Si les avantages du commerce électronique sont indéniables et notamment l’accès au marché mondial pour les entreprises, il apparaît que celui-ci se heurte à certains obstacles. Un de ses principaux freins est lié à la sécurité des transactions. Différentes études prouvent que les failles dans la sécurité des paiements sur internet freinent le développement du commerce électronique.
Le rapport annuel de l’Observatoire de la sécurité des cartes de paiements publié par la Banque de France en juillet 2019 révèle que la fraude a augmenté en 2018, notamment pour les paiements à distance et que les achats sur des sites de e-commerce restent problématiques.
Dès lors, un renforcement de la sécurité des paiements sur internet est indispensable pour réduire les risques de fraude et rétablir la confiance des acteurs du commerce électronique. C’est ce que rappelle la deuxième directive sur les services de paiement (DSP2) en soulignant que ” la sécurité des paiements électroniques est fondamentale pour garantir la protection des utilisateurs et le développement d’un environnement sain pour le commerce électronique. Tous les services de paiement proposés par voie électronique devraient être sécurisés, grâce à des technologies permettant de garantir une authentification sûre de l’utilisateur et de réduire, dans toute la mesure du possible, les risques de fraude“.
Une authentification forte (“Strong Customer Authentification“)
L’authentification consiste à vérifier que l’acteur du paiement est bien la personne morale ou physique qu’il prétend être. La directive en donne la définition suivante : “Procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur“.
La directive révisée sur les services de paiement, qui est entrée en application le 13 janvier 2018, vise systématiquement le recours à l’authentification forte du porteur. Mais la date de mise en œuvre des normes techniques réglementaires (Regulatory Technical Standards/RTS), qui avait été fixée au 14 septembre 2019, a été reportée afin de permettre à tous les acteurs, banques comme commerçants, d’appliquer ces normes en limitant les impacts sur les parcours clients. Ces normes ont été conçues pour faire baisser la fraude sur les transactions en ligne qui font plus souvent l’objet d’une fraude que les transactions réalisées en magasin. Comme le souligne le rapport annuel pour l’année 2018 de l’Observatoire de la sécurité des cartes de paiements de la Banque de France, ces normes prévoient la généralisation de l’authentification renforcée pour les paiements électroniques mais également la mise en œuvre de dispositifs d’identification des transactions à risque. Ces nouveaux dispositifs d’authentification renforcée viendront ainsi progressivement remplacer l’utilisation d’un code reçu par SMS. Dans ce même rapport il est demandé aux établissements bancaires de commencer à équiper leurs clients de solutions d’authentification forte qui remplaceront le “One Time Password” transmis par SMS (OTP SMS) au second semestre 2019 puis de produire un effort significatif l’année suivante pour atteindre l’objectif de 70 % de clients équipés fin 2020, puis de 90 % mi 2022. Enfin, ces nouvelles règles exigent l’application d’une « authentification forte du client lorsque le payeur accède à son compte de paiement en ligne, initie une opération de paiement électronique ou exécute une action, grâce à un moyen de communication à distance, susceptible de comporter un risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse ».
Concernant le mécanisme d’authentification forte, la DSP2 stipule que cette dernière doit “reposer sur l’utilisation de deux éléments ou plus appartenant aux catégories «connaissance» (quelque chose que seul l’utilisateur connaît), «possession» (quelque chose que seul l’utilisateur possède) et «inhérence» (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification“. En d’autres termes, les exigences de sécurité relatives à l’authentification forte ou authentification à deux facteurs du payeur combine l’utilisation de deux éléments parmi les trois catégories pour des paiements en ligne afin de réduire la fraude dans le commerce électronique :
- un mot de passe ou code PIN que seul le client connaît ;
- un appareil (ordinateur, téléphone mobile, carte, etc.) que seul le client possède ;
- une donnée biométrique telles que l’empreinte digitale, la voix ou l’iris de l’œil du client.
En outre, pour accroître la sécurité, la DSP2 prévoit l’évolution du protocole d’authentification 3D Secure vers la version 2.0 qui constitue un protocole de sécurité amélioré et qui doit être généralisée à l’ensemble des sites e-commerce d’ici mars 2020. 3D Secure est un dispositif qui permet de sécuriser les paiements en ligne par carte bancaire. Une des principales différences de la version 2 de 3D Secure réside dans le fait que l’émetteur va pouvoir utiliser un grand nombre de données issues de la transaction afin de déterminer les risques de cette dernière.
L’inquiétude des commerçants en ligne face à ce nouveau dispositif
Les commerçants en ligne craignent que le nouveau dispositif rende les transactions moins fluides et partant redoutent une baisse de leur chiffre d’affaires. A cet égard, Bertrand Pineau, responsable veille, innovation et développement à la Fédération du e-commerce et de la vente à distance (FEVAD) confirme que ce n’est pas la réduction de la fraude qui fait débat mais les conséquences des nouvelles règles issues de la DSP2. En effet, le principe d’authentification forte risque de rallonger le tunnel d’achat, d’amoindrir l’expérience utilisateur et de faire baisser le taux de conversion.
Pour prévenir ces craintes ainsi qu’un trop grand bouleversement des façons de faire actuelles des consommateurs, des commerçants et des prestataires de services de paiement, les autorités européennes ont prévu des dérogations au principe d’authentification forte obligatoire. Ces dernières concernent :
- les transactions dont le montant est inférieur à 30 euros ;
- les transactions considérées comme étant à risque faible. Le niveau de risque est évalué en fonction du taux moyen de fraude chez l’émetteur de la carte et chez l’acquéreur qui traite la transaction ;
- les transactions relatives à des abonnements et opérations récurrentes de montant fixe pour lesquels une authentification forte a eu lieu la première fois ;
- les paiements vers un bénéficiaire inscrit sur liste blanche c’est-à-dire une liste de commerçants de confiance ;
- les paiements aux automates de transport et de parking ;
- les commandes de type “Mails Orders and Telephone Orders” (MOTO) qui sont passées par courrier ou par téléphone car ce type de transaction n’est pas considéré comme un paiement électronique ;
- les transactions dont l’un des prestataires est hors d’Europe ;
- les paiements effectués par carte professionnelle ;
Conclusion : un cadre de confiance pour le commerce électronique
Le problème de la sécurité des paiements en ligne doit être posé dans un contexte plus large. En effet, la question de fond du commerce électronique est celle du développement de la confiance des consommateurs qui réclament au-delà de la sécurisation des paiements, une meilleure lisibilité de l’identité et de la notoriété des sites marchands, une offre de services de qualité et la mise en œuvre d’un mode de règlement des litiges, efficace, rapide et équitable.