Authentification forte : un sursis de quatre semaines accordé
[Article mis à jour le 14 mai 2021 à 9h35] Enième rebondissement pour l'authentification forte. Cette réglementation, qui doit entrer pleinement en vigueur ce 15 mai , est légèrement repoussée. Dans un communiqué, la Fédération bancaire française (FBF) indique que les établissements bancaires français ont quatre semaines de plus pour s'adapter. "Dans un souci d'éviter une application brutale, et en concertation avec les autorités, les établissements bancaires, à partir du 15 mai, mettront en œuvre progressivement cette mesure d'authentification forte sur une durée de 4 semaines, afin de laisser un temps d'adaptation aux commerçants. Progressivement à partir du 15 mai, et définitivement après les 4 semaines d'adaptation, les banques pourront décliner toute transaction non conforme." Même si la majorité des acteurs concernés (prestataire de paiements, commerçants, réseaux interbancaires...) estiment qu'ils sont prêts, il reste une grande inconnue côté banques. Pour effectuer une authentification forte, les Français doivent télécharger l'application de leur banque, ce qui n'est pas une mince affaire... La FBF rappelle toutefois que "pour les clients qui n'auraient pas de smartphone, les banques proposent des solutions alternatives comme l'utilisation d'un SMS à usage unique couplé à un mot de passe connu par le client, ou encore l'utilisation d'un dispositif physique dédié."
Qu'est-ce que l'authentification forte ?
Le principe d'authentification forte est simple. Pour valider une transaction ou une autre opération bancaire, il faut au moins deux éléments d'authentification (sur les trois possibles) : un mot de passe que seul l'utilisateur connaît, un appareil (téléphone, carte à puce…) que seul l'utilisateur possède, une caractéristique personnelle de l'utilisateur (empreinte digitale, reconnaissance faciale…). Ce n'est pas l'e-commerçant qui décide s'il faut appliquer l'authentification forte mais l'émetteur de la carte bancaire (on l'appelle la banque émettrice).
L'authentification forte et la DSP2
L'authentification forte (en anglais, Strong customer authentification) fait partie de la directive européenne sur les services de paiement (DSP2). Entrée en vigueur en janvier 2018, mais pas encore complètement appliquée dans les faits, la DSP2 est constituée de deux grands volets : l'ouverture des données bancaires via des API (sorte de connecteurs informatiques sécurisés) et l'authentification forte. Cette dernière implique de nombreux acteurs dont les prestataires de paiement, les e-commerçants, les réseaux de carte (Visa, Mastercard,…), les régulateurs ou encore les banques.
Calendrier de déploiement de l'authentification forte en France
La France a fait le choix d'abaisser progressivement le seuil des montants qui nécessitent une authentification forte. L'entrée en vigueur définitive aura lieu le 15 mai 2021, ce qui signifie que toutes les transactions au-dessus de 30 euros seront vérifiées via une double authentification. Voici le calendrier décidé par le régulateur français :
| Date | Montant |
|---|---|
| 1 er octobre 2020 | 2 000 euros |
| 5 janvier 2021 | 1 000 euros |
| 15 février 2021 | 500 euros |
| 15 mars 2021 | 250 euros |
| 15 avril 2021 | 100 euros |
| 15 mai 2021 | 30 euros |
Les dernières actualités de l'authentification forte
Quelle est la méthode d'authentification la moins sécurisée ?
L'authentification forte est censée être plus sécurisée que les méthodes d'authentification actuelles. Aujourd'hui, lorsque vous passez commande sur un site e-commerce, vous recevez un code de confirmation par SMS que vous devez renseigner sur le page de paiement du site.
Pourquoi authentification forte ?
Avec l'authentification forte, quand vous passez commande, une notification de votre banque apparaît (il faut au préalable avoir téléchargé l'application de sa banque), ce qui prouve que vous détenez bien le téléphone. Et la banque vous demande ensuite de renseigner votre code d'accès à votre application ou empreinte digitale (ou de la reconnaissance faciale si votre smartphone le permet). Valider avec deux éléments d'authentification est donc plus sécurisé qu'avec un seul.