Le paiement sur internet est devenu monnaie courante, surtout depuis le début de la crise Covid 19. Et pourtant, ce n’est pas nouveau de pouvoir effectuer des transactions à partir d’un ordinateur ou d’un smartphone. En effet, là où une grande partie du public se méfie, c’est sur la sécurité de l’ePaiement. En conséquence, afin de faciliter les échanges virtuels de biens et services, des dispositifs d’authentification de plus en plus sophistiqués ont émergé sur le net. Ainsi, en vérifiant systématiquement la légitimité d’une demande d’accès par une entité, un particulier ou un organisme quelconque, les systèmes informatiques ont peu à peu conquis la confiance du public. Voici donc les procédés d’authentification préalables à l’accès sensible d’une ressource, et comment sont paramétrés leurs contrôles d’accès !
3D Secure : un code SMS pour payer en ligne
Celui-ci, nous le connaissons presque tous. Du moins ceux qui adorent effectuer des achats dans le métro, ou même en marchant dans la rue. Les smartphones sont en effet un gain de temps monumental, lorsque l’on veut éviter de faire la queue devant une borne ou de se déplacer jusqu’à un magasin alors qu’on doit déjà en arpenter un autre. À ce titre, le système 3D Secure permet d’authentifier vos achats en ligne au moyen de votre carte bancaire Visa et Mastercard. Existant depuis 2008, cette sécurité s’active à chaque premier paiement sur un site marchand qui intègre cette fonctionnalité. Qu’il s’agisse d’Amazon, de Babbel, ou de jeux comme ce casino en ligne, voici comment l’on procède :
- saisie du numéro de carte ;
- renseignement de la date de fin de validité ;
- ajout ou rappel du cryptogramme visuel ;
- redirection sur le site de votre banque ;
- réception d’un SMS avec code numérique ;
- autorisation de la transaction après saisie du code.
Ce système fonctionne également sur ordinateur, mais vous aurez toujours besoin d’un téléphone pour recevoir votre SMS.
Secure Key : pour une authentification à deux niveaux
Secure Key est surtout connu des clients de HSBC. Il s’agit d’un système d’authentification renforcé, plutôt destiné à effectuer des manipulations en ligne sur vos comptes bancaires. La sécurité de ces données sensibles est confiée à un partenaire de connexion, à savoir une banque partenaire de Secure Key Technologies, spécialiste de la gestion de l’identité sur internet. Votre authentification repose donc sur un petit mille-feuille de renseignements impliquant :
- un identifiant fourni
- le code secret
- une question mémorable
- le mot de passe à 8 caractères
- la question dont vous seul (hormis peut-être vos proches) connaît parfaitement la réponse
Utilisable sur les smartphones compatibles, le Secure Key peut également être contrôlé depuis une petite télécommande dédiée. Les retours utilisateurs admettent l’efficacité du système, qu’ils trouvent néanmoins assez contraignant.
Google Authenticator : la sécurité des mots de passe à usage unique
Autre système d’identification à deux facteurs, Google Authenticator est conçu pour fournir à son utilisateur un code de sécurité à 6 chiffres. Ce dernier est censé compléter l’authentification classique, par saisie de pseudo et de mot de passe. Les utilisateurs de Discord, Dropbox ou LastPass ont probablement déjà eu affaire à ce dispositif. En effet, celui-ci s’enclenche à la première utilisation de l’application en question. Dans les faits, le logiciel crée une clef numérique individuelle sous forme d’une chaîne de 16 caractères ou d’un QR Code. Cela vous sert de signature numérique pour chaque connexion. Il vous faudra alors la compléter avec le fameux code à 6 chiffres qui vous a été préalablement attribué.
DSP2 : pour une authentification de plus en plus forte
Depuis quelque temps, la loi française DSP2 impose aux entités conservant des ressources et des données sensibles une authentification forte. Aussi les banques doivent-elles procéder à des identifications à deux facteurs minimum pour chaque paiement en ligne de plus de 30 euros. Vous connaissez peut-être ce processus sous le nom de Secur’Pass, Securipass ou Certicode. Ce système de sécurité a vocation à s’étendre à d’autres types d’opérations, comme les virements ou les appels téléphoniques (à la demande du conseiller). En ce qui concerne les paiements, certes, la sécurité est bien plus haute. Toutefois, elle oblige à l’utilisateur de se connecter à son application bancaire. Cette simple manipulation peut parfois annuler l’opération en cours sur une autre appli (recharge Navigo sur smartphone, par exemple). Si les banques bénéficient d’une hausse de trafic sur leur site, l’expérience utilisateur, quant à elle, pourrait être fluidifiée.
L’on notera toutefois que le DSP2 permet le développement des dispositifs biométriques, lesquels se substitueront probablement un jour aux codes de cartes bleues. En effet, l’authentification est d’autant plus forte lorsqu’elle intègre un élément d’identification inhérent à la personne : sa voix, son visage, ses empreintes digitales, etc. Une fois capturées, ces données biométriques sont converties en format digital. À ce jour, les tests d’identification révèlent une marge d’erreur extrêmement faible sur ce genre de dispositif. À ce titre, le DSP2 peut déjà faire usage des empreintes digitales sur votre appli smartphone.