Paiement en ligne : les nouvelles normes de sécurité entrées en vigueur le 15 mai dernier

21 mai 2021 à 12h13
24
paiement carte
© Pixabay

Depuis le samedi 15 mai, les banques françaises ont mis en place l'authentification forte, et ce, pour tous les achats en ligne. Mais le principe est tempéré par certains aménagements pratiques, un peu similaires au paiement sans contact.

Dans l'optique de faire de l'achat sur Internet une pratique plus sûre pour les consommateurs, il y a eu du changement dans le paiement en ligne. Depuis samedi, de nouvelles normes de sécurité sont entrées en vigueur. Elles sont à la fois destinées aux internautes, aux mobinautes, aux banques et aux e-commerçants. Le SMS envoyé pour confirmer tout paiement en ligne d'un certain montant ne suffira plus. Place désormais à l'authentification forte.

Votre banque vérifie désormais au moins 2 éléments d'authentification

Qu'est-ce que signifie « l'authentification forte », exigée pour les achats en ligne sans minimum de montant ? Pour que le consommateur puisse s'authentifier et valider son achat, il devra fournir deux des trois éléments suivants :

  • une information qu'il est le seul à connaître, comme un mot de passe ou un code secret ;
  • l'utilisation d'un appareil qu'il détient : un ordinateur, un mobile, un boîtier éventuellement fourni par la banque, etc.
  • une caractéristique personnelle propre, comme la reconnaissance faciale ou une empreinte digitale.

Si l'un des deux éléments exigés vient à manquer ou à être erroné, alors le paiement n'est pas autorisé.

La fédération française bancaire précise que les banques pourront proposer des alternatives aux Français qui ne disposent pas d'un smartphone. Par exemple, ils pourront utiliser un SMS à usage unique couplé à un mot de passe connu du client, outre la solution du boîtier physique directement fourni par l'établissement, dont nous parlions plus haut.

Des exemptions à l'authentification forte, comme le cas d'un faible montant

La mise en place de l'authentification forte est en principe en vigueur depuis le 15 mai, mais sa mise en place sera en réalité progressive. Il est prévu un délai de 4 semaines pour déployer ce nouveau mécanisme, qui concerne les paiements en ligne, mais aussi les virements et les paiements par carte. Le délai permettra aux commerçants de tranquillement s'adapter à la nouvelle donne.

Il y a tout de même certaines exceptions au principe. Souvenez-vous, en début d'article, nous disions que l'authentification forte est exigée pour tous les achats et paiements en ligne, sans minimum de montant. En réalité, les e-commerçants pourront demander une exemption d'authentification forte pour certaines opérations.

Par exemple, l'authentification forte pourra ne pas être demandée en cas d'achat de faible montant (une transaction de moins de 30 euros, comme le révèle la Fédération française bancaire). Elle ne sera pas non plus nécessairement exigée dans le cas d'un paiement récurrent, du type abonnement ou dans le cas d'une opération vers un bénéficiaire de confiance.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
24
18
nicgrover
Une petite erreur de frappe<br /> «&nbsp;…Par exemple, ils pourront utiliser à SMS à usage unique…&nbsp;» un SMS<br /> Nous sommes passé sur le même principe ici en Irlande. Il était temps mais ce système sera-t-il pérenne face à l’ingéniosité des escrocs qui préfèrent vivre du travail des autres ?
Bombing_Basta
La fédération française bancaire précise que les banques pourront proposer des alternatives aux Français qui ne disposent pas d’un smartphone.<br /> Auquel on pourrait ajouter «&nbsp;ou ne disposant pas d’un smartphone sous OS Googapple&nbsp;».<br /> J’attends de voir…<br /> Jusqu’à maintenant je n’ai jamais été embêté par la fraude sur internet, le SMS de vérif m’allait très bien, et en cas de vol/perte de mon téléphone, pour peu que quelqu’un arrivait à le déverrouiller, j’aurais eu le temps de faire bloquer ma SIM.<br /> Et au pire, en cas de fraude sur internet, les banques sont dans l’obligation de rembourser, elles sont d’ailleurs assurées (payé avec nos sous donc) pour ça.<br /> Bref, je suis plus embêté par ce nouveau système que par la fraude.
Doss
Le genre de réglementation qui me soule bien.<br /> Je ne suis pas collé à mon smartphone H24 et j’ai envie d’un parcoure utilisateur le plus simple possible, donc après une commande de devoir partir à la recherche de mon smartphone me font généralement abandonné la commande.<br /> J’espère qu’Amazon a trouvé ou trouvera la solution pour ce passer de ces vérifications inutiles.
lefranstalige
@Booming Basta «&nbsp;Et au pire, en cas de fraude sur internet, les banques sont dans l’obligation de rembourser, elles sont d’ailleurs assurées (payé avec nos sous donc) pour ça.&nbsp;»<br /> Ce n’est pas juste à 100%.<br /> S’il n’y a pas eu de vérification de l’identité du porteur de carte (via SMS, App, ou autres comme les petites calculatrices que les belges ont), la banque rembourse et se retourne contre le commerçant.<br /> S’il y a eu cette validation, ça dépend du type de fraude. Si c’est parce que le commerçant n’a pas livré le bon produit et qu’il ne veut pas rembourser, ça fonctionne. Si un fraudeur a volé le numéro de la carte et qu’il fait une transaction avec, le montant ne sera pas remboursé.
Werehog
On ne fait toujours rien pour les usages frauduleux de carte bancaire. Un proche s’est fait voler sa carte et en quelques heures, à différents points de retrait, les voleurs ont cumulé 2.000€ de dépenses (le plafond de la carte en gros).<br /> Aucune alerte, aucune mesure
Bombing_Basta
https://www.service-public.fr/particuliers/vosdroits/F35460/0_0_0?idFicheParent=F31324#0_0_0<br /> "La banque doit vous rembourser toutes les sommes débitées. Elle doit aussi vous rembourser les agios éventuels, c’est-à-dire les frais d’incident de paiement.<br /> Si vous avez fait opposition tardivement, votre banque peut refuser de vous rembourser. Un paiement frauduleux ne peut pas être remboursé s’il date de plus de 13 mois."<br /> Je te laisse le soin de tester tous les cas de figure :<br /> service-public.fr<br /> Fraude à la carte bancaire<br /> En cas de fraude à la CB, vous pouvez faire opposition en cas de détournement, vol ou piratage et faire le signaler&nbsp;: perceval (ou percev@l)<br /> Sauf cas exceptionnels comme attendre 13 mois pour faire opposition, ou inscrire son code de DAB sur la carte, la banque DOIT rembourser, du moins en France…
MisterDams
C’est pas pour rien que PayPal pousse à utiliser en compte bancaire plutôt qu’une carte… En tout cas la volonté de sécurité est louable mais c’est devenu plus compliqué de payer 30€ en ligne en saisissant le numéro de CB, le cryptogramme et la validation 2FA que de poser son tel sur un TPE pour payer 300€ sans contact.
lefranstalige
Je partage juste ma connaissance professionnelle.<br /> Mais si tu connais mieux le sujet, tant mieux…
lysbleu
La banque rembourse en récupérant l’argent depuis le compte du commerçant s’il n’y a pas eu d’authentification, sinon c’est la banque qui prend en charge la fraude.
lefranstalige
Si 3DS a été enclenché, c’est pour le porteur de carte dans les cas de fraudes…
kroman
Paypal a de beaux jours devant lui ! Ces histoires d’authentification sont une vraie plaie quand on est en voyage.
fg03
Ouais le plus chiant c’est quand tu dois valider ton achat et que tu te rends compte que ton smartphone n’a plus de batterie / ou que tu l’as oublié au boulot.<br /> Bref, plus ça va plus on crée des obstacles.<br /> Maintenant les voleurs devront voler la CB et le smartphone et le doigt ou l’oeil de la victime pour pouvoir l’utiliser :o)
Scalairz
Cette protection n’est appliquée que pour les entreprises qui le demandent, ce qui est le cas des entreprises françaises, ce qui leur garantit que le No de carte n’a pas été volé, cependant une entreprise hors-Europe qui n’applique pas cette protection peut engranger un paiement frauduleux
Bleet49123
C’est fou de voir que les Gens (pigeons) sont content que leur Banques fasse SOI-DISANT un effort contre le piratage alors que le PREMIER truc qu’elle devraient corriger ce sont les DAB. Ceux-ci sont sous Windows XP et se font régulièrement pirater à NOS frais, et visiblement, tout le monde en est content ! ! ! ! !
thunderboy
Tout est fait pour faciliter la vie des fraudeurs professionnels, mais on est emmerdé au quotidien !<br /> Déjà, quelle idée d’avoir mis le plafond du sans contact a 50 € ?<br /> Les vols physiques de carte sont devenus ultra rentables !
trollkien
Un truc très bien chez revolut, que aimerai avoir avec ma CB «&nbsp;classique&nbsp;», c’est le.blocage/déblocage a la volée des paiements sans contact, des retraits, des payements sur internet et bien sûr la géolocalisation très pratique encas de vol de la.carte elle même ou des détails/ccv
MattS32
MisterDams:<br /> C’est pas pour rien que PayPal pousse à utiliser en compte bancaire plutôt qu’une carte…<br /> Non, PayPal n’est pas vraiment concerné par les sécurités, qui ne sont pas obligatoires sur les paiements récurrents après une première autorisation (idem pour tous les e-commerçants qui proposent de conserver les infos bancaires, ça rend le 3DS optionnel sur les transactions futures).<br /> PayPal qui pousse pour le compte bancaire plutôt que la CB, c’est simplement parce que ça leur fait économiser la commission sur les transactions CB.
MattS32
La contrepartie à ça est lourde quand même : contact au serveur à chaque paiement… Du coup impossible de payer quand par exemple le magasin est en rade de connexion Internet…
bennj
C’est donc pour ca que Amazon nous offrait 5 ou 10 € pour mettre par défaut son compte bancaire au lieu de sa CB comme moyen de paiement par défaut. Ca leur évite d’utiliser la double authentification et ne met pas un fren à celles et ceux qui ne maitrisent pas cela…
MattS32
Idem que pour PayPal, c’est surtout une affaire d’économie sur les frais de paiement par CB (ils ont d’ailleurs déjà fait cette promo par le passé).<br /> Parce que pour les paiements récurrents ou vers des , la double authentification n’est pas obligatoire.
micquer2
??? comment avec la carte SEULE ont ils pu valider ces retraits ?<br /> il a fallu qu’ils aient recupere le code a 4 chiffres !!!
micquer2
??? tu dis (( si un fraudeur a vole le numero de la carte )) il peut effectuer une transaction …<br /> il faut qu’il ait recupere en plus : la DATE + le CRYPTO …?<br /> et qu’il n’y ait pas eu de validation par sms …!
lefranstalige
Sur les site d’eCom en Europe il faut le 3DS (2FA) mais avec une transaction MOTO par exemple tu n’as besoin que du PAN (numéro de la carte), la date d’expiration et le CVV (numéro à 3 chiffres à l’arrière). Pas besoin du 2FA en MOTO. Je crois qu’il existe encore des types de transactions qui nécessite encore moins (les transactions ZipSap si ça existe encore)
quadvosges
Bonjour a tous,pourriez-vous m’éclaircir sur le fait que ma CB a un cryptogramme dynamique (il change toutes les heures) et que sur Amazon, c’est comme si j’avais un cryptogramme fixe que je commande aujourd’hui ou demain c’est idem on ne me demande rien … :o(.<br /> Merci
MattS32
Parce que Amazon ne transmet ton numéro de CB à la banque que lors de la première transaction. La banque lui renvoie alors un identifiant à utiliser à la place du numéro de CB pour les transactions suivantes.<br /> Ça permet d’améliorer la sécurité, parce que comme ça Amazon n’a pas besoin de stocker le numéro de la carte dans sa base, et si quelqu’un pirate la base et récupère l’identifiant il ne lui servira à rien, car il ne permet de débiter ta carte que au profit d’Amazon, pas d’un autre débiteur.
quadvosges
Merci pour ton explication
Voir tous les messages sur le forum

Actualités du moment

L'Irlande ne paiera pas la rançon liée au piratage informatique de son système de santé national
Apple tease Apple Music Hi-Fi et affirme que
WhatsApp : un mode
Les services de streaming partent en guerre contre le partage des mots de passe
Twitter : vers un abonnement baptisé Twitter Blue, facturé à 2,99 dollars par mois
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Mini critique Tribes of Europa (S01)
Mini critique Truth Seekers (S01)
Mini critique For All Mankind (S02E01)
Mini critique Snowpiercer (S02E01)
Haut de page