Les nouvelles normes d’authentification forte (Strong Customer Authentication ou SCA) entrent en vigueur ce 14 septembre au niveau européen. Les commerçants ont dix-huit mois pour migrer vers la nouvelle version du protocole d’authentification 3D-Secure, compatible avec les règles de la DSP2.
Les nouvelles normes d’authentification forte (Strong Customer Authentication ou SCA) entrent en vigueur ce 14 septembre au niveau européen. Pour les transactions à distance réglées au moyen d’une carte de paiement, ces normes sonnent la fin du protocole d’authentification 3D-Secure, du moins dans sa version actuelle. Le protocole 3D-Secure repose dans 85 % des cas sur l’envoi d’un code à usage unique sur le téléphone mobile du possesseur de la carte (SMS-OTP ou one time password). Cette solution n’est pas suffisamment sécurisée au regard des règles de la deuxième directive sur les services de paiement (DSP2). Désormais, les solutions d’authentification des transactions à distance doivent combiner au minimum deux facteurs parmi quelque chose que le payeur possède (un téléphone mobile par exemple), quelque chose que le payeur connaît (comme un mot de passe ou un code PIN), et quelque chose qui lui est inhérent (comme une empreinte digitale).
L’objectif du législateur européen est de réduire la fraude constatée sur les paiements à distance. En 2018, celle-ci s’est établie en France à 0,173 %, un taux dix-sept fois plus élevé que sur les paiements de proximité, indique le dernier rapport de l’Observatoire sur la sécurité des moyens de paiement. Le choix de la communauté bancaire française d’investir dans le développement et la promotion du système d’authentification 3D-Secure était pourtant judicieux. Le taux de fraude sur les transactions authentifiées via ce protocole est ressorti à 0,07 % l’an dernier. « Ce niveau est plus proche du taux de fraude observé sur la totalité des transactions nationales, y compris de proximité (0,038 %), que du taux de fraude sur l’ensemble des paiements à distance ».
Qu’importent les (bons) résultats, il faut évoluer pour faire encore mieux. Face à l’impréparation des différentes communautés bancaires en Europe à basculer au 14 septembre sur les nouvelles normes d’authentification (fraichement publiées !), l’Autorité bancaire européenne (ABE) a autorisé en juin un déploiement étalé dans le temps. La Banque de France, en concertation avec la Fédération bancaire française et les principaux schemes a établi un plan de migration national étalé sur trois ans.
Le premier volet à l’attention des consommateurs, validé le 9 juillet dernier, vise le remplacement progressif du recours aux codes SMS à usage unique pour la protection des paiements en ligne par des solutions plus avancées, reposant par exemple sur la saisie d’un code confidentiel ou d’une empreinte biométrique au travers de l’application mobile de banque en ligne. D’ici décembre 2020, la grande majorité des consommateurs bénéficiera de ces nouvelles solutions d’authentification renforcée telles que définies par la DSP2.
Le second volet concerne les acteurs de la chaîne des paiements, y compris les e-commerçants. Les marchands pourront jusqu’en mars 2020 continuer à opérer sans authentification et le 3D-Secure « ancienne génération » sera toléré jusqu’en mars 2021.
Plan de migration
Dans le détail, les six premiers mois de la période de migration qui s’ouvre correspondront à une phase de rodage de l’infrastructure 3D-Secure nouvelle génération, au cours de laquelle les banques, les systèmes de paiement par carte et les prestataires techniques vont progressivement se connecter et raccorder un nombre limité d’utilisateurs finaux (porteurs de cartes et commerçants). Cela permettra ainsi de commencer à traiter des transactions et à tester la capacité de communication de bout en bout de l’infrastructure.
À l’issue de cette phase de rodage, les douze mois suivants permettront de gérer la montée en charge de l’architecture 3D-Secure v2 et d’intégrer progressivement la capacité de gestion des différents facteurs d’exemption (bénéficiaires de confiance, échanges enrichis pour l’analyse de risque, etc.). Durant cette phase, les commerçants seront incités à migrer leurs infrastructures de vente à distance historiques (non sécurisées ou basées sur 3D-Secure v1) vers la nouvelle version du protocole 3D-Secure v2.
En parallèle, un mécanisme de soft decline, visant à rejeter les transactions non autorisées ne relevant pas d’un cas d’exemption prévu par le RTS SCA&CSC, sera progressivement introduit du côté des émetteurs de carte. A compter du 31 mars 2020, les banques et les infrastructures refuseront progressivement et de manière croissante les transactions sans possibilité d’authentification du porteur :
– pour les transactions supérieures à 500€ dans un premier temps ;
– pour les commerçants identifiés comme ayant un taux de fraude durablement élevé, ou enregistrant une augmentation significative de leurs taux de fraude.
Indicateurs de suivi
La Banque de France suivra dans le temps l’avancée de la migration au sein des principaux établissements bancaires en France, au travers du questionnaire 3D-Secure existant, complété d’indicateurs permettant de rendre compte des progrès réalisés sur l’abandon progressif des dispositifs non conformes à la règlementation (i.e SMS-OTP) et au développement des dispositifs d’authentification conformes SCA.
Il est cependant attendu qu’à partir de 90 % de e-commerçants équipés 3D-Secure v2, le rythme de migration ralentisse en raison des efforts plus importants à fournir pour enrôler la clientèle retardataire. Une période supplémentaire, pouvant aller au plus jusqu’à 18 mois, permettra de trouver des solutions pour les cas particuliers résiduels (populations fragiles ou peu équipées, expatriés, etc.)
Source : Observatoire de la sécurité des moyens de paiement, juillet 2019
Ailleurs en Europe
A l’instar de la France, la majorité des pays d’Europe ont fait le choix de supporter la période de transition. Par exemple, au Royaume-Uni, la Financial Conduct Authority (FCA) a opté pour un plan de migration étalé sur 18 mois. Les entreprises auront jusqu’en mars 2021 pour implémenter la majorité des RTS et les 6 mois suivants permettront d’implémenter l’ensemble des règles techniques. Les hôteliers ou encore les sociétés de voyages pourront bénéficier d’un délai complémentaire d’un an en raison de leurs systèmes de paiement plus complexes.
Source : Payment Compliance, septembre 2019