Le paquet réglementaire sur les services de paiement (incluant le projet de Directive et un règlement unifiant les règles de fond pour les paiements) par la Commission européenne privilégie la protection des consommateurs et la lutte contre la fraude, soulignant que l’authentification forte a certes permis de réduire la fraude mais qu’elle n’en est pas venue à bout. Les mesures figurant dans la proposition de règlement seront-elles suffisantes alors que s’annoncent de nouveaux moyens puissants de fraude, liés à l’économie numérique et aux innovations technologiques, qui pourraient se révéler difficile à endiguer ?
Depuis plus de trente ans, la lutte contre la fraude sur les paiements au point de vente, en France puis dans toute l’Europe, a été renforcée par des dispositifs hardware, comme la carte à puce, qui ont montré efficacité et résilience. Les résultats sont à la hauteur de l’effort consenti et sans cesse poursuivi.
Les derniers rapports de l’Observatoire sur la sécurité des moyens de paiement (OSMP) montrent pourtant que la fraude se développe de plus en plus lors des paiements à distance, notamment des virements. Pour lutter contre celle-ci, des solutions plus ou moins efficaces se sont succédé en Europe depuis vingt ans, de la carte virtuelle dynamique, au 3DSecure, à l’OTP (One Time Password), puis l’authentification forte multifacteur et la tokenisation de certaines données sensibles, avec comme objectif complémentaire, mais majeur pour les acteurs du commerce à distance, d’éviter les frictions dans les paiements.
L’authentification forte a été généralisée par la DSP2, mais, sous ses formes actuelles, la protection qu’elle apporte peut être contournée avec des manipulations dites « psychosociales ». Même si elle rend d’importants services dans la lutte contre la fraude, elle ne suffit pas à réduire de façon drastique les risques de fraude sur les paiements à distance.
Authentification forte et lien dynamique
D’autres formes, comme l’authentification dynamique, auraient pu être mises en œuvre. Déjà prévue par la DSP2, cette forme particulière d’authentification permettrait de contrer les modifications des détails d’une transaction après que le payeur l’a authentifiée, en imposant la communication sécurisée à ce dernier du montant et du nom du bénéficiaire avant validation du paiement. Mais elle n’est pas aujourd’hui exigée pour tous les paiements. Ainsi, l’authentification pourrait être renforcée, sans générer d’« aléa moral »1, en systématisant l’exigence de lien dynamique2, et en limitant les cas d’exonération de responsabilité des ASPSP (Account Servicing Payment Service Providers) aux seuls paiements avec d’une part l’authentification forte et d’autre part un lien dynamique.
Le nouveau projet de règlement généralise l’emploi du lien dynamique pour tout type de paiement, sauf pour les paiements en face-à-face gérés en mode offline (via par exemple le protocole NFC déployé par les applications X-pay), lesquels restent hors champ d’application de l’exigence du lien dynamique, ce qui est regrettable. Et il inclut des contrôles sur l’intégrité de l’IBAN avec la CoP (ou confirmation du bénéficiaire). Plusieurs solutions existent, de la messagerie à la certification préalable du compte du bénéficiaire, qui garantirait un lien indestructible entre l’IBAN et le nom du bénéficiaire.
La DSP2 avait évoqué comme solution la signature électronique, mais sans prendre parti, « afin de maintenir la neutralité sur le plan des technologies... pour la mise en œuvre des codes d’authentification ». Mais elle n’est pas évoquée dans le projet de règlement qui va remplacer la DSP2, ce qui est aussi regrettable. Elle offrirait pourtant, et pour divers types de transactions peu ou mal sécurisées, des solutions, comme indiqué dans un document de position commun de France Payments Forum et de la Fédération des tiers de confiance du numérique (FnTC), publié fin juin.
La tokenisation des données sensibles, notamment des identifiants, est également porteuse d’une approche efficace, à bas coût et sans friction, et constituera encore pendant la prochaine période une autre voie de lutte contre la fraude. Mais elle ne permettra pas de résoudre globalement la question de la lutte contre la fraude, sauf dans le cas d’une tokenisation généralisée ou un chiffrement complet de la transaction.
Il faut ajouter les promesses des technologies biométriques, qui renforceront les moyens d’authentification, et les progrès contre les menaces du quantique en matière de corruption des algorithmes cryptographiques.
Enfin, les blockchains ont érigé le chiffrement comme solution internationale de sécurisation systématique des transactions, mais dans une logique décentralisée. La question du chiffrement n’est donc plus taboue, y compris pour le commerce.
La proposition de révision de la Commission européenne vise à compléter le dispositif anti-fraude avec deux volets : (a) en renforçant la coopération des banques et autres prestataires de services de paiement (PSP), notamment via un partage des informations sur la fraude, et (b) en accordant aux consommateurs victimes un droit à remboursement par leur PSP, bancaire ou non, ce que ces derniers contestent fortement.
Enfin, si le renforcement de l’authentification, la tokenisation et l’emploi des blockchains protègent les paiements en établissant une barrière de sécurité, l’emploi du scoring des transactions, mais aussi des entités (client, compte, marchand notamment) apportera une capacité à « flasher » les transactions sur des comportements déviants ou atypiques grâce à des méthodologies d’IA, ou encore des motifs de fraude reproduits par les fraudeurs et observés par les analystes via des règles métiers, sans oublier le comportement en temps réel sur les entités.
Il existe donc des moyens plus forts de lutter contre la fraude aux paiements, applicables dès à présent, y compris dans la DSP2 et le paquet réglementaire ayant vocation à la remplacer sur le fond. Mais il faut se placer à long terme, pour garder une longueur d’avance sur les fraudeurs et se doter d’instruments plus dissuasifs.
Des évolutions structurelles
La carte à puce a exigé lors de son lancement un saut qualitatif majeur et un investissement financier important, financé par le gain sur la fraude. Cet exemple devrait aujourd’hui servir de leçon. Aujourd’hui, il manque un moyen dissuasif de sécuriser les paiements à distance : la signature électronique généralisée, l’identité numérique et les chiffrements de bout en bout répondent à ce besoin.
Mais ils ont plusieurs inconvénients : parfois coûteux, ils nécessitent un déploiement long, mais surtout introduisent des frictions dans les paiements, et c’est là que le bât blesse le plus.
Plusieurs évolutions structurelles aujourd’hui à l’œuvre devraient faciliter le déploiement de ces solutions :
– les coûts des solutions de chiffrement ont baissé, permettant l’équipement de structures légères, y compris à domicile ou sur son smartphone ;
– la diffusion du smartphone, moyen majeur d’identification personnelle et de traitement sécurisé des données, avec en subséquent le développement de wallets numériques ;
– la généralisation en cours d’éléments sécurisés dans les smartphones permettant la conservation de clés cryptographiques privées et susceptibles d’offrir un niveau de privacy inégalé dans les interactions digitales (sous réserve d’ouverture à toutes les applications) ;
– l’évolution du cadre réglementaire et judiciaire pour la signature électronique et l’identité numérique, notamment via le règlement européen eIDAS2 ;
– le développement des solutions d’identités numériques publiques et privées ;
– la recherche d’interopérabilité notamment via le développement des APIs.
Il faut donc préparer un saut