La Fevad s'inquiète de l'abus d'authentification forte dans le e-commerce

Depuis deux ans, des dispositifs comme 3D-Secure et les outils d’analyse du risque ont permis de faire baisser le taux de fraude sur la vente à distance. (Crédit : Negativespace CC)

Depuis deux ans, des dispositifs comme 3D-Secure et les outils d’analyse du risque ont permis de faire baisser le taux de fraude sur la vente à distance. (Crédit : Negativespace CC)

Des règles applicables au commerce en ligne que l'autorité bancaire européenne (EBA) est en train d'élaborer proposent de mettre en place une authentification forte des cyber-acheteurs pour tout paiement supérieur à 10 euros. Des restrictions vues d'un mauvais oeil par les professionnels du secteur redoutant qu'elles pèsent inutilement sur le développement de la vente en ligne.

Alors que les ventes en ligne ne cessent de progresser en France - 17 milliards d'euros au 3e trimestre, en hausse de 12% sur un an - la Fevad attire l'attention sur des propositions de règles européennes qui, si elles étaient adoptées, pourraient avoir un impact « particulièrement négatif » sur le développement des achats sur Internet, estime la fédération du commerce électronique et de la vente à distance. Il s'agit de dispositions techniques (Regulatory Technical Standards, RTS), complémentaires à la directive sur les services de paiement (DSP2) et qui portent sur l'authentification forte des cyber-acheteurs. En proposant cette dernière pour tout paiement supérieur à 10 euros, le texte que l'autorité bancaire européenne (EBA) a soumis à consultation publique jusqu'au 12 octobre dernier « s'éloigne très sensiblement des orientations prévues par la DSP2 », alerte la Fevad avec de nombreux autres acteurs du commerce en ligne en Europe.

AdTech Ad Ce que pointe ici l'organisation professionnelle française, c'est un recours disproportionné à l'authentification forte, qui ne tient pas compte du niveau de risque lié au service fourni. A travers le système 3D-Secure (cf le rapport 2015 de l'OSCP/Banque de France), elle est déjà en place depuis 10 ans. « Nous sommes pour cette authentification forte », nous a rappelé Bertrand Pineau, responsable de l'innovation, du développement et de la veille à la Fevad, chargé de la commission Paiement, monétique et fraude. « Le problème, c'est qu'elle soit systématique alors qu'il y a de nombreux contextes où elle ne s'applique pas et où il est carrément aberrant de l'exiger », explique-t-il en soulignant qu'au-delà de 10 euros, cela concernerait quasiment tous les paiements. « Nous ne comprenons pas pourquoi ce texte est si restrictif ». Les professionnels du secteur alertent donc les autorités et les parties prenantes sur ce point afin que les législateurs européens puissent, en temps utile, amender ce texte qui ne devrait être appliqué par les régulateurs nationaux qu'à partir de 2018.

25% des paniers abandonnés à cause de lenteurs d'authentification

Grâce aux dispositifs déjà mis en place, tant 3D-Secure que technologies d'analyse du risque, on est parvenu à maîtriser la fraude à la carte bleue. « Les outils commencent à porter leurs fruits, le taux de fraude sur la vente à distance est en baisse depuis 2 ans en pourcentage et en volume », nous a confirmé Bertrand Pineau. « On ne comprend pas pourquoi le texte des RTS sur les modalités de la sécurité des paiements est si restrictif ». Dès septembre, la Fevad a donc, avec la fédération européenne Ecommerce, souligné dans une étude (*) qu'il avait une meilleure alternative à l'authentification forte qui peut s'avérer restrictive et trop lourde. Les professionnels de la banque, du numérique et de l'e-commerce préconisent plutôt une approche mixte dite « par les risques » (les anglo-saxons parlent de « targeted authentification ») qui tient compte des risques associés à chaque transaction. Cette approche mixte « passe par une analyse comportementale », décrit Bertrand Pineau. En fonction de cette analyse de risque, du scoring obtenu, la transaction est associée, ou pas, à une authentification forte.

Dans un communiqué, Marlene ten Ham, secrétaire générale d'Ecommerce Europe, estime que c'est la seule méthode viable pour sécuriser une expérience d'achat sûre et sans couture pour les consommateurs. « Aujourd'hui, 25% des abandons de paniers d'achat résultent de processus d'authentification pesants. Cela entraîne un impact négatif important pour les e-commerçants », pointe-t-elle. Alors qu'il est prouvé que, dans certains cas vérifiés, l'authentification mixte pourrait augmenter les taux de conversion de façon significative, jusqu'à 70%.

(*) avec d'autres acteurs du numérique et de la banque : Edima, Epif, Choice in eCommerce et CCIA. L'association Ecommerce fédère au niveau européen les associations de commerce électronique.

Ajouter un commentaire
2
Commentaires

LAMBERT Pour appuyer un peu cet article, je vous raconte ce qui m'est arrivé hier midi dans une brasserie parisienne. Addition 19,20 €. Quand je vois le sigle "paiement sans fil" sur le TPE, je tente de payer par e moyen, pas de réponse de l'appareil. La caissière m'a dit : "Ça ne fonctionne pas. Avec le lycée à proximité, on a trop peur des vols ou des enfants qui utilisent la carte de leur parents sans qu'ils le sachent et des cartes volées". On est dans le 5ème, côté boulevard d'Arago, pas à Barbès. Je lui ai demandé si j'avais une tête d'étudiant et comme je viens manger dans cette brasserie au moins 2 fois par semaine depuis plus d'un an si cette consigne s'appliquait à moi. Elle m'a répondue : " De toute façon, on l'a désactivée". J'ai du saisir le code de ma carte pour régler mon addition de 19,20 €. Ayant été moi-même pendant 5 ans 1/2 dans ce métier en tant créateur et gérant, je comprend la crainte d'être volé. J'ai peut-être eu de la chance, je n'ai eu à déplorer que 27 € et 45 € d'additions non payées. Je ne sais pas comment le paiement par smartphone va être utilisé dans les années qui viennent mais i reste énormément de travail à faire pour que les gens soient persuadés de ne pas subir de fraude. La photo comme beaucoup de fois aux US, l'empreinte digitale, le passeport (peu fiable), la carte d'identité (peu fiable), l'empreinte vocale (contestable), le double code sur les CB (pas mieux qu'un seul code). J'ai voyagé pas mal dans le monde et il y a un mois au...

Carl C'est bien de parler d'authentification forte, mais concrètement cela se traduirait comment dans le domaine du e-commerce ? Déjà que régulièrement le SMS du 3D-Secure arrive sur le téléphone de Madame (ou Monsieur) alors que c'est Monsieur (ou Madame) qui passe commande et que dans les entreprises personne ne sait à quel numéro de portable est associé le compte bancaire... j'imagine mal une double authentification.

s'abonner
aux newsletters

suivez-nous

Publicité
Publicité

Derniers Dossiers

Cybersécurité : quels outils pour contrer les nouvelles menaces

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers » prouvent une fois de plus la...

Publicité