Trop insuffisant
On a tous déjà eu affaire au célèbre 3-D Secure, une méthode permettant de sécuriser les achats en ligne supérieurs à un certain montant. Le principe était jusqu’alors simple : après avoir reçu un petit message nous dirigeant vers une nouvelle fenêtre, on se retrouvait à attendre un SMS envoyé au numéro de téléphone associé à la carte bancaire. Le code reçu, il suffisait de le rentrer dans une case blanche afin d’authentifier notre achat. Néanmoins, l’Union Européenne vient de rejeter ce système nommé SMS-OTP (One Time Password) qu’elle juge insuffisant à l’égard des risques de fraudes (le vol notamment).
Désormais, pour l’ensemble des achats supérieurs à 30 euros, Bruxelles exige « une authentification forte » comme le précisent nos confrères des Échos. Il faudra ainsi détenir au moins deux éléments parmi trois catégories :
- Quelque chose que l’on connait comme un mot de passe ou un code PIN
- Quelque chose que l’on possède comme un téléphone portable ou un PC
- Quelque chose qui est propre à chacun comme une empreinte digitale ou biométrique
Les banques craignent une baisse des achats
Ainsi, lors d’un achat en ligne, il pourrait être demandé de rentrer un mot de passe puis de confirmer son empreinte digitale sur un smartphone avant de pouvoir finaliser la commande. L’Union Européenne explique cette volonté d’une sécurité accrue par le fait qu’un SMS n’est pas lié au téléphone mobile, mais bien à la carte SIM qui se trouve à l’intérieur. De plus, le code actuel demandé sur internet est celui qui se trouve au dos de la carte et non un mot de passe imaginé par l’acheteur lui-même.
Bruxelles a demandé que cette nouvelle règle de sécurité entre en vigueur dès le mois de septembre 2019 ce à quoi les banques ont répondu qu’il s’agissait d’un délai bien trop court. Selon les organismes bancaires, il faudrait au moins trois ans pour mettre en place un tel système. Un compromis pourrait être trouvé afin de ne pas mettre en place « un procédé trop contraignant pour les utilisateurs » ce qui finirait par faire chuter le nombre d’achats en ligne. Réponse définitive dans les prochains mois.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
C’est precisement le systeme paylib actuellement mis en place chez La banque postale, réputée pour être toujours en retard technologique… donc on parle de quelles banques ? Paylib n’est il pas un regroupement des plus grosses banques ?
Le problème actuel du 3D Secure c’est en premier lieu que tous les sites ne le demandent pas, donc je vois mal en quoi ce serait mieux sur ce point avec l’empreinte digitale.