Le système de double authentification visant à sécuriser les paiements en ligne présenterait des failles dans son protocole. Experts américains et français appellent à davantage de sécurité.Le fléau de la fraude à la carte bancaire
Au quotidien, sortir sa carte bancaire pour régler des achats est devenu une véritable habitude en l’espace de quelques années. Ce réflexe s’est accentué avec l’essor du commerce en ligne. Mais comme dans la vie courante, un consommateur n’est pas à l’abri d’être victime d’une fraude à la carte bancaire.
Le vol des données bancaires d’une carte de paiement est plus difficile à déceler puisque dans la majorité des cas l’usager est toujours en possession de sa carte bancaire.
La fraude est révélée en consultant régulièrement ses relevés de compte qui indiqueront alors des transactions suspectes.
Pour protéger les données de leurs clients, les banques ont conçu des outils de sécurisation des transactions. Le système 3D Secure est l’un d’entre eux.
Les banques ripostent et créent des outils
Dans la pratique, lors du paiement sur l’espace sécurisé d’une boutique en ligne, le client renseigne les coordonnées de sa carte bancaire. Les transactions en lignes les plus classiques sont ainsi conclues. Le protocole 3D Secure, lui, vient ajouter une étape d’authentification pour valider le paiement grâce à un code de sécurité unique.
Ce code reçu par SMS est transmis par la banque au numéro de téléphone associé à la carte bleue. Son porteur est donc le seul à connaître le code et peut finaliser la transaction. Sur le papier, cette authentification en deux étapes est supposée apporter davantage de sécurité.
Cependant, le NIST (institut national américain des normes et de la technologie) a émis quelques réserves, le mois dernier, sur l’efficacité du 3D Secure.
Dans ses recommandations pour l’authentification numérique, le NIST appelle à une meilleure protection du 3D Secure. Les Américains estiment qu’un simple envoi par SMS n’assurerait pas une sécurité optimale.
Le SMS, point faible du 3D Secure
En effet, avec des smartphones constamment connectés au web, il est possible pour des pirates d’installer à distance des applications de type « mouchard ». Dans le cas de l’utilisation du protocole 3D Secure, ces applications « espion » peuvent intercepter et transmettre le code de validation à une tierce personne mal intentionnée.
Le risque de détournement du SMS est donc le point faible de ce système. Dans l’Hexagone, cette faille a déjà été signalée par le médiateur de la Fédération bancaire française (FBF) et l’Observatoire de la sécurité des cartes de paiements. Il avait été demandé aux opérateurs téléphoniques de sécuriser davantage l’édition des cartes sim.
Pour se protéger de cette faille, les experts recommandent le maintien de la double authentification. Mais avec cette-fois ci, la réception du code 3D Secure vers une application sécurisée et non une simple boîte de réception de SMS.