Les exigences réglementaires en matière d’authentification forte, définies par la DSP 2 et ses normes techniques entrées nouvellement en vigueur, impliquent, en plus du renouvellement des solutions d’identification du client, une mise à niveau conséquente de l’architecture informatique de Place, utilisée pour la gestion de l’authentification du client lors d’un paiement par carte en ligne. Celle-ci s’appuie sur le protocole 3-D Secure, actuellement initié sur la décision du seul commerçant. Or cette infrastructure n’est pas conforme aux règles de responsabilité prévues par la DSP 2, car l’émetteur doit être en mesure d’activer une demande d’authentification forte de son porteur, ni ne permet d'identifier certains facteurs d’exemption de l’authentification forte : bénéficiaire de confiance, échanges enrichis pour l’analyse de risque, etc.
Secure key ou secure pass
L’Observatoire de la sécurité des moyens de paiement (OSMP) de la Banque de France a donc élaboré un second volet de son plan de migration vers les dispositifs d’authentification des paiements électroniques en ligne, comme l’a exigé l’Autorité bancaire européenne (ABE) dans son avis du 21 juin 2019, cette fois-ci à l’attention des acteurs professionnels de la chaîne des paiements. Élaboré lui aussi par les parties prenantes de la Place française, ce plan a été présenté à la Banque de France par la Fédération bancaire française et les principaux schemes opérant en France, puis amendé afin de répondre aux exigences du régulateur. Il vise la disparition à horizon mars 2021 des transactions n’ayant pas fait l’objet d’une authentification forte du client et ne répondant pas aux cas d’exemption.
Au cours d’une phase de rodage de 3D-Secure v2, sur six mois, les banques, systèmes de paiement par carte et prestataires techniques s’y raccorderont progressivement. « Plusieurs banques sont prêtes, note Julien Lasalle, en charge de l’Observatoire de la sécurité des moyens de paiement de la Banque de France. Elles ont mis en place de nouvelles solutions d’authentification, appelées par exemple Secure key ou Secure pass, déjà utilisées par une partie de leur clientèle. » Les douze mois suivants verront la montée en charge de l’architecture, et la migration des infrastructures historiques de vente à distance des e-commerçants. Le déploiement des nouveaux protocoles sera accompagné d’un suivi des taux de fraude émetteur et acquéreur pour l’ensemble des transactions, authentifiées ou non. La mise en œuvre de ce volet du plan de migration fera l’objet d’un suivi mensuel par un groupe de pilotage, chargé de veiller à la fois à l’avancement de la migration et sur la maîtrise des taux de fraude.
