PSD2 : quel avenir pour l’authentification 3D Secure ?

Le report de la mise en vigueur en France de la directive européenne sur les services de paiement (DSP2 ou PSD2 en anglais) a suscité beaucoup d’interrogations, notamment sur la date exacte et les modalités de l’abandon de 3D Secure, la méthode standard d’authentification pour les paiements en ligne utilisée par les banques françaises.

Examinons les faits. La directive européenne PSD2 est officiellement entrée en vigueur en janvier 2018, mais la fin du délai de sa transposition par les différents états membres de l’UE était initialement prévue le 24 septembre 2019. Cette date butoir a été repoussée par l’autorité bancaire européenne (ABE) à fin décembre 2020, certains pays décidant d’accorder un délai supplémentaire. La France de son côté, avec l’aval de l’autorité bancaire européenne, a décidé d’accorder deux années supplémentaires, en repoussant la date de mise en vigueur définitive à fin 2022 pour le seul volet de l’authentification forte.

La raison de ce report est simple à comprendre. Le respect de la directive nécessite pour l’écosystème des paiements la mise en place de nouvelles infrastructures et procédures et ses membres – banques en tête, étaient loin d’être prêts.

Rappelons que la nouvelle directive a pour objectif de favoriser l’innovation, la transparence de la concurrence et l’efficacité du marché des services financiers dans l’Union Européenne, et plus précisément de moderniser les services de paiement en Europe au profit tant des consommateurs que des entreprises, pour rester en phase avec un marché en évolution rapide. Concrètement la directive comporte deux volets.

Elle oblige d’abord les banques dans l’UE à fournir l’accès aux données de leurs clients, en obtenant leur accord au préalable, à des acteurs tiers que sont les initiateurs de services de paiement (traditionnellement les sites de commerce électronique) ou les fournisseurs de services d’informations sur les comptes (agrégateurs offrant des outils de gestion des finances personnelles rassemblant plusieurs comptes).

Les banques doivent pour cela assurer une communication sécurisée et standardisée en mettant à disposition un ensemble d’API ouvertes et interopérables, briques logicielles permettant à deux applications – celle de la banque et celle de l’acteur tiers – de communiquer entre elles. L’objectif, grâce à ces API, est de simplifier et d’automatiser les parcours client en ligne, en supprimant les intermédiaires, et de donner aux différents prestataires concernés l’opportunité d’offrir de nouveaux services financiers innovants.

Deuxième volet, conséquence immédiate du premier, la mise à disposition de ces API ouvertes impose de garantir l’authentification de l’initiateur de chaque transaction. C’est là qu’intervient l’authentification forte, ou SCA (Strong Customer Authentication).

On le sait, pour lutter contre la fraude contre les paiements en ligne liée au vol des numéros de carte de crédit, l’écosystème des paiements a imposé depuis une quinzaine d’années une authentification plus poussée, baptisée 3D Secure, reposant sur l’envoi par l’acheteur d’un code supplémentaire pour valider la transaction. Les banques dans les différents pays européens ont interprété 3D Secure de différentes manières. En France, celle qui s’est imposée est l’envoi d’un code à usage unique par SMS, désormais quasi généralisé pour les paiements en ligne et les transactions bancaires.

Or l’obligation de l’authentification forte imposée par DSP2 remet en cause cette méthode. Pour l’autorité bancaire européenne comme pour les spécialistes de la lutte contre la fraude, elle n’offre en effet pas un niveau de sécurité suffisant. Le consommateur devra désormais s’authentifier grâce à au moins deux facteurs distincts parmi trois : quelque chose qu’il sait (mode de passe par exemple), quelque chose qu’il possède (ordinateur, smartphone) et/ou quelque chose qui le caractérise en tant qu’individu (empreinte digitale, etc.).

Quelle sera donc la nouvelle méthode d’authentification en vigueur en France d’ici la fin 2022 ? Le délai supplémentaire accordé par les autorités françaises est une excellente opportunité pour l’ensemble des intervenants de se réunir autour d’une table pour définir une solution commune qui réponde au mieux à leurs intérêts distincts.

Ces intervenants sont en effet classés en quatre catégories : les banques, les intermédiaires de paiement, les opérateurs de cartes bancaires et les e commerçants, qui tous n’ont pas les mêmes besoins et les mêmes objectifs.

La solution adoptée devra nécessairement offrir le meilleur compromis entre les impératifs de sécurité et la simplicité d’utilisation pour le consommateur. Il est très probable qu’elle sera standardisée pour toutes les banques, comme l’est aujourd’hui 3D Secure, et qu’elle sera propre à la France, chaque pays se définissant en fonction de ses préférences nationales.

Il est tout à fait possible que l’envoi du code unique par SMS propre au 3D Secure actuel soit conservé car il a l’avantage d’être simple et déjà rentré dans les mœurs pour le consommateur français. Mais il devra être complété par un deuxième facteur, qui pourra prendre la forme d’un mot de passe ou d’une identification biométrique, l’objectif étant qu’il soit le moins astreignant possible pour l’utilisateur.

Sur le volet des API ouvertes, dont la mise en vigueur définitive est prévue le 31 décembre 2020, beaucoup de travail reste également à faire. En effet, seules entre 35 et 40 % des banques dans l’UE étaient en conformité en septembre 2019. Pour respecter le nouveau délai, les établissements retardataires devront mettre en place dans l’année qui vient de nouvelles solutions basées sur l’identité numérique capables, en toute transparence, d’obtenir le consentement du demandeur et de sécuriser l’ensemble des transactions entre le client, la banque et l’acteur tiers.