Paiements à distance : vers une gestion mutualisée de l’authentification client

Dans une opinion publiée le 21 juin 2019, l’Autorité Bancaire Européenne (ABE) réaffirme que l’OTP SMS [1] , bien qu’il soit la solution la plus communément mise en œuvre par les établissements bancaires et qu’il permette à ce jour de contenir la fraude des paiements à distance, n’est pas une solution conforme à l’exigence d’authentification forte (SCA) pour les opérations de paiement s’appliquant à compter du 14 septembre 2019.

Cependant, afin de permettre une appropriation des solutions d’authentification forte aussi bien par les clients des banques que par les commerçants, l’ABE demande aux autorités nationales compétentes de définir avec chaque prestataire de service de paiement un plan de déploiement de solutions SCA et d’en suivre la mise en œuvre effective.

En France, le rapport annuel 2018, publié le 9 juillet 2019, de l’Observatoire de la sécurité des moyens de paiement de la Banque de France demande aux établissements bancaires de commencer à équiper leurs clients de solutions SCA qui remplaceront l’OTP SMS au second semestre 2019 puis de produire un effort significatif l’année suivante pour atteindre l’objectif de 70 % de clients équipés fin 2020, puis de 90 % mi 2022 (voir Schéma 1).

La Banque de France suivra l’évolution de l’équipement des clients des banques mais aussi le ratio entre les « transactions mettant en œuvre un dispositif d’authentification conforme SCA » et celles « requérant, au regard de la réglementation, une authentification forte ».

Cela concerne donc aussi bien les paiements par carte sur internet que les opérations bancaires en ligne telles qu’un virement ou l’enregistrement d’un nouveau numéro de téléphone.

Le client reçoit un code temporaire par SMS qu’il renseigne sur un écran. Son « parcours client » est identique pour un paiement par carte sur internet ou pour la validation d’un virement en ligne.

Mais vu de la banque, la situation est différente. Le paiement carte et les services en ligne fournis par la banque sont souvent issus de « deux mondes » différents. Le numéro de téléphone auquel envoyer le SMS est le même, mais le module de gestion des risques décidant s’il faut déclencher un OTP SMS et le module d’envoi et de vérification de ce mot de passe temporaire sont spécifiques à la carte d’un côté et aux services bancaires en ligne de l’autre (v. Schéma 2).

Dans cette situation, à chaque fois que la banque veut sécuriser un nouveau service, elle met en place un module d’authentification spécifique. Outre le manque de souplesse, cela implique aussi une fragmentation de la connaissance des clients et une grande difficulté à consolider une vision des risques sur l’ensemble des transactions requérant une authentification.

Pour se conformer aux exigences d’authentification forte, il faut désormais équiper chaque client de deux facteurs d’authentification de types différents (la connaissance, la possession ou l’inhérence). Le cycle de vie de ces facteurs d’authentification est beaucoup plus complexe à gérer qu’un simple numéro de téléphone. En effet, il faut gérer des éléments tels que la version de l’application mobile de la banque, une paire de clés symétriques ou un mot de passe. L’association entre le client et le facteur d’authentification doit être robuste, non seulement lors de l’attribution initiale, mais surtout lors de la réactivation.

Dans ce contexte, le délai accordé par l’ABE pour la mise en œuvre de la SCA doit être mis à profit pour « masquer » cette complexité et conserver des parcours d’authentification fluides. Par exemple, si l’un des facteurs d’authentification est un mot de passe, il serait judicieux d’éviter que le client ait à mémoriser autant de mots de passe que de services à sécuriser !

Enfin, les RTS précisent que chaque transaction relative à une opération de paiement doit faire l’objet d’une analyse de risque tenant compte notamment de l’historique et des habitudes du client. Analyse difficile à réaliser si chaque service de paiement dispose de son propre module d’authentification.

Apparaissent alors évidents les avantages de la mutualisation de la gestion de l’authentification pour l’ensemble des services faisant appel à une authentification du client (v. Schéma 3). Cette mutualisation présente plusieurs avantages :

• la banque capitalise sur la SCA comme facteur de confiance dans toutes ses relations à distance avec ses clients et pourrait à terme proposer l’utilisation de cette SCA comme élément d’identification à des acteurs tiers ;
• la banque équipe ses clients de plusieurs facteurs d’authentification et leur affecte un niveau de robustesse. Cela permet de gérer leur cycle de vie et de décider, par exemple, qu’au-delà d’une certaine date, le capteur biométrique d’un couple mobile/système d’exploitation n’est plus valide. Cela incite donc à anticiper l’équipement du client avec un facteur d’authentification complémentaire avant la date de caducité de celui qu’il utilise ;
• ayant une vision claire de l’ensemble des transactions du client, la banque peut moduler le niveau d’authentification requis et décider d’appliquer le niveau d’authentification adéquat : une authentification « contextuelle » (reconnaître le mobile du client dans une zone géographique cohérente pour un montant cohérent avec ses habitudes d’achat), une authentification simple (un seul facteur d’authentification), ou une authentification forte (deux facteurs d’authentification).

L’Observatoire de la Sécurité des Moyens de Paiement de la Banque de France collecte, deux fois par an, auprès des banques, les chiffres relevant l’équipement des clients en solution SCA et les transactions pour lesquelles la SCA a effectivement été mise en œuvre. Le premier reporting est à fournir à la fin de l’année 2019.

Dans le cadre de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR, l’annexe sur la sécurité des moyens de paiement vient de passer cet été de 25 à 50 pages pour intégrer la description du niveau de conformité des banques aux RTS.

Concernant la conformité à l’obligation d’authentification forte, il s’agira de justifier que les solutions d’authentification retenues sont effectivement « fortes » (force et indépendance des facteurs choisis), que le niveau d’équipement progresse, et que le cycle de vie des facteurs d’authentification est robuste. Il faudra aussi vérifier la complétude, l’exactitude et la cohérence de la collecte des données sur les transactions faisant appel ou non à la SCA.

Toutes ces données seront d’autant plus simples à fournir si elles sont gérées en un seul et même endroit.