Nouveau monde. Sécurité des paiements en ligne : la biométrie pourrait remplacer les SMS, pas assez fiables

Les adeptes des achats en ligne connaissent bien le système 3D Secure basé sur un mot de passe à usage unique ("one time password", OTP) : vous faites un achat sur un site, vous tapez votre numéro de CB puis vous devez saisir en plus un petit code à 4 ou 6 chiffres que la banque vous envoie par SMS. C’est simple, rapide, cela concerne environ un tiers des transactions en ligne françaises et on pensait que c’était un bon système de sécurité pour éviter la fraude. Erreur.

La nouvelle directive européenne sur les services de paiement 2e version (DSP2), qui entrera en vigueur en septembre 2019, rend obligatoire l'authentification forte pour les paiements de plus de 30 euros. Septembre 2019, cela paraît loin mais les professionnels estiment que c’est trop court pour développer de nouveaux dispositifs de sécurité et surtout les faire adopter par le public (le 3D secure a mis plusieurs années à s’imposer).

Risques de piratage

Selon l’Observatoire de la sécurité des cartes bancaires, des fraudeurs peuvent usurper l’identité des clients et intercepter les codes de validation. Ils se font passer pour vous auprès de votre opérateur… Ils demandent une nouvelle émission de carte SIM. Ils peuvent ainsi intercepter les SMS. C’est une attaque cependant peu répandue.

La biométrie pour remplacer les SMS

Les banques et les commerçants devraient se tourner vers la biométrie (empreinte digitale, reconnaissance faciale) via les smartphones. Apple et Samsung sont bien avancés dans ce domaine et disposent même de leurs propres solutions de paiement biométriques. Le problème : tout le monde n’a pas un smartphone (73% des Français…). Certains n’ont, soit, pas de téléphone mobile, soit, des téléphones basiques qui permettent de recevoir des SMS mais sans capteur biométrique.