Bientôt la fin des SMS d'authentification pour vos achats en ligne

13 novembre 2018 à 13h59
14
Carte bleue code

Pour effectuer des achats en ligne, vous n'aurez bientôt plus besoin du code envoyé par SMS par votre banque pour confirmer le paiement. En effet, ce système basé sur une authentification via un code unique est jugé trop peu sécurisé, et sera remplacé par une authentification « forte ».

Une directive européenne applicable en 2019 va obliger les banques à utiliser « l'authentification forte » comme nouvelle norme pour valider les paiements en ligne. La validation par SMS, actuellement très répandue, semble donc vouée à disparaître. Ce système 3-D Secure, que l'on connaît désormais depuis une dizaine d'années dans le monde du e-commerce, va être rendu obsolète par les nouvelles exigences européennes.

Le système 3-D Secure pas assez sûr

Il est en effet possible de pirater un smartphone et de contourner la sécurité relative du système. « Étant donné que les méthodes de fraude sont en constante évolution, les exigences relatives à l'authentification forte du client devraient permettre des solutions techniques innovantes répondant à l'émergence de nouvelles menaces pour la sécurité des paiements électroniques » indique le texte européen.

La directive européenne DSP2 impose désormais une identification forte.

Connaissance, possession et inhérence, triptyque de la sécurité

Contrairement à la simple validation via un code reçu par SMS, il faudra désormais s'authentifier avec au moins deux facteurs indépendants parmi trois clairement déterminés :
  • La connaissance : communiquer une information que l'utilisateur connaît (un mot de passe, un code) ;
  • La possession : la confirmation doit intervenir via quelque chose que l'utilisateur possède (un ordinateur, un smartphone) ;
  • L'inhérence : avec en complément un élément propre à chaque utilisateur (reconnaissance faciale, empreintes digitales).
Avec cette triple sécurité (quelque chose que l'utilisateur connaît, quelque chose que l'utilisateur possède et quelque chose que l'utilisateur est), les cas de fraude devraient être réduits.

Rappelons que les fraudes à la carte bancaire en ligne représentent aujourd'hui 0,161 % du montant total dépensé sur Internet.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
14
0
manu0086
Le 3D-secure n’étant pas obligatoire, la nouvelle norme le sera-t-elle ? posséder un smartphone assez récent sera obligatoire vu que les ordinateurs et anciens smartphones ne sont pas équipés pour “l’inhérence”.
cyano27
C’est peut être pas pour si tôt, les banques demandent un délai de 3 ans pour être opérationnelles !!!
TNZ
Le facial et les empreintes sont de mauvais vecteurs de sécurité. Ils ne peuvent pas être renouvelés en cas de compromission / révocation.<br /> Bref, ils vont rajouter un mot de passe pour faire apparaître le code de vérification.
ariakas
mouai, à la société générale, ils demandent une certification par soit l’appli, soit le site internet, c’est plutôt pas mal je trouve
Momozemion
Un code envoyé par SMS valide au moins 2 des conditions: connaissance du code envoyé et possession de la SIM déverrouillée (donc un mot de passe ou un moyen biométrie).<br /> Encore une fois, Clubic est tellement imprécis que l’info est erronée.
danicela
Moi ce qui me choque c’est qu’on peut même pas changer cette double authent, je preferais par mail plutôt que SMS, la banque me dit impossible &gt;.&lt; et y’a pas vraiment de logique dans le choix de la double authent, parfois SMS, parfois date de naissance … wtf?
Momozemion
Mauvaise banque, changer banque.<br /> Je dois m’authentifier sur l’appli pour lire le code.<br /> En France, la SG propose une carte avec jetons temporaires en code cdc, c’est d’ailleurs la seule chose correcte dans ce groupe.
haliway
Moi je préfère le two factor authentication BankID suédois… un téléphone, une application, un mot de passe, une sécurité supérieure :<br /> http://lup.lub.lu.se/luur/download?func=downloadFile&amp;recordOId=7792889&amp;fileOId=7792890<br /> La sécurité est constamment augmentée.
glittermen
Il y a aussi les nouvelle carte de crédit avec changement du CVV, ou CVC tous les 5mn je trouve que c’est pas mal .
snoopyz
Visiblement l’authentification forte est encore nébuleuse pour la plupart des gens. Concernant l’auteur, parler d’une triple sécurité est erroné puisqu’il s’agit ici d’authentification à deux facteurs (2FA dans la langue de shakespeare). Pour les autres sachez qu’un email non encrypté peut être intercepté, tout comme un SMS avec la faille SS7 et ne peut être un facteur d’authentification forte. Sinon pour info, le “something you have” peut aussi être autre chose qu’un appareil enrôlé avec un certificat numérique, comme une carte à puce, une clef physique…
gvia66
le 3Dsecure par SMS mon père il le reçoit toujours trop tard, bref ça marche pas il ne peut pas passer sa commande. bon débarrât.
gvia66
ou capter le signal GSM à proximité du téléphone portable (avec un ordi et un programme spécifique), sans l’avoir en possession, pas besoin non plus de connaitre son code pin.
Sylvain_PASSEMAR
Si cela vas dans le sens de plus de sécurité pour les différents tiers lors d’une transaction.<br /> Cdt Sylvain PASSEMAR
J_P_M
Il est tout de même un peu fort de café que certains systèmes vous OBLIGENT à posséder un téléphone mobile ! À quand le bagne pour ceux qui ne voulaient pas en acheter ?
Voir tous les messages sur le forum

Actualités du moment

Débits Netflix en France : SFR en tête, tous les opérateurs en baisse
Valve travaillerait sur un casque VR ainsi que sur un Half-Life VR
Samsung : oui, les Galaxy S8 et Note 8 auront bien droit à One UI
Focal 100 OD6 / OD8 : deux nouvelles enceintes outdoor pour la terrasse ou le jardin
Intel présente son premier modem 5G (et il pourrait équiper les prochains iPhone)
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
USB Type-C : tout savoir sur la nouvelle norme USB
De Facebook... à Sexebook, réseau social coquin ?
Haut de page