• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Services bancaires > Paiements > Authentification forte : à quel chantier s’attellent les banques ?

Authentification forte : à quel chantier s’attellent les banques ?

Pour se conformer à la DSP2, les banques françaises sont contraintes de transformer leurs méthodes d’authentification pour les paiements en ligne et de migrer vers une nouvelle infrastructure 3D-Secure 2.0. Un chantier interne d’envergure mais aussi un défi de communication auprès de leurs clients. État des lieux et calendrier.

Par Aude Fredouelle. Publié le 27 septembre 2019 à 11h38 - Mis à jour le 27 septembre 2019 à 11h38
  • Ressources

Le volet de l’ouverture des données de transactions bancaires a été mis sur le devant de la scène, notamment à la suite des longues tractations entre établissements financiers et prestataires tiers (TPPs) quant aux parcours clients et APIs. Mais un autre pan de la DSP2 demande aux banques des investissements considérables et des choix stratégiques : celui de l’authentification forte (SCA).

Exit la méthode OTP SMS

La DSP2 prévoit que tous les paiements électroniques devront désormais être authentifiés fortement. L’authentification forte nécessite de passer par au moins deux des trois méthodes suivantes : connaissance (comme un mot de passe ou code PIN), possession (comme un smartphone ou token), caractéristique personnelle (facteurs biométriques comme l’empreinte digitale, par exemple). Pour le paiement en magasin, les processus actuels sont déjà conformes DSP2 (avec le code PIN, pour la connaissance, et la puce de la carte bancaire, pour la possession). Même chose pour le paiement mobile, avec le code (connaissance) et l’empreinte digitale (caractéristique personnelle). Et le marché sait déjà gérer les exemptions, pour les petits montants par exemple. 

Mais pour le paiement en ligne, le marché est loin d’être prêt. En 2018, l’Autorité bancaire européenne (EBA) a décrété que la solution utilisée largement par le marché français, le SMS OTP (One-Time Password), qui consiste à rediriger vers une page de la banque et à y entrer un code temporaire reçu par SMS pour s’authentifier, n’était pas assez sécurisée pour constituer l’une des méthodes d‘authentification forte au sens de la DSP2. 

Dans son rapport annuel publié mi-2018, l’Observatoire de la sécurité des moyens de paiement évoquait en effet plusieurs faiblesses. “Le canal de communication utilisé lors de l’envoi du SMS ne fait pas l’objet de mesures de sécurité adaptées à la transmission de données sensibles et la possibilité d’usurper la ligne de téléphonie mobile du titulaire du compte peut permettre au fraudeur de recevoir les SMS d’authentification sans que le titulaire du compte ne s’en aperçoive”, avertissait alors cette instance présidée par le gouverneur de la Banque de France.

Les banques françaises doivent donc mettre en place de nouveaux dispositifs d’authentification conformes à la DSP2. L’alternative à l’OTP SMS passe par l’enrôlement du smartphone permettant de valider la possession (via une notification ou depuis l’application bancaire), la saisie d’un code secret (connaissance) ou l’enregistrement d’une empreinte biométrique (caractéristique personnelle). Au moins deux méthodes parmi les trois possibles doivent être déployées.

Le choix de la solution est en tout cas laissé aux banques et certaines ont déjà commencé à mettre en place des mesures d’authentification forte. Avec Worldline, BPCE a par exemple développé Secur’Pass, uniquement disponible sur les applications du groupe. Le client saisit un code personnel à 4 chiffres réutilisable (connaissance) ou bien exploite la reconnaissance de son empreinte digitale ou de son visage (caractéristique personnelle). Le smartphone sert de preuve de possession. BNP Paribas propose une clé digitale et HSBC France une “Secure Key”. Chez certaines banques, une trentaine de pourcents des clients utilisent déjà une solution d’authentification forte, assure le régulateur. 

Chez ING, une première solution intermédiaire a consisté à coupler OTP SMS avec le code secret des clients pour proposer une authentification à deux étapes (contre le SMS uniquement auparavant). “Cela nous permet de préparer la suite du chantier, qui consistera à supprimer le SMS pour des questions de sécurité mais qui impliquera d’enrôler les appareils des clients au cours d’un échange technique utilisant un token”, souligne Hélène Altisen, project manager payment & cards chez ING en France. ING débutera l’enrôlement fin novembre 2019 et souhaite avoir achevé la migration de tous les clients d’ici mars 2020. “Ce facteur sera couplé au code secret ou à la biométrie mais nous allons favoriser l’usage de la biométrie. Nous la proposons déjà sur iOS et cela sera bientôt le cas sur Android.”

Arkéa, de son côté, mise d’abord sur les cartes virtuelles déjà proposées aux clients pour lutter contre la fraude, indique Jean-Luc Dubois, directeur des flux. “Ensuite, nous avons développé des solutions basées sur la biométrie et l’enrôlement des téléphones pour les opérations sensibles de banque à distance. L’objectif, désormais, est que le parcours d’authentification du client soit le même pour un paiement sur Internet en 3D Secure.” Le calendrier de déploiement est en cours de définition.

Calendrier : 80% des clients enrôlés d’ici fin 2020

Alors que la DSP2 est entrée en vigueur le 14 septembre dernier, le marché est très loin d’être prêt et l’ACPR et la Banque de France ont accordé un délai aux établissements financiers tout en établissant des indicateurs de suivi de la mise en conformité. Objectif : 80% des clients doivent être enrôlés d’ici décembre 2020, et la totalité en trois ans, d’ici 2022. Cette seconde phase devra servir à trouver des solutions pour les “cas particuliers résiduels (populations fragiles ou peu équipées, expatriés…)”. 

Pour les acteurs bancaires, la communication auprès des clients s’avère primordiale. “Les clients sont de plus en plus conscients de la nécessité de protéger leurs données et de faire attention à la sécurité. L’enrôlement des smartphones est donc un changement important, estime Hélène Altisen, d’ING. Il va falloir réussir à les rassurer et à faire en sorte que la solution d’authentification forte soit conforme à leurs attentes, fluide et efficace. Chez ING, nous sommes en train d’analyser les attentes et retours des clients au sein de petits groupes de tests avant de proposer la solution d’enrôlement plus largement.” L’intégration directement dans l’application d’une méthode d’authentification remplaçant le SMS pourra en effet permettre “de mettre en place un parcours plus fluide et d’améliorer le taux de conversion des commerçants”, assure Lionel Vincke, managing partner chez Azzana Consulting. Une communication nationale devrait avoir lieu en février 2020 pour évangéliser.

Migration vers les infrastructures 3D-Secure 2.0

Deuxième nouveauté, et la plus notable : la nécessité de la migration de toute la chaîne des paiements (des schemes aux banques en passant par les prestataires de services de paiement et e-commerçants) vers de nouvelles infrastructures 3D-Secure 2.0. En cause : le basculement de responsabilité imposé par la DSP2. Alors que, jusqu’ici, le commerçant décidait de déclencher ou non une authentification forte selon ses propres critères, il revient désormais à la banque émettrice de s’en charger (en respectant les règles d’exemption définies par les RTS de la DSP2, cf. encadré).

L’infrastructure 3DS binaire sur laquelle échangeaient jusqu’ici commerçants et banques n’est pas capable de gérer le nouveau cadre DSP2. D’abord, parce qu’elle est à la main du commerçant, qui choisit ou non de proposer une authentification forte selon ses propres scores de risque. L’émetteur peut seulement rejeter purement et simplement la transaction proposée sans authentification forte si elle lui semble trop risquée (créant ainsi une mauvaise expérience utilisateur) mais ne peut pas réclamer un ajout d’authentification forte. Ensuite, parce que les informations envoyées par le commerçant à la banque sont actuellement limitées (numéro de carte, nom du porteur, date d’expiration, code), alors que la banque aura désormais besoin de bien plus de données pour évaluer le risque du client : “adresse de livraison, historique de transactions, informations sur l’appareil utilisé…”, égrène Lionel Vincke, d’Azzana. “Par exemple, les commerçants pourront communiquer leur propre score de risque pour aider la banque dans sa prise de décision, et/ou formuler le souhait que l’authentification forte ne soit pas déclenchée”, indique Marine Bauchère, senior consultante banque de Deloitte.

quels sont les critères d’exemption ?

L’authentification forte devra s’appliquer à toutes les transactions réalisées sur Internet… sauf exemptions : les paiements d’un montant inférieur à 30 euros (et 50 euros pour le sans contact en magasin) ; les paiements vers un bénéficiaire inscrit sur une liste de bénéficiaires de confiance, les paiements récurrents (abonnements par exemple) ; et les paiements de moins de 500 euros et considérés comme “à risque faible” – à la condition que le taux de fraude de la banque acquéreur ou émetteur procédant à l’analyse de risque soit en dessous d’un certain seuil. Les émetteurs de cartes et acquéreurs peuvent ainsi prouver leur capacité à réaliser des analyses de risque en temps réel et décréter des exemptions.

“Une mise à jour technique des réseaux interbancaires est nécessaire, souligne Marine Bauchère de Deloitte. Il s’agit d’un chantier très conséquent pour les banques et toutes les équipes monétiques sont mobilisées. Sans compter qu’en parallèle, les banques doivent aussi travailler sur les cinématiques d’authentification forte pour les virements, même si c’est un chantier moins complexe car il n’implique pas toute la place.” Selon Jean-Luc Dubois, Arkéa travaille sur ce sujet avec l’ensemble des réseaux cartes depuis début 2018, et a mis en oeuvre des solutions compatibles 3DS V2 dans le cadre du projet Fast’R de CB en particulier.

Un plan relatif à l’évolution du socle technique de place a été élaboré par les banques, schemes et e-commerçants et présenté au cours de l’été 2019 à la Banque de France. Construit sur une période de 18 mois, il prévoit une disparition d’ici mars 2021 des transactions n’ayant pas été authentifiées fortement (hormis demandes d’exemption, cf. encadré). Et dès avril 2020, une situation intermédiaire devrait voir le jour : les acteurs pourront déjà communiquer de façon enrichie et les banques pourront réaliser des “soft declines” lors d’une transaction sans demande d’authentification forte par le commerçant sur un montant supérieur à 500 euros ou si le commerçant présente un taux de fraude élevé. Il ne s’agira pas d’un refus pur et simple mais d’un refus avec un mécanisme d’information du e-commerçant lui permettant de soumettre à nouveau la transaction avec authentification forte.

Worldline, prestataire technique de la première infrastructure, a été de nouveau choisi pour développer le socle 2.0. Sylvie Calsacy, responsable de la stratégie paiement chez Worldline évoque “un chantier titanesque”. “Il a fallu que tous les acteurs s’accordent pour délivrer des spécifications et les tester de façon synchrone à l’échelle européenne… Il faut aussi s’assurer que toute la chaîne de valeur du paiement soit en capacité de lire ce nouveau protocole.” 

Aucune transaction 3DS 2.0 n’a encore été effectuée. Les six premiers mois de la période de migration correspondent à une phase de rodage de l’infrastructure et d’enrôlement progressif des différents acteurs puis de raccordement d’utilisateurs finaux (porteurs de cartes et commerçants) pour tester la capacité de communication. Les 12 mois suivants permettront de “gérer la montée en charge” et “d’intégrer progressivement la capacité de gestion des différents facteurs d’exemption”, indique l’Observatoire de la sécurité des moyens de paiement. 

Le régulateur français cadre la migration… contrairement à ses homologues européens

L’Autorité Bancaire européenne a publié le 21 juin 2019 un avis invitant les autorités nationales compétentes à proposer un plan de migration pour assurer la mise en conformité de leur marché domestique. Le régulateur français s’en est chargé en établissant le calendrier de migration mais aussi en mettant en place un suivi régulier par un groupe “migration” dédié de l’Observatoire, présidé par la Banque de France. Ce groupe se réunira sur une base mensuelle et sera chargé “de veiller au respect des principaux jalons”, “de valider les livrables structurants”, “d’identifier les problèmes rencontrés” et “de proposer des actions de remédiation le cas échéant”. 

Les régulateurs étrangers ne se sont pas montrés aussi proactifs. “Nous avons la chance d’avoir un plan de migration en France, alors que dans d’autres pays comme l’Italie ou l’Allemagne les régulateurs disent attendre une deadline de la part l’EBA, tandis que d’autres comme le régulateur Tchèque ne se sont toujours pas exprimés sur le sujet”, regrette Hélène Altisen, d’ING. “Nous espérons que la feuille de route française sera adoptée au niveau européen, pour que le marché reste uniforme en termes de méthodes d’authentification.”

Aude Fredouelle
  • authentification
  • biométrie
  • DSP2
  • paiement en ligne
  • régulation

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Entretien

Solveig Honoré Hatton (Mastercard France) : "La biométrie est un élément clé d’authentification forte"

L'Alliance FIDO lance un programme de certification des systèmes d'authentification biométrique

La Deutsche Kreditbank mêle biométrie et 3D Secure pour les paiements en ligne

Authentification biométrique : Monzo renforce son partenariat avec Jumio

N26 passe par Token.io pour se conformer à la DSP2
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025