Pour régler ses achats, la vérification par SMS sera bientôt obsolète. Il faudra passer par une authentification renforcée, comme la reconnaissance faciale ou l’empreinte digitale. Une solution plus sûre, mais qui prête déjà à débat.
Pour confirmer un achat en ligne, il faudra bientôt montrer double patte blanche. Exit la simple validation d’un code envoyé via SMS par votre banque. Celle-ci demandera désormais à ses clients une « authentification renforcée » pour les achats de plus de 30 euros. Cela se traduira généralement par une confirmation d’achat à valider par l’application de la banque avec un code secret et/ou un moyen biométrique : reconnaissance faciale, vocale, empreinte digitale, scan de l’iris de l’œil.
Ce système déjà utilisé par certains établissements sera généralisé. Cette nouvelle mesure est prévue par la directive européenne DSP2 (pour Directive sur les services de paiement 2e génération) adoptée en 2015 et dont le calendrier d’application a été dévoilé mercredi 10 septembre.
Le changement sera progressif. Les nouvelles règles devraient être opérationnelles dès le 14 septembre 2019, mais un délai a été accordé aux banques et aux commerçants pour convertir leurs clients à l’authentification renforcée. Ils auront jusqu’en décembre 2022 pour être en conformité totale avec la loi.
Le e-commerce, un vivier pour les cybercriminels
Le but de cette directive est de lutter contre les fraudes à la carte bancaire, très courantes lors des achats en ligne. Selon une étude d’UFC Que Choisir, plus d’un million de ménages en France ont été victimes de fraude à la carte bancaire en 2018. Et le e-commerce concentre 70 % des fraudes.
La validation par SMS – le système « 3D Secure » utilisé jusqu'alors – présente certaines failles. Elle peut par exemple être piratée via une opération de SIM Swapping, explique L’Usine Digitale. Cette technique consiste à voler le numéro de portable de quelqu’un en l’associant à une autre carte SIM. La méthode a notamment été utilisée pour pirater le compte Twitter de Jack Dorsey, PDG du réseau à l’oiseau bleu.
La crainte de voir la biométrie généralisée
Qu’est-ce que l’authentification renforcée change pour le consommateur ? Certains pointent du doigt l’obligation de télécharger l’application de la banque (quid de ceux qui n’utilisent pas de smartphone ? ) et de devoir passer par la reconnaissance faciale, vocale, ou une empreinte digitale pour valider un achat. Sur Twitter, Benjamin Sonntag, co-fondateur de la Quadrature du Net, s’inquiète de voir la biométrie rendue « cool et habituelle ».
oui justement : en disant "au moins 2" on va avoir de nombreux banquiers qui vont utiliser 3, ou faire que l'on puisse choisir un parmis 3, ou faire que l'un des 2 soit "la biométrie"
conséquence :
- impossible de payer en ligne sans smartphone avec capacité biométrique
...— Benjamin Sonntag ? (@vincib) September 11, 2019
La généralisation des modes d’identification par le corps a, en effet, souvent été dénoncée par des spécialistes de l’éthique. Dans une tribune d’avril 2019 dans Libération, Pierre-Antoine Chardel, professeur de sciences sociales et d'éthique à l'Institut Mines-Télécom Business School (IMT), estime que la généralisation des technologies de reconnaissance faciale utilisées à des fins sécuritaires constitue un redoutable palier vers une surveillance généralisée.
Pas de quoi sur-paniquer toutefois. La banque sera normalement contrainte de proposer des moyens alternatifs d’authentification renforcée si vous ne souhaitez pas passer par la biométrie et/ou via l’appli de votre smartphone. L'envoi d’un code par courrier par exemple.
LIRE AUSSI :
San Francisco interdit l'usage de la reconnaissance faciale aux agences gouvernementales
Bad news : vous êtes toujours aussi nuls pour faire des mots de passe corrects
Sur le Web, vos photos oubliées continuent d’être exploitées
Participer à la conversation