Bientôt la fin des SMS d'authentification pour vos achats en ligne

Geoffroy Barre
Publié le 13 novembre 2018 à 13h59
Carte bleue code

Pour effectuer des achats en ligne, vous n'aurez bientôt plus besoin du code envoyé par SMS par votre banque pour confirmer le paiement. En effet, ce système basé sur une authentification via un code unique est jugé trop peu sécurisé, et sera remplacé par une authentification « forte ».

Une directive européenne applicable en 2019 va obliger les banques à utiliser « l'authentification forte » comme nouvelle norme pour valider les paiements en ligne. La validation par SMS, actuellement très répandue, semble donc vouée à disparaître. Ce système 3-D Secure, que l'on connaît désormais depuis une dizaine d'années dans le monde du e-commerce, va être rendu obsolète par les nouvelles exigences européennes.

Le système 3-D Secure pas assez sûr

Il est en effet possible de pirater un smartphone et de contourner la sécurité relative du système. « Étant donné que les méthodes de fraude sont en constante évolution, les exigences relatives à l'authentification forte du client devraient permettre des solutions techniques innovantes répondant à l'émergence de nouvelles menaces pour la sécurité des paiements électroniques » indique le texte européen.

La directive européenne DSP2 impose désormais une identification forte.

Connaissance, possession et inhérence, triptyque de la sécurité

Contrairement à la simple validation via un code reçu par SMS, il faudra désormais s'authentifier avec au moins deux facteurs indépendants parmi trois clairement déterminés :
  • La connaissance : communiquer une information que l'utilisateur connaît (un mot de passe, un code) ;
  • La possession : la confirmation doit intervenir via quelque chose que l'utilisateur possède (un ordinateur, un smartphone) ;
  • L'inhérence : avec en complément un élément propre à chaque utilisateur (reconnaissance faciale, empreintes digitales).
Avec cette triple sécurité (quelque chose que l'utilisateur connaît, quelque chose que l'utilisateur possède et quelque chose que l'utilisateur est), les cas de fraude devraient être réduits.

Rappelons que les fraudes à la carte bancaire en ligne représentent aujourd'hui 0,161 % du montant total dépensé sur Internet.
Geoffroy Barre
XLinkedIn
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
manu0086

Le 3D-secure n’étant pas obligatoire, la nouvelle norme le sera-t-elle ? posséder un smartphone assez récent sera obligatoire vu que les ordinateurs et anciens smartphones ne sont pas équipés pour “l’inhérence”.

cyano27

C’est peut être pas pour si tôt, les banques demandent un délai de 3 ans pour être opérationnelles !!!

TNZ

Le facial et les empreintes sont de mauvais vecteurs de sécurité. Ils ne peuvent pas être renouvelés en cas de compromission / révocation.
Bref, ils vont rajouter un mot de passe pour faire apparaître le code de vérification.

ariakas

mouai, à la société générale, ils demandent une certification par soit l’appli, soit le site internet, c’est plutôt pas mal je trouve

Momozemion

Un code envoyé par SMS valide au moins 2 des conditions: connaissance du code envoyé et possession de la SIM déverrouillée (donc un mot de passe ou un moyen biométrie).

Encore une fois, Clubic est tellement imprécis que l’info est erronée.

danicela

Moi ce qui me choque c’est qu’on peut même pas changer cette double authent, je preferais par mail plutôt que SMS, la banque me dit impossible >.< et y’a pas vraiment de logique dans le choix de la double authent, parfois SMS, parfois date de naissance … wtf?

Momozemion

Mauvaise banque, changer banque.
Je dois m’authentifier sur l’appli pour lire le code.
En France, la SG propose une carte avec jetons temporaires en code cdc, c’est d’ailleurs la seule chose correcte dans ce groupe.

haliway

Moi je préfère le two factor authentication BankID suédois… un téléphone, une application, un mot de passe, une sécurité supérieure :
http://lup.lub.lu.se/luur/download?func=downloadFile&recordOId=7792889&fileOId=7792890

La sécurité est constamment augmentée.

glittermen

Il y a aussi les nouvelle carte de crédit avec changement du CVV, ou CVC tous les 5mn je trouve que c’est pas mal .

snoopyz

Visiblement l’authentification forte est encore nébuleuse pour la plupart des gens. Concernant l’auteur, parler d’une triple sécurité est erroné puisqu’il s’agit ici d’authentification à deux facteurs (2FA dans la langue de shakespeare). Pour les autres sachez qu’un email non encrypté peut être intercepté, tout comme un SMS avec la faille SS7 et ne peut être un facteur d’authentification forte. Sinon pour info, le “something you have” peut aussi être autre chose qu’un appareil enrôlé avec un certificat numérique, comme une carte à puce, une clef physique…

Dernières actualités
10 ans plus tard, vous pouvez enfin utiliser iCloud avec Firefox
10 ans plus tard, vous pouvez enfin utiliser iCloud avec Firefox
Offre exclusive Clubic pour le Cyber Monday : obtenez 15% de réduction supplémentaire pour NordPass
Proton offre une remise de 50 % sur son gestionnaire de mots de passe pour le Black Friday
Voici les nouveautés à venir dans Proton Mail, Calendar, Drive et Pass
Les gestionnaires de mots de passe des navigateurs : pratiques, mais pas fiables
Pourquoi la double authentification n'est pas aussi sûre que vous le pensez
On ne compte plus les scams qui pullulent sur Facebook, le dernier cible Bitwarden
Plus pratique, plus jolie, voici la nouvelle version de Google Authenticator
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles