Le paiement sur Internet s'arme d'un nouveau système antifraude fonctionnel dès demain

13 septembre 2019 à 08h43
49
sécurité internet

Pour lutter contre la fraude lors des achats sur Internet, généralement moins sécurisés que les paiements en boutique, les méthodes évoluent. Le code de confirmation par SMS va bientôt disparaître, au profit d'une authentification plus robuste, via les applications bancaires.

Le 3-D Secure est un protocole sécurisé dédié aux paiements sur Internet. Il consiste à demander à l'acheteur des informations supplémentaires, en plus de celles de sa carte bancaire, comme le très courant code de confirmation envoyé par SMS.

Payer grâce à ses empreintes digitales ou son visage

Si ce procédé peut sembler fastidieux à certains utilisateurs, il présente surtout l'inconvénient de ne pas être si sécurisé que cela. En effet, comme le prouve la récente affaire de l'arnaque à la carte SIM, dont a été victime le P.-D.G. de Twitter, il n'est pas très compliqué, pour un pirate, de détourner un numéro de téléphone vers un autre appareil.

C'est pourquoi la Commission européenne, à travers la nouvelle directive sur les services de paiement (DSP 2), a décidé de mettre fin à cette méthode, au profit d'un système d'« authentification forte ». Concrètement, après un achat sur Internet, les sites sécurisés devraient vous proposer un nouveau moyen de confirmer le paiement, généralement par une alerte sur votre smartphone, directement via l'application mobile de votre banque. L'avantage de ce procédé ? Il sera alors possible d'avoir recours à la reconnaissance digitale ou faciale pour vous identifier de façon sécurisée.



Évolution progressive

Le changement devrait intervenir dès le 14 septembre 2019, mais il ne sera certainement pas immédiat. En effet, la directive laisse aux banques et aux commerçants en ligne jusqu'à la fin de l'année 2022 pour adopter le nouveau système.

Il faut toutefois espérer que la transition ne prenne pas trop de temps. Selon Matthieu Robin, chargé de mission sur le secteur financier à l'UFC-Que choisir, les paiements en ligne « sont sept fois plus à l'origine de fraudes que les retraits en distributeurs et dix-sept fois plus risqués que les paiements en magasin ».

Par ailleurs, si vous êtes vous-même victime d'une fraude, sachez que selon la loi, votre banque est stenue de vous rembourser intégralement (sauf en cas de négligence grave de votre part). Pourtant, dans les faits, ce ne serait aujourd'hui pas systématique. L'association de défense des consommateurs affirme ainsi que « 20 % des fraudes ne donnent pas lieu à un remboursement ».

