La sécurité des transactions en ligne encore loin de la standardisation

le 12/03/2015 L'AGEFI Hebdo

La réglementation européenne avance lentement, laissant aux banques le soin de tester et de choisir les technologies les plus appropriées.

La sécurité des transactions en ligne encore loin de la standardisation
(Fotolia)

La fraude aux paiements en ligne représente 64,6 % du montant total de la fraude en France, alors que ces transactions ne constituent que 11 % des paiements. Et même si le taux de fraude en ligne a reculé depuis 2011 pour descendre à 0,229 %, il reste préoccupant pour tous les acteurs, régulateurs, banques et marchands. C’était d’ailleurs le thème d’un colloque organisé en février par le magazine Point Banque. Et pourtant, les règles se sont durcies. Le Forum SecurePay, initiative de coopération qui réunit les superviseurs et les banques centrales de l’Espace économique européen, ainsi que la Commission européenne et Europol, a publié trois séries de recommandations sur la sécurité des paiements depuis 2013. Elles entraient en vigueur le 1er février dernier, tandis que l’Autorité bancaire européenne publiait les siennes en décembre 2014 afin de les rendre applicables le 1er août 2015. Mais pour arranger les choses, la révision en cours de la directive sur les services de paiement devrait apporter son lot de règles de sécurité une fois le texte adopté, probablement début 2017. Face à une telle complexité, les banques doivent avancer et sélectionner les technologies performantes tout en espérant qu’elles seront conformes aux textes réglementaires à venir. Pas évident, mais le droit succède souvent à la réalité. « Le rôle du régulateur est bien sûr de recommander les bonnes pratiques, rappelle Angelo Caci, consultant spécialiste des paiements. En revanche, ce n’est pas de promouvoir telle ou telle technologie. »

Le principe promu par la Banque de France depuis des années, repris ensuite par SecurePay, est l’utilisation de l’authentification renforcée, ou d’une analyse de risque pour pouvoir y déroger. C’est ainsi que le dispositif 3D Secure (authentification du payeur par sa banque lors d’un paiement en ligne par carte bancaire) s’est développé avec grandes difficultés. Chaque banque l’a déployé à sa façon et il a fallu quelques années avant que l’envoi d’un code à usage unique par SMS s’impose. Les e-commerçants l’ont accusé de leur faire perdre du chiffre d’affaires. Aujourd’hui, 3DS n’est activé que dans 31 % des transactions en ligne mais le taux d’échec est descendu à 16 %, proche de celui des transactions non 3DS (14 %). La Banque de France considère qu’il devrait se généraliser auprès des e-commerçants d’ici à 2017. Néanmoins, 3DS répond mal aux transactions sur mobile.

Des moyens complémentaires

C’est pourquoi les portefeuilles électroniques ont fait leur apparition mais l’authentification simple (identifiant + mot de passe) est jugée insuffisante. Des moyens complémentaires seront donc nécessaires. D’ailleurs, ApplePay, lancé fin 2014 aux Etats-Unis, pourtant fondé sur l’enrôlement avec les banques partenaires et sur l’utilisation de TouchID (reconnaissance de l’empreinte digitale), a connu un pic de fraude dû à une vérification d’identité insuffisante de la part des banques américaines. Preuve que la sécurité n’est jamais totale. D’autres technologies apparaissent : la « tokenisation » (création d’un alias à partir des données de carte bancaire afin qu’elles ne transitent pas sur les réseaux), la biométrie (reconnaissance digitale, vocale), HCE (host card emulation), architecture logicielle intégrée à Android, MST (magnetic secure transaction) qui s’appuie sur la bande magnétique de la carte bancaire…

Les banques françaises, qui proposent toutes 3DS, testent certaines d’entre elles. La Banque Postale expérimente notamment TalkToPay, un dispositif de reconnaissance vocale pour les achats sur internet. Le pilote réalisé auprès de 600  personnes a donné lieu à 6.500 paiements et à 12.000 authentifications. Société Générale, qui a également essayé la biométrie vocale, a surtout lancé le Pass Sécurité début 2014. C’est un dispositif OOB (Out of band authentication) qui utilise deux réseaux différents pour authentifier le porteur : l’achat est réalisé en ligne sur ordinateur, le client reçoit une alerte dans son application bancaire mobile et valide la transaction sur son téléphone. Il compte 300.000 utilisateurs. Boursorama envoie un SMS pour chaque transaction supérieure à 200 euros. Crédit Mutuel Arkéa propose à ses clients de bloquer l’usage de leur carte bancaire sur internet et promeut Virtualis, un service de carte virtuelle. Aucun consensus ne se dégage encore sur la technologie de référence, chacun avance selon ses propres convictions. Quant à la Fédération bancaire française, elle vient de publier « 10 réflexes sécurité » pour les achats en ligne à destination des consommateurs : des conseils de bon sens, certes, mais les pirates sont devenus des professionnels de la fraude.

Principaux services de paiement utilisés en ligne : 80 % carte bancaire ; 27 % portefeuille électronique ; 14 % chèque cadeau ; 11 % e-carte bleue (Source : Fevad/Médiamétrie - juin 2014)

A lire aussi