Paiements en ligne : le SMS devrait survivre à la DSP2

La presse économique a publié ces derniers jours plusieurs articles alarmistes concernant l’avenir du SMS en matière de validation des achats. "Le code par SMS pour valider les achats sur internet disparaîtra fin 2020" indique BFM. "Paiement en ligne : la disparition du SMS fixée à fin 2020, ajoutent Les Echos.

 

Des publications qui prolongent un article de novembre 2018 du Figaro, qui annonçait déjà que le "SMS d'authentification des achats en ligne devrait disparaître", faute de répondre aux critères de la DSP2, une directive européenne entrée en vigueur en septembre dernier et visant à renforcer la sécurité des paiements en ligne.  

Mais qu’en est-il exactement et pourquoi la question du SMS est-elle aussi importante pour les e-commerçants ? Selon l’Observatoire de la sécurité des moyens de paiement (OSMP), le taux de fraude par carte sur Internet a fortement diminué ces dernières années passant de 0,229 % en 2013 à 0,168 % en 2018. Mais alors qu’elle ne représente que 13% des transactions par carte, la vente à distance pèse 70% de la fraude totale en montant. Et si seuls 17% des achats font aujourd’hui l’objet d’une authentification forte, 86% des authentifications se font … par SMS.

 

Très utilisée par les commerçants, l’authentification par SMS est toutefois considérée par certains acteurs comme non conforme à la DSP2, car si elle valide bien le premier facteur de possession du téléphone portable, elle ne propose pas de second facteur (inhérence ou connaissance) ce qui ne permettrait pas d’être assimilé à une "authentification forte".

 

"Le SMS reste un média très utile et reconnu par le régulateur bancaire, pour justifier de la possession d’un téléphone mobile. Et si le SMS seul ne suffira plus à faire de l’authentification à deux facteurs, il faudra simplement un second facteur, comme un mot de passe, pour sécuriser les échanges ou accéder à un site web", nuance Jean-Philippe Gallet, rapporteur de la commission messaging mobile de la Mobile Marketing Association France. Une évolution du SMS, jugée inéluctable, mais qui ne serait d’ailleurs pas aussi urgente que certains le redoutaient.

 

"Il faut bien distinguer méthode et infrastructure d’authentification pour éviter la confusion. Pour la méthode d’authentification, l’OSMP a établi un plan de migration du SMS pour au moins 90% des transactions authentifiées à juin 2022. Pour ce qui est des infrastructures d’authentification (3DSV2), l’OSMP a donné une date de fin de migration des acteurs à mars 2021 et l’EBA, l’organisme de régulation européen, à décembre 2020. Concrètement, décembre 2020 n’est donc pas la date butoir pour arrêter l’usage du SMS mais celle à laquelle les acteurs du e-commerce devront se connecter à une solution compatible avec l’authentification forte. Le SMS d’authentification classique devrait donc bénéficier d’un délai de 18 mois supplémentaires, jusqu’à juin 2022, ce qui laissera le temps aux banques de trouver des compléments aux SMS ou des alternatives technologiques", précise Johan Guilloux, en charge du groupe de travail paiements mobiles de la Mobile Marketing Association France.

 

Le mois de juin 2022 ne sera d’ailleurs pas forcément non plus la fin du SMS d’authentification pour valider ses achats car certains téléphones mobiles, qui ne sont pas des smartphones, ne pourront pas proposer l’authentification biométrique ou par application. "Seul le SMS est compatible avec 100% des téléphones mobiles et il pourra subsister très marginalement au-delà de juin 2022 pour les clients non éligibles à d’autres méthodes d’authentification",  estime Johan Guilloux.

 

Même s’il cohabite avec d’autres leviers d’authentification, le SMS devrait donc rester pour encore plusieurs années le principal mode de sécurisation de l’accès aux sites Web, aux services ou aux applications, et il est peu probable que ce canal populaire et universel soit un jour réellement supprimé.