Source : Le Parisien
Modifié le 13/09/2019 à 11h56
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
49
25
GRITI
Citation<br /> directement via l’application mobile de votre banque. L’avantage de ce procédé ? Il sera alors possible d’avoir recours à la reconnaissance digitale ou faciale pour vous identifier de façon sécurisée.<br /> Je suis dans la panade…<br /> Je ne veux pas d’appli bancaire sur mon téléphone. Et je ne veux pas utiliser mes empreintes ou la reconnaissance faciale… De toute façon, mon smartphone n’est pas équipé pour.<br /> Ils vont faire comment avec les acheteurs n’ayant pas ces fonctionnalités?
brolysan
vous connaissez la réponse, vous ne pourrez pas. Vous n’aurez qu’à aller en magasin physique.
JerryKhanFury
tu payes par virement bancaire
D_Sponge
Résidant en Allemagne, le paiement 3D-Secure est déjà une réalité. Si le bon vieux code par SMS marche (marchait) encore, de plus en plus de sites refusent purement et simplement tout achat par une carte qui n’est pas couplée avec l’application 3D-Secure. Le fait est qu’installer cette app et surtout la configurer n’est pas si facile et intuitive (pour ma part, j’ai dû demander un code d’activation que je recevais… sur mon relevé bancaire que je devais consulter sur Internet. Après, je ne sais pas si cette procédure sera identique pour tous) et risque donc d’en rebuter plus d’un !
D_Sponge
Ils devront taper un code au lancement de l’application de leur banque (oui, un de plus !)
chocobueno_el
des achats en magasin physique…
Aristote76
Totalement inutile, la sécurité 100 % ça n’existe PAS. Avec des systèmes sur phone les banques ont voulu faire du Fric qu’ils assument les problèmes, il est évident que c’est encore plus dangereux. Personnellement je n’ai jamais opté, vu mon expérience dans ce domaine j’ai toujours considéré que c’était comme ce promener avec une liasse de billet devant soi.
m_enfin
Les fraudes viennent surtout des sites qui ne proposent pas une confirmation par SMS ou autre système. Le cas du patron de Twitter est en réalité plutôt rarissime. Je ne suis pas sûr qu’il soit nécessaire de se défaire du SMS. Après il est vrai que 3D-Secure fonctionne plutôt bien (même si j’ai déjà eu un soucis avec, mais ça venait semble-t-il de ma banque).<br /> Ce qui m’inquiète c’est cette tendance à vouloir absolument que les citoyens refilent leurs données physiques (visage, empreintes, etc…). Au vu de la surveillance de masse qui se met en place via Internet, ça ne m’inspire rien de bon.<br /> Après avoir affaibli les individus en promouvant l’individualisme (et donc la solitude), le système est en train de mettre en place une surveillance généralisée des citoyens, déjà bien affaiblis.
Elrix
C’est quoi un magasin physique ?
chocobueno_el
bloquer les paiements en lignes de base et les debloqué que lorsque demandé serait un grand pas en avant plutot que tout autoriser et controler derriere.
chocobueno_el
un magasin fnac ou darty par exemple VS amazon qui est dématerialisé.
Cmoi
Il est prouvé que plus vous mettez de sécurité sur votre site, moins les gens achètent…car vous complexifiez l’acte d’achat, et les gens même honnêtes, n’aiment pas.<br /> Amazon n’a jamais utilisé le code d’achat par SMS…
ultrabill
Résidant en Allemagne, le paiement 3D-Secure est déjà une réalité<br /> Hum, le 3D-Secure est une réalité depuis bien longtemps. Là on parle du 3DSv2 à savoir l’authentification tierce par l’appli de ta banque.<br /> Certaines banques ici t’envoient un code par courrier simple à entrer dans l’appli.
ultrabill
Amazon stocke ta carte bancaire, ils essaient d’assurer la sécurité en amont.
GRITI
@ultrabill<br /> ultrabill:<br /> Amazon stocke ta carte bancaire, ils essaient d’assurer la sécurité en amont.<br /> Cela fait plusieurs mois que j’ai n’ai rien pris chez Amazon, mais à chaque fois, j’efface ma carte de mon compte. Si je peux, je refuse systématiquement l’enregistrement de ma carte. Sinon, je l’efface dans la foulée.
Vanilla
Yen a vraiment ras le bol de cette Europe…<br /> Bordel de merd*** on paie pour avoir une carte de débit, pour pouvoir faire des achats en ligne, et vous me dites qu’au plus tard en 2022, je ne pourrais plus utiliser mes sms pour confirmer mes achats Mais je vais finir par croire que les anglais ont raison de faire un hard brexit ma parole !!!<br /> Le jour où la carte ne fonctionne plus comme maintenant, je résilie ma carte chez ma banque !
GRITI
Je me fais l’avocat du Diable…<br /> La carte servira toujours à acheter en ligne. C’est juste le moyen de sécurisation qui change. Pas les fonctionnalités de la carte.
Vanilla
Sauf qu’il vont me demander un truc que je peux pas faire. Donc elle me servira plus à rien cette carte!!
GRITI
Il suffira de changer de téléphone (neuf ou occasion) pour en avoir un compatible. Il faut savoir vivre avec son temps si on ne veut pas devenir un off-grid has been réac!<br /> Je pense que l’immense majorité des gens acceptera de donner ses empreintes ou son visage à leur banque qui stockera tout cela de façon 1000% sécurisée (oui oui 1000) et sans jamais en abuser, le revendre ou le communiquer à un quelconque gouvernement. Tout cela en échange de la possibilité de pouvoir continuer à consommer toujours plus.<br /> Quelle belle façon de forcer la collecte des données biométriques en passant par le consentement volontaire lié au besoin consumériste, besoin vital au demeurant.<br /> Toute ironie dans ce post étant bien sûr totalement involontaire et ne reflètant aucunement les pensées et valeurs de son auteur.
Cmoi
Je sais bien qu’Amazon conserve les données de ma CB, mais même lorsque tu ajoutes de nouvelles CB et que tu payes avec, à aucun moment il ne va te demander de confirmation par code SMS ou autre…Avec cette démarche, il prend simplement un certain risque sur ton achat, mais il a dû évaluer ce risque…car il perdrait probablement bien plus en complexifiant l’acte d’achat.
Nmut
Le problème est mondial, et la solution le sera probablement aussi.<br /> La seule solution que je vois, c’est de créer ton propre pays (ou?) avec ce règles et ses magasins. Bonne chance! <br /> Mais ça me fait ch-er aussi. Pas de smartphone adapté, pas envie (et pas la possiblité!) d’installer des applis qui me traquent… &gt;:-(
nicgrover
“votre banque est stenue de vous rembourser intégralement”<br /> Une petite remarque. Il y a un “S” en trop à “stenue”. Tenue c’est mieux
Vanilla
Non, le problème n’est pas du tout mondial.<br /> C’est pourquoi la Commission européenne, à travers la nouvelle directive sur les services de paiement (DSP 2), a décidé de mettre fin à cette méthode<br /> C’est bien précisé « commission européenne a décidé «
Mambot
Ça fait déjà un moment que ca existe ! Je reçois un notification sur mon app bancaire lors d’un achat online que je valide avec un code. Easy !
GRITI
@Mambot<br /> Petite question: quelles sont les autorisations demandées par l’appli bancaire?
jmr
Il reste des centres de paiements en ligne comme PayPal, qu’en pensez vous !
Nmut
C’est le problème qui est mondial, et cette décision particulière qui a été prise par la commision européenne, d’autres pays sont arrivé à la même conclusion et sont en train aussi de prendre des mesures (souvent des dongles U2F couteux à acheter, un ensemble carte à puce/lecteur à acheter mais moins couteux, ou encore Google Authenticator mais pas terrible pour la dépendance, toutes les autres méthodes requièrent à ma connaissance un smartphone récent…).
GRITI
Perso, je n’aime pas Paypal. Un des cofondateurs est le fondateur de Palantir.<br /> Comme je n’aime pas le “Big Data” (même si je le subis forcément), j’essaye au maximum d’éviter les entreprises qui peuvent alimenter ce Big Data dont Paypal.<br /> fr.wikipedia.org<br /> Peter Thiel<br /> modifier - modifier le code - modifier Wikidata Peter Andreas Thiel, né le 11 octobre 1967 à Francfort-sur-le-Main (Allemagne), est un entrepreneur américain d'origine allemande, gérant de hedge fund, et investisseur de capital risque.<br /> En 1998, avec Max Levchin et Elon Musk, il cofonde PayPal et en devient directeur général. Il est actuellement le président de Clarium Capital Management LLC, un hedge fund dit de "global macro", gérant près de 3 milliards de dollars et un partenaire gérant de The...<br /> fr.wikipedia.org<br /> Palantir Technologies<br /> Palantir Technologies est une entreprise de services et d'édition logicielle spécialisée dans l'analyse et la science des données, communément appelé Big data ou mégadonnées, basée à Palo Alto en Californie. L'entreprise travaille pour la communauté du renseignement des États-Unis, notamment pour la NSA, la CIA et le FBI, pour différents acteurs du système de défense américain, comme les US Marines, l'US Air force et les Opérations spéciales, ainsi que pour plusieurs services de police comme l<br />
barjy
Jusqu’à preuve du contraire le “Parlement européen” est composée de français, élus, et dispose d’une instance appelée “Conseil de l’Union européenne” qui réunit les ministres des Etats membres par domaine d’activité.<br /> Donc dire que la " commission européenne a décidé" c’est dire que NOUS avons décidé!<br /> Concernant la DSP2, je suis le premier à regretter (travaillant dans le monde du ecommerce) que les banques nous casse les noisettes sur le 3DS “V2” au lieu de nous parler de ce contient vraiment cette directive.<br /> Car quand on connait un minimum le sujet, on se rend compte que cette directive va beaucoup plus loin que cela en “ouvrant” les “API” de paiement à des acteurs tiers. Il va de plus pouvoir être mis en place des contrôles de sécurités basés non plus sur le simple 3DS (quelque fut la version) mais aussi sur l’analyse de la transaction en cours (par exemple un client demandant une livraison et une facturation dans des adresses inconnues de la banque se verrait imposer une authentification forte alors qu’un client régulier d’un site marchand (le mec qui se commande du café tout les mois sur le même site) aurait lui un parcours “frictionless”. Mais malheureusement à ce sujet, les banques sont complètement à la ramasse pour le moment.<br /> De réel avancées en matière de sécurité pour le consommateurs sont réalisée, et que certains ronchonnent de devoir s’authentifier, c’est pas très grave!<br /> Par contre, faire de toute chose un prétexte à de l’Europe Bashing, là c’est énnervant!
GRITI
barjy:<br /> certains ronchonnent de devoir s’authentifier<br /> C’est la méthode d’authentification qui me pose problème.<br /> Les banques n’ont qu’à trouver d’autres moyens. J’ai un ami qui a un soft (de sa banque) installé sur son PC et qui lui génère un code de carte bleu unique à chaque achat en ligne, du montant exact de l’achat. Ce système m’irait très bien.
barjy
Dans un premier temps, Paypal va clairement bénéficier de ces nouvelles restrictions car il offre une expérience “frictionless” pour l’acheteur.<br /> Mais c’est déjà le cas, Paypal est tellement plus simple à utiliser - et ce depuis des années : pas besoin d’un code 3DS, pas besoin d’avoir sa CB sur soit, …<br /> Les grands perdant sont les acteurs du e-commerce (je parle des “petits”, pas des grand groupes) qui doivent se coltiner les 1.4% de commission de Paypal sur chaque transaction (et encore, il faut déjà avoir un très bon CA pour prétendre à ce niveau de com), là où les système de paiement des banques sont beaucoup plus avantageux.<br /> Il y a fort à parier que ce soit le consommateur qui paye cela, d’une manière ou d’une autre car, selon le segment de marché, 1.4% de com’ c’est loin d’être ridicule!
barjy
Cette méthode te convient peut être, mais elle est loin de convenir à la majorité!<br /> Je ne vois pas en quoi elle est plus souple qu’une appli sur smartphone ceci dit!<br /> Après, à toi de choisir ta banque en fonction de ce genre de critère après tout!
pollo
moi j’ai choisi revolut et n26<br /> et plus aucun soucis de se faire anarquer
GRITI
L’appli de smartphone a deux soucis pour moi:<br /> identification biométrique si elle est confirmée. Je n’en veux pas.<br /> autorisations éventuelles demandées par l’appli d’une banque. Je me méfie d’avantage d’un smartphone que d’un ordinateur (peut-être à tort).<br /> D’autant plus qu’avec la multiplication des actions critiques pouvant être effectuées avec un smartphone, ces derniers deviendront la cible privilégiée des pirates/mafia informatiques.<br /> De toute façon, je ne commande rien avec mon téléphone et mon PC portable n’a pas de détection d’empreinte (mais il y a une webcam grrr).
barjy
pollo:<br /> n26<br /> “C’est la première fois que pollo publie un message — accueillons-le comme il se doit dans notre communauté !”<br /> Il fu un temps sur clu² existait un icone de deux smilley se montant l’un sur l’autre, là ça a aurait été de l’accueil
barjy
Je pense qu’en effet tu n’a pas plus (ni moins) de raison de te méfier de ton smartphone que de ton PC <br /> Les méthodes d’authentification fortes sont nombreuse et pas forcément biométriques. Ça peut être une passphrase, une carte à puce, …<br /> La carte à puce (ou mécanisme similaire) peut être la solution pour les personnes âgées ou celles ne disposant pas d’un téléphone (ou ne voulant pas l’utiliser à cette fin).<br /> C’est pénible (il faut avoir sa carte et son lecteur) mais pour le coup sécurisé.<br /> Encore une fois, à toi de rajouter ce type de critère dans le choix de ta banque <br /> fr.wikipedia.org<br /> Authentification forte<br /> Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références » <br /> En pratique : Quelles sources sont attendues ? Comment ajouter mes sources ?<br /> L’authentification forte est, en sécurité des systèmes d'information, une procédure d’identification qui requiert la concaténation d’au moins deux facteurs...<br />
GRITI
L’appli de ma banque demande, entre autres, les autorisations suivantes:<br /> ID de l’appareil et informations relatives aux appels<br /> read phone status and identity<br /> Identité<br /> add or remove accounts<br /> find accounts on the device<br /> Contacts<br /> find accounts on the device<br /> Caméra<br /> take pictures and videos<br /> Mobile<br /> read phone status and identity<br /> Stockage<br /> read the contents of your USB storage<br /> modify or delete the contents of your USB storage<br /> Lieu<br /> approximate location (network-based)<br /> precise location (GPS and network-based)<br /> Photos/Contenus multimédias/Fichiers<br /> read the contents of your USB storage<br /> modify or delete the contents of your USB storage<br /> Sur mon PC je n’ai pas tout cela. Ma banque n’a pas besoin de toutes ces informations. De plus, il se peut que l’appli des banques demandent à ce que le Google play store soit activé/accessible pour fonctionner (à vérifier). Comme je n’ai pas de compte Google sur mon smartphone, et que je n’en veux pas, et bien…cela deviendra contraignant.<br /> De toute façon on verra d’ici là. Au pire je dirais que je n’ai pas de smartphone.
ultrabill
Avec cette démarche, il prend simplement un certain risque sur ton achat, mais il a dû évaluer ce risque<br /> Autrement dit “ils essaient d’assurer la sécurité en amont.”
Cmoi
Pas du tout…Amazon pense juste qu’il y aura plus d’acheteurs honnêtes que malhonnêtes. Et c’est pour cela qu’il sécurise moins l’acte d’achat…et lui peut se le permettre car c’est un mastodonte…les petites-moyennes boutiques ne pourraient pas se permettre des arnaques.
barjy
c’est surtout que Amazon vend très peu en son nom et fait porter le risque aux vendeurs “partenaires” en cas de problème hein!
raymond_raymond
tous les bobos écolos de ce site qui hurlent sur les “petits gens” de changer leur méthode de consommation ou de voitures devraient hurler aussi au scandale pour cet article, vu que ça pousse quand même à la consommation de devoir s’équiper de modèle avec empreinte digitale ou autre, encore une directive foireuse de l’ue qui,de toute évidence, ne connait absolument rien au numérique, jouer sur la soit disant sécurité alors que derrière se cache bien d’autres intérêts financiers et toujours plus de fichage et de surveillance.
ultrabill
Je vais la refaire, je me suis visiblement mal exprimé…<br /> Il est prouvé que plus vous mettez de sécurité sur votre site, moins les gens achètent<br /> Avec cette démarche, il prend simplement un certain risque sur ton achat, mais il a dû évaluer ce risque<br /> C’est toi qui le dit : ils ont évalué le risque. En “simplifiant” l’achat ils augmentent le taux de conversion et peuvent se permettre de couvrir la fraude. C’es en amont de l’acte d’achat.<br /> Là où d’autre font du profiling (adresses de livraison/facturation, type de carte, montant, habitudes du client, plateforme, etc.) qui se fait en aval de l’acte d’achat pour déclencher le 3Ds et d’autres infos d’alerte.<br /> Cela dit, malgré la sécurisation en amont, j’ai aucun doute qu’Amazon ne cracherait pas sur la sécurisation en aval non plus
Pas_Moi
Bonjour,<br /> Le dernier achat en ligne s’est fait par paiement chèque, un peu long, puisqu’il faut l’envoyer par la poste, mais sans problème…<br /> En Allemagne, il est souvent possible de faire des achats en ligne par virement bancaire, justement, il faut passer à sa banque, donner les références et faire un virement SEPA de compte à compte, une fois l’argent reçu, le produit est envoyé…<br /> Je trouve cette option très bien, parce que cela empêche la fraude, par contre, j’avoue que cela fait longtemps que je n’ai rien acheté en ligne, la plus part des sites Français ou Européens ne proposent pas cette possibilité de paiement, ce que je trouve dommage…parce que c’est carte, carte et encore carte.<br /> De toute façon, actuellement sans téléphone portable, il m’est totalement impossible d’acheter en ligne en France, alors est-ce que c’est moi qui n’ai pas trouvé comment faire pour payer par virement bancaire, ou les sites très connus ne proposent pas de paiement par virement bancaire ?<br /> Merci.
harlock95
Un magasin avec boite
ares-team
Tout à fait, ils obligent les gens à acheter un smartphone.<br /> c’est de la vente forcé et c’est interdit par la loi.
Cmoi
Je ne pense pas car c’est Amazon qui perçoit la somme pour eux…Les vendeurs ne sont pas responsables si Amazon s’est fait avoir.
iMeuf
Attendez-vous à des augmentations de prix car ce système est onéreux pour les petits e-commerçants.
SauPhi
Impossible le virement bancaire sera lui aussi fermement sécurisé par la DSP2.
cooper
Le systeme existe deja au Credit Agricole ! J’avais reçu un message via l’appli de la banque, le systeme est encore plus pratique à utiliser ! L’appli m’envoie une notification, je l’ouvre, J’appuie sur le bouton pour valider mon achat et FaceID confirme ! En 2 secondes c’est fait. Ca remplace automatiquement le systeme par sms sur tous les sites qui l’utilisent.<br /> Ce systeme est bien plus securiser, il faut avoir le telephone lier à l’appli de la banque, connaitre le code d’acces à l’appli et le code d’acces au compte et evidemment le visage ! Ca fait beaucoup à pirater…
Blues_Blanche
Et pendant ce temps là les fraudeurs courent toujours…!!!
Voir tous les messages sur le forum

Actualités du moment

Votre smartphone manque d'endurance ? Passez donc à ce modèle doté d'une batterie 13 000 mAh
Gwent :  le jeu de cartes tiré de The Witcher 3 arrive sur iOS le 29 octobre
Realme XT : levée de rideau pour le premier smartphone à capteur photo 64 mégapixels au monde
Salon de Francfort : Avec AI:Trail Quattro, Audi veut vous faire renouer avec la nature
La version « noir total » de Twitter a été retardée sur Android
Google veut vraiment que vous évaluiez les apps et va mettre en place un système in-app
Un son pour avertir les piétons va être ajouté à la Tesla Model 3
Matrox, qui existe encore, rachetée par son cofondateur
Selon ses créateurs, Zelda : Breath of the Wild 2 sera plus ambitieux encore que le premier
Haut de page