Question de M. BAZIN Arnaud (Val-d'Oise - Les Républicains) publiée le 15/11/2018

M. Arnaud Bazin attire l'attention de M. le ministre de l'économie et des finances sur les inquiétudes soulevées par la prochaine disparition du code de sécurité pour les achats en ligne reçu par SMS pour valider une transaction.

Selon le groupement des cartes bancaires cité par Les Échos en novembre 2018, ce type de validation est utilisé dans 85 % des transactions en ligne faisant l'objet d'une authentification renforcée.

Les autorités européennes relèvent un manque de sécurité dans le dispositif, arguant du fait que les informations figurant sur la carte bancaire en cas de vol de « smartphone » rendent possible la réalisation d'une transaction.

Face à ce risque, l'Union européenne demande aux banques de réfléchir à un nouveau système d'authentification, qui devra être mis en place d'ici à septembre 2019.

Il lui demande ce qu'il envisage de proposer, les commerçants et les banques estimant ce délai beaucoup trop court, certains professionnels demandant même un report de l'échéance à trois ans.

- page 5774


Réponse du Ministère de l'économie et des finances publiée le 10/01/2019

La directive (UE) 2018/2366 concernant les services de paiement, dite DSP2, généralise à tous les États membres de l'Union européenne, l'utilisation de l'authentification forte du payeur en cas de paiement électronique. La date d'application de cette mesure est fixée au 14 septembre 2019, alors que la transposition de la directive est entrée en vigueur le 13 janvier 2018. La DSP2 définit une solution d'authentification forte comme reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories suivantes : (i) « connaissance » (quelque chose que seul l'utilisateur connaît : un code confidentiel, un mot de passe, une information personnelle), (ii) « possession » (quelque chose que seul l'utilisateur possède : un smartphone, une montre connectée …), (iii) « inhérence » (quelque chose que l'utilisateur est : au sens strict, une empreinte biométrique). L'authentification forte du payeur est un procédé qui permet de diminuer de façon très significative l'utilisation frauduleuse des instruments de paiement en ligne. Des mesures de ce type sont utilisées en France depuis 2008, date des premières recommandations dans ce domaine de l'Observatoire de la sécurité des cartes de paiement (devenu l'Observatoire de la sécurité des moyens de paiement – OSMP) dont le secrétariat est assuré par la Banque de France. Dans ce cadre, les banques et commerçants en ligne français utilisent massivement le protocole dit 3D-Secure qui permet de véhiculer un code à usage unique envoyé par SMS au consommateur et saisi par celui-ci au moment de la validation d'une transaction de paiement en ligne. Ce protocole technique de communication entre le commerçant et la banque peut par ailleurs à ce jour supporter d'autres moyens d'authentification forte que le SMS. Bien que le procédé par code SMS se soit révélé très efficace pour réduire la fraude et qu'il ait été jugé conforme aux Orientations de l'Autorité bancaire européenne (ABE) du 19 décembre 2014 sur la sécurité des paiements sur internet, l'interprétation stricte de la DSP2 et du règlement délégué (UE) 2018/389 qui précise les exigences et les exemptions en matière d'authentification forte, pourrait conduire les banques à faire évoluer les dispositifs d'authentification forte mis à disposition de leur clientèle. Dans son Opinion sur l'implémentation du règlement délégué (UE) 2018/389 (publiée le 13 juin 2018), l'ABE retient que le SMS OTP ne repose que sur un seul facteur : la possession du mobile du porteur, qui sert à recevoir le code de validation. Elle ne serait donc pas conforme aux exigences DSP2 dans la mesure où ce mode d'authentification ne fait intervenir ni facteur biométrique, ni facteur de connaissance. L'ABE a néanmoins été interrogée dans le cadre de sa foire aux questions dédiée à la DSP2 (disponible sur son site Internet) afin qu'elle apporte des précisions sur (i) la conformité de ce type de procédé au regard de la DSP2 et le cas échéant, (ii) sur les modalités de migration vers de nouveaux procédés d'authentification forte et les mesures que les autorités compétentes nationales devraient adopter afin d'harmoniser leurs pratiques. L'ABE a été sensibilisée par de nombreux acteurs publics et privés sur les difficultés qu'engendrerait une migration vers de nouveaux procédés d'authentification forte dans une courte période de temps (horizon septembre 2019). En France, cette question est suivie de façon très attentive par la direction générale du Trésor, les autorités compétentes nationales (Autorité de contrôle prudentiel et de résolution, Banque de France …) et les acteurs de marché au sein de l'OSMP, afin qu'une probable migration vers de nouveaux procédés d'authentification forte se fasse dans les meilleures conditions et dans le respect des orientations des autorités européennes. Sans attendre la réponse de l'ABE, les travaux de mise en conformité avec la DSP2, impliquant l'ensemble de la Place française, débuteront dès la fin de cette année et auront vocation notamment à établir avec l'ensemble des parties un calendrier réaliste pour cette migration. À cet égard, on peut noter que les banques diffusent d'ores et déjà auprès de leur clientèle, particuliers comme professionnels, d'autres procédés d'authentification forte pleinement conformes avec la directive, comme par exemple l'authentification biométrique des paiements effectués depuis un téléphone mobile.

- page 147

Page mise à jour le