Vous le connaissez forcément, ce code de vérification. Celui que votre banque vous envoie à chaque achat de billet de train sur le site de la SNCF ou un quelconque site d’e-commerce. Il arrive, la plupart du temps, sous la forme d’un SMS sur votre mobile, puis doit être copié sur une page de vérification – le fameux 3D Secure.
À voir aussi sur Konbini
Une manière, autrefois considérée comme sécurisée, de vérifier que vous êtes bien le propriétaire de la carte faisant l’achat en ligne. Or, c’est bientôt fini : à partir du 15 mai prochain, il faudra se rendre sur l’appli de sa banque. Et si on n’a pas de smartphone ? On vous explique.
Pourquoi ça change ?
Ça change parce que, désormais, la méthode d’envoi de code par SMS n’est plus considérée comme assez fiable et sécurisée. Selon qui ? Selon les institutions européennes qui, en janvier 2018, ont approuvé la 2e Directive européenne sur les services de paiement (dite DSP2).
On ne va pas s’étendre, mais cette directive appuie la nécessité de créer un espace sécurisé en ligne pour l’e-commerce européen – notamment en évitant les fraudes à la carte bancaire. Et pour cela, elle a entériné la méthode de “l’authentification forte”.
Jusque-là, le SMS était assez “fort” (dans le sens “sécurisé”) pour la double authentification. Jugée insuffisante, cette méthode va être changée pour être renforcée.
Comment va fonctionner l’authentification forte
En fait, cette méthode reprend le même principe que la précédente : en plus du combo numéro de CB, cryptogramme et dates de validité de la carte, elle requiert une nouvelle preuve de l’identité du porteur de la carte bancaire.
Sauf qu’en lieu et place du SMS, on devra utiliser une autre méthode plus sécurisée à partir des achats d’un euro. À savoir : un élément que seul le propriétaire connaît (mot de passe), un appareil dédié (carte à puce) ou… une connexion à l’appli de sa banque sur mobile, comme nous le rappelle 60 Millions de consommateurs. Un choix qui semble être privilégié par les banques françaises, prises dans un vrai casse-tête afin d’uniformiser les méthodes d’authentification.
Les problèmes que cela pose
Et là, plusieurs problèmes se posent. Le premier, c’est que les banques, alors que l’échéance se rapproche et que “l’authentification forte” est déjà en vigueur pour les achats de plus de 250 euros depuis un mois, ne communiquent pas clairement sur le sujet. Difficile, malgré nos recherches, de savoir qui privilégie quoi.
Le second, c’est que tout le monde ne possède pas de smartphone en France – loin de là. Environ 23 % de la population française en 2019, soit un Français sur quatre, selon le baromètre du numérique réalisé par l’Arcep.
Les banques semblent privilégier plusieurs options, le cas échéant. Selon le site MoneyVox, qui a rédigé un article très complet sur le sujet, un boîtier en plastique, “dans lequel le client introduit sa carte, tape son code secret et récupère un code à usage unique”, pourrait être transmis aux clients sans smartphone. Ce boîtier existe déjà depuis le 3D Secure, mais il est bien moins pratique et répandu que le SMS…
D’autres banques, comme le Crédit mutuel, indiquent “accorder les délais nécessaires à ceux qui ne possèdent pas de smartphone“, rapporte 60 millions de consommateurs. Alors, quid des personnes vivant en zone blanche ?
Pour nous écrire : hellokonbinitechno@konbini.com
