A partir du 14 septembre 2019, pour tout paiement en ligne supérieur à 30 euros, une double authentification sera nécessaire. L'Union Européenne a finalement accordé un sursis jusqu'en 2022 pour plus de 20 Etats membres, dont la France. En effet, cette nouvelle obligation – exigée par la Directive sur les services de paiement (DSP2) – bouleverse le quotidien des sites de e-commerces et des banques. Explications.
Le changement peut sembler mince et pourtant… A partir du 14 septembre 2019, pour tout paiement en ligne supérieur à 30 euros, une double authentification – ou 3DSecure 2 – sera obligatoire. La two-factors authentification est une méthode par laquelle un utilisateur peut accéder à une ressource informatique après avoir présenté deux preuves d'identités distinctes.
Créée sous l'égide de la Directive sur les services de paiement 2e génération (DSP2), adoptée le 25 novembre 2015 (ci-dessous), cette législation européenne a pour ambition de sécuriser les comptes en ligne afin de limiter la fraude par carte bancaire.
L'Authentification par SMS a fait ses preuves, mais ...
Aujourd'hui, dans la majorité des cas, l'authentification se fait via l'envoi d'un SMS contenant un code. Elle repose donc uniquement sur la possession du smartphone du porteur qui sert à recevoir le message de confirmation. Appelée "SMS 3D Secure", cette méthode a fait ses preuves. Selon l'Observatoire de la sécurité des moyens de paiement, en 2018, le taux de fraude par paiement authentifiés est de 0,07 %, contre 0,21 % pour les transactions non authentifiées.
Mais cette méthode connaît également des ratés avec le "SIM swap" (échange de carte SIM) qui cible précisément ce type d'authentification renforcée. Jack Dorsey, le patron de Twitter, en a fait les frais le 30 août 2019. Cette fraude permet d'associer à une autre carte SIM le numéro de téléphone de l'utilisateur ciblé. Concrètement, dans un premier temps, l'usurpateur appelle le numéro d'assistance de l'opérateur mobile en prétextant la perte de la carte ou un changement de téléphone. Une nouvelle carte SIM est alors activée par l'opérateur.
L'usurpateur récupère ainsi l'usage du téléphone et le fouille à la recherche d'un maximum d'informations personnelles. Il peut ainsi récupérer les données nécessaires pour recevoir le code de vérification d'achats en ligne. Un autre vecteur d'attaque utilisé par le passé consiste à réaliser des achats de façon répétée et à tester différents codes jusqu'à tomber sur le bon. Il exploitait une faiblesse du générateur de nombres aléatoires utilisé par les banques, mais la sécurité de ce dernier a été réhaussée ces derniers mois.
