En application de la règlementation européenne dite DSP2, les paiements par carte sur internet ainsi que les opérations bancaires sensibles (accès au compte bancaire en ligne...) doivent désormais faire l'objet d'une authentification forte de l'utilisateur, de manière systématique.

Cette authentification forte ou double authentification est prévue par la directive sur les services de paiement (DSP2) du 25 novembre 2015 afin de limiter la fraude sur les paiements à distance. Le taux de fraude est plus élevé en e-commerce que dans les commerces de proximité et cela a progressé dans le contexte de la crise sanitaire liée au Covid.

Pour en savoir plus, consultez notre article "Point sur la directive DSP2" du 27 décembre 2019.

1 - Qu'est-ce que l'authentification forte ?

2 - Dans quels cas l'authentification forte est-elle nécessaire ?

3 - Quels sont les cas d'exemption d'authentification forte ?

4 - Une mise en oeuvre progressive jusqu'au 12 juin 2021

1 - Qu'est-ce que l'authentification forte ?

• connaisance (quelque chose que seul l'utilisateur connait) : un mot de passe, un code PIN, une information personnelle...
• possession (quelque chose que seul l'utilisateur possède) : un ordinateur, un téléphone, une montre connectée, un boitier fourni par la banque...
• inhérence (quelque chose que l'utilisateur est), c'est-à-dire une caractéristique biométrique : empreinte digitale, reconnaissance faciale, vocale...

L'authentification forte est un système de sécurité qui vise à certifier que la personne qui souhaite effectuer un paiement en ligne ou accèder à ses comptes en ligne est bien le titulaire de la carte ou du compte de paiement.

Le consommateur doit confirmer son identité par un autre système, lui-même sécurisé. Ce sera le plus souvent par l'intermédiaire de son smartphone, par l'application de sa banque qui va lui demander un code secret.

La procédure 3D Secure n'est pas suffisante car elle repose sur un seul élément d'authentification (la possession d'un mobile). L'usage d'un seul code reçu par SMS n'est plus suffisant et est considéré comme peu sécurisé : en effet, les pirates informatiques ont pu, dans certains cas, intercepter le SMS avec le code et donc confirmer la transaction à la place de l'utilisateur.

L'authentification forte prévue par la directive DSP2 vise à renforcer la sécurité des paiements en ligne et celle de l'accès à votre banque en ligne ou à votre application bancaire.

Concrètement, au moment de payer sur internet, le client reçoit sur un téléphone préalablement identifié une notification l'invitant à s'authentifier, soit au moyen de la saisie d'un code personnel, soit par prise d'empreinte biométrique pour les téléphones mobiles équipés (empreinte digitale, reconnaissance vocale...).

Cela risque de poser des difficultés à ceux qui n'ont pas de smartphone ou ne veulent pas télécharger l'application bancaire sur leur téléphone.

Pour en savoir plus, lire l'article de 60 Millions de consommateurs " Sans smartphone, bientôt impossible d'acheter en ligne ? ".

Dans son communiqué de presse du 14 mai 2021, la Fédération Bancaire Française (FBF) explique que « pour les clients qui n'auraient pas de smartphone, les banques proposent des solutions alternatives comme l'utilisation d'un SMS à usage unique couplé à un mot de passe connu du client, ou l'utilisation d'un dispositif physique dédié".

Chaque banque va proposer son propre système d'authentification forte (boitier, application mobile...).

De nombreuses banques proposent leur service d'authentification forte, sous des noms commerciaux comme Certicode de la Banque Postale, SécuriPass du Crédit Agricole, Sécur'Pass de la Caisse d'Epargne.

2 - Dans quels cas l'authentification forte est-elle nécessaire ?

La DSP2 impose l'utilisation de l'authentification forte pour les opérations suivantes :

• l'accès au compte de paiement en ligne,
• une opération de paiement électronique (virement ou paiement par carte),
• une action réalisée par un mode de communication à distance qui présente un risque élevé de fraude (inscription d'un nouveau bénéficiaire de virement sur un compte bancaire en ligne).

Concernant l'accès au compte de paiement en ligne, cette authentification forte s'ajoute à la saisie de l'identifiant et du mot de passe.

3 - Quels sont les cas d'exemption d'authentification forte ?

La directive prévoit quatre cas pour lesquels une exemption d'authentification est possible :

• bénéficiaire de confiance (bénéficiaire pré-autorisé...),
• opération récurrente (loyer, abonnement...),
• opération de faible valeur unitaire à distance (moins de 30 euros) ou sans contact (de moins de 50 euros),
• opération à risque limité.

La banque émettrice de la carte bancaire aura le choix d'accorder ou non une exemption. Il pourra donc y avoir des disparités entre les banques.

4 - Une mise en oeuvre progressive jusqu'au 12 juin 2021

L'entrée en vigueur de l'obligation d'authentification forte a été fixée au 15 mai 2021 pour  toutes les transactions par la directive DSP2.

La Fédération du e-commerce Fevad rappelle que les nouvelles normes de sécurité ont été mises en oeuvre par étape depuis plusieurs mois :

• depuis le 15 février 2021, l'authentification forte s'appliquait aux montants supérieurs à 500 euros,
• depuis le 15 mars 2021, à ceux supérieurs à 250 euros,
• depuis le 15 avril 2021, aux montants supérieurs à 100 euros.

Les établissements bancaires doivent, depuis le 15 mai 2021, et sur une durée de quatre semaines (soit jusqu'au 12 juin 2021), mettre en oeuvre progressivement cette mesure d'authentification. Ensuite, ils pourront rejeter toute transaction non conforme, sauf si le commerçant en ligne a demandé une exemption d'authentification forte.

Renseignez-vous auprès de votre banque pour connaître le(s) système(s) à mettre en oeuvre et, le cas échéant, leur coût (location de boitier par exemple...).

> Pour en savoir plus, consultez notre dossier "Comment se protèger des arnaques bancaires et financières".

Corinne Lamoussière-Pouvreau

Juriste à l'Institut national de la consommation