(L'authentification forte, très répandue, constitue-t-elle un gage de sécurité pour les transactions en ligne ? - Crédit photo : Adobe Stock)
Depuis 2021, lors de transactions sur internet, l'étape d'authentification forte avec le protocole 3D Secure fait désormais partie du processus de sécurisation bancaire. En tout cas, elle vise à limiter la fraude. Pourtant, certains commerçants bénéficient d'un processus allégé de vérification de l'identité de l'acheteur. Faut-il pour autant redouter ces transactions par carte sans protection 3D Secure ?
Comment fonctionne l'authentification selon les types de transactions ?
Qu'est-ce que la protection 3D Secure ?
Datant de 2021, le recours à l'authentification forte ou 3D Secure du payeur lors d'un paiement en ligne par carte bancaire est une disposition clé concernant la sécurité des paiements, traitée dans la deuxième directive européenne sur les services de paiement (DSP2).
Concrètement, lors d'une transaction sur internet, l'étape de paiement électronique, après la saisie complète des coordonnées bancaires (
16 numéros,
date d'expiration et CVV), entraîne une vérification de l'identité du titulaire du compte en banque.
Dans le cas d'une validation par sms ou sur l'application, une authentification à double facteur s'opère. Elle se compose par exemple d'un facteur de connaissance (données de la carte saisies) et d'un facteur de possession qui prouve la détention physique du téléphone via l'appli au moment de la requête (face ID, touch ID ou saisie du code confidentiel). Ce protocole va aider à identifier instantanément l'auteur de la transaction et à finaliser cette dernière, si tout semble conforme (1).
Quels types de moyens de paiement sont concernés ?
- Pour l'authentification forte : les transactions initiées électroniquement par le client (Customer Initiated Transaction : CIT).
- Pour l'authentification initiale : les transactions initiées électroniquement par le commerçant (Merchant Initiated Transaction : MIT). Il s'agit des demandes provoquées par un tiers (commerçant, loueur) et liées à un contrat (abonnement, paiement en plusieurs fois, réservation d'un véhicule…) qui a fait l'objet d'une signature de mandat précisant au départ les conditions d'exécution : périodicité, durée, montant et nombre de paiements. Il y aura donc une seule demande d'authentification MIT avec chaînage, valant pour les paiements suivants par carte (2).
A partir de quel montant se déclenche l'authentification forte ?
Lors des achats réalisés en ligne par carte, la réglementation DSP2 impose une authentification systématique à double facteur à partir d'un montant de 30 euros par transaction (3).
À quoi sert l'authentification forte 3D Secure lors d'une transaction ?
Elle permet à la fois de protéger les sites d'e-commerce exposés à des cyberattaques et de rassurer les clients en leur évitant de subir des arnaques à la carte bancaire. En effet, le fraudeur, éventuellement en possession des codes de la carte bancaire mais ne disposant pas physiquement de l'application sur son téléphone avec les accès personnels du titulaire ne peut pas simuler la transaction à la place de sa cible.
Que faire en cas d'absence d'authentification 3D Secure ?
Il existe des exemptions à la double authentification tout à fait légales ou des tolérances pour lesquelles on ne l'exige pas lors du paiement électronique par carte : quelles sont-elles ?
- Les transactions à distance émises par un canal non électronique (Mail order/telephone order : MOTO) : par courrier (VPC), téléphone etc.
- Les instruments de paiement anonymes ou cartes prépayées.
- Les transactions dites «one leg» avec le porteur de la carte ou le bénéficiaire du paiement situé en dehors de l'Espace économique européen.
- Enfin, ces 5 cas de transactions à l'initiative du client (CIT) par carte sont exclus : les paiements de faibles montants, les paiements dont le risque est réduit, les paiements récurrents, ceux vers un bénéficiaire de confiance (déclaré au préalable comme tel) et enfin les protocoles sécurisés réservés aux entreprises.
Le saviez-vous ? Une situation n'est pas figée et peut faire l'objet d'une révision par l'établissement bancaire du porteur qui est habilité à rehausser de sa propre initiative le niveau de risque d'une transaction unitaire. Si cela survient, le payeur recevra de sa banque une information en ce sens, l'obligeant à s'authentifier.
Pour tous les cas précédemment cités, il n'y a donc pas d'inquiétude particulière à avoir car ils concernent des situations normales, écartées volontairement du radar de la DSP2 mais surveillées (2).
L'authentification 3D Secure constitue une couche supplémentaire de sécurité dans l'expérience d'achats sur internet. Néanmoins, il se peut que certains marchands dispensent leurs clients de ce processus plus long. Quelle que soit la raison d'une absence d'authentification forte, la vigilance de l'utilisateur reste un élément essentiel pour protéger quotidiennement ses moyens de paiement.
Ces articles pourraient vous intéresser
Le blocage téléphonique des fraudeurs arrive : sera-t-il suffisant pour éviter les arnaques ?
Quiz - « Arnaques et fraudes en ligne » : testez vos réflexes !
(1) https://www.lafinancepourtous.com/pratique/banque/moyens-de-paiement/la-carte-bancaire/payer-par-carte-bancaire-sur-internet-3d-secure-authentification-forte/
(2) https://www.banque-france.fr/system/files/2023-10/Banque%20de%20Frnace%20-%20Osmp_-_dsp2-sca_-_note_sur_les_cas_dusage.pdf
(3) https://www.francenum.gouv.fr/guides-et-conseils/developpement-commercial/solutions-de-paiement/paiements-en-ligne
0 commentaire
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer