport de l’OSMP de Juillet 2019, il est confirmé que le SMS sera accepté jusqu’en Juin 2022. Les e-commerçants et les acteurs de la chaîne des paiements, devront être connectés à la nouvelle architecture 3DSV2 d’ici Mars 2021. Pour ce qui est des consommateurs, un plan de migration est mis en place pour le remplacement du SMS. D’ici décembre 2020 ,la grande majorité des consommateurs bénéficiera de ces nouvelles solutions d’authentification renforcée.
