Nous sommes aujourd’hui témoins de l’ampleur des transactions électroniques. Cependant, des risques sont inhérents à cette pratique, l’usurpation d’identité étant l’un des plus fréquents. Ainsi, pour les anticiper et mettre en place une confiance virtuelle mutuelle, l’Union européenne a imposé aux acteurs des transactions électroniques (banques, fintech et autres prestataires) de mettre en place une authentification forte des paiements. Ceci intervient en opposition avec l’authentification faible, qui ne demande qu’un mot de passe pour une transaction. Quels sont alors les enjeux de l’authentification forte ? Les réponses dans cet article.

L’authentification forte, socle de confiance pour les paiements électroniques

L’identité numérique a toujours été problématique, en particulier pour les paiements électroniques. Si les sites d’e-commerce, les TPE/PME ont toujours rencontré des difficultés dans la sécurisation de leurs transactions numériques, l’authentification forte vient répondre à cette problématique en proposant une solution agile et complète pour les flux de paiements.

Elle a été imposée par l’Union européenne et a été mise en application le 14 septembre 2019, selon les normes techniques prévues par la Deuxième Directive sur les Services de Paiement (DSP2). Cette authentification forte s’impose en socle de confiance, en demandant aux acteurs au moins deux facteurs d’identification lors de transactions numériques :

  • un mot de passe ou un code secret propre à l’utilisateur,
  • un bien électronique que seul l’utilisateur a en sa possession (smartphone, carte SIM, etc.),
  • une reconnaissance personnelle, biométrique de l’utilisateur (faciale, vocale ou digitale).

Cette authentification forte s’applique aux transactions initiées par le client (paiements par carte, virement bancaire, etc.), et non ceux initiés par l’opérateur. À la moindre erreur sur ces éléments de vérification, aucune transaction ne sera autorisée.

L’authentification forte et la notion d’identité numérique

L’identité numérique est, elle aussi, impactée par l’authentification forte. En effet, les soucis liés à la protection de l’identité numérique ont été soulevés avec l’augmentation conséquente des transactions en ligne.

Il a alors été conclu qu’avec le nombre grandissant des transactions électroniques, ainsi que les points d’entrée dans les systèmes d’information, la sécurisation de l’identité numérique nécessitait absolument la mise en place d’un socle de confiance.

Les transactions numériques sont constamment soumises aux problèmes d’usurpation d’identité. Il n’y a jamais eu de moyen concret permettant de savoir si le tiers avec lequel nous envisageons d’effectuer une transaction est réellement celui qu’il prétend être.

Du côté du particulier, il est impossible de savoir si vous êtes à l’origine du paiement ou celui qui tente d’accéder à l’espace client. L’authentification forte est donc un véritable gage de sécurité, de protection contre l’usurpation d’identité ainsi que de sécurisation de l’identité numérique.

Authentification forte : les exceptions

Bien que l’authentification forte touche les opérations en ligne (paiement par carte, paiement sur site d’e-commerce, virements bancaires à distance), elle ne s’applique pas à tous les paiements. La DSP2 a prévu quelques exceptions, telles que :

  • les opérations de faibles montants, soit moins de 30 euros et dont les risques sont faibles,
  • les listes blanches ou les bénéficiaires de confiance, à soumettre à leurs banques,
  • les paiements sans contact inférieurs à 50 euros,
  • les paiements par carte professionnelle,
  • les transactions inter-régionales.

Vous connaissez désormais les enjeux de l’authentification forte, un système actuellement en plein développement.