Sécurisation des achats en ligne : les nouveautés 2021
Peut-être l’avez-vous déjà remarqué : dorénavant, les achats en ligne font l’objet d’une sécurisation renforcée. Si votre plateforme d’achat requiert une empreinte digitale, une reconnaissance vocale ou faciale, ou encore une confirmation via une application mobile, n’annulez pas tout de suite votre panier d’achats en croyant à un piratage. Il peut s’agir, tout simplement, d’un processus d’authentification forte.
Nouvelle réglementation pour les achats sur Internet
Les achats en ligne font dorénavant l’objet d’une réglementation visant à réduire les fraudes. Si, par peur de voir leurs ventes diminuer, les commerçants ont d’abord boudé les nouvelles mesures de sécurité, ils sont aujourd’hui de plus en plus nombreux à effectuer cette transition avant l’échéance.
La directive européenne
En fait, l’authentification forte n’est pas si nouvelle que cela : il s’agit de l’application de la directive révisée sur les services de paiement, ou DSP2. Cette réglementation européenne est entrée en vigueur en janvier 2018, suite au constat de la faible sécurité qu’offrent les paiements par carte bancaire sur Internet.
Et le constat n’a fait que se confirmer de manière alarmante : en 2019, les transactions en ligne faisaient l’objet d’un risque 17 fois plus élevé que celles effectuées en magasin ! La DSP2 établit de nouvelles règles de sécurité pour les achats sur Internet.
Date d’entrée en vigueur
La période de transition vers la nouvelle réglementation aurait dû s’achever le 31 décembre 2020. Toutefois, la Banque de France a instauré une phase intermédiaire d’une durée de 3 mois, qui reporte cette échéance au 31 mars 2021. Puis, 3 mois supplémentaires ont été accordés aux commerçants afin de compenser le retard lié à l’épidémie de COVID-19.
En fin de compte, les acteurs du commerce en ligne ont jusqu’au 30 juin 2021 pour mettre en place les procédures requises, faute de quoi les transactions seront automatiquement rejetées. De votre côté, vous disposez du même délai pour adopter de nouveaux réflexes de paiement !
Qu’est-ce que l’authentification forte ?
Auparavant, les paiements en ligne par carte bancaire étaient sécurisés par le cryptogramme visuel au dos de votre carte, supplémenté par un second élément de sécurité tel qu’un code reçu par SMS ou une question secrète.
La fin du code par SMS
L’authentification forte, comme son nom l’indique, est plus solide. Au lieu du code reçu habituellement par SMS, vous recevez une notification de votre banque sur un mobile préalablement enregistré comme « appareil de confiance ».
À partir de cette notification, vous pouvez vous connecter à l’application mobile de votre banque et confirmer le paiement grâce à une authentification spéciale : code secret ou données biométriques (par exemple, la reconnaissance de l’iris ou de l’empreinte digitale).
Paiements exceptés de l’authentification forte
Certains paiements, parmi les moins risqués, ne sont pas soumis à la sécurisation renforcée :
- les paiements de moins de 30€ ;
- les paiements récurrents (abonnements, etc.) ;
- les paiements destinés à un « bénéficiaire de confiance » (vous pouvez préalablement désigner certains commerçants) ;
- les transactions estimées de faible risque, en raison de l’historique du commerçant.
L’application de votre banque pour la sécurisation des achats en ligne
Qu’il s’agisse de Sécur’pass à la Caisse d’Épargne, Sécuripass au Crédit Agricole, Confirmation Mobile au Crédit Mutuel ou Certicode Plus à la Banque Postale, toutes les applications reposent sur le même principe.
Fonctionnement de l’application
Suite à votre achat en ligne, vous recevez une notification, puis confirmez le paiement via l’application mobile. Lors de l’activation du service, vous définissez un code secret ou un autre moyen d’authentification qui vous servira à valider vos paiements.
L’application n’est en général valable que pour un appareil à la fois. En cas de perte ou de vol de votre mobile, contactez immédiatement votre banque afin de désactiver l’application. Vous pourrez ensuite l’installer et restaurer votre compte sur votre nouvel appareil.
Pas de notification ou notification inconnue
Si vous ne recevez aucune notification à la suite de votre achat, vous pouvez tout simplement vous connecter à l’application et sélectionner l’opération à valider, dans un délai de quelques minutes. Si à l’inverse, vous recevez une notification sans avoir procédé à aucun paiement, contactez immédiatement votre banque afin de l’avertir d’une possible fraude.
Est-il obligatoire de télécharger l’application ?
Si vous n’avez pas de smartphone, ou si vous ne souhaitez pas utiliser l’application de votre banque, les nouvelles mesures peuvent s’avérer très contraignantes. Il existe toutefois des alternatives pour déjouer les fraudes :
- la conservation du code à usage unique envoyé par SMS ou serveur vocal, renforcé par un code personnel fixe fournit votre banque ;
- l’utilisation d’un boîtier ou lecteur, permettant par exemple de scanner un code QR à l’écran afin d’obtenir un code d’authentification. Le Crédit Mutuel, par exemple, propose à ses clients un lecteur Digipass à 29 €.
Les démarches d’authentification forte vont s’intensifier significativement dans les mois et semaines à venir. Pour plus d’information, n’hésitez pas à consulter le site Internet de votre banque ou à vous adresser directement à votre conseiller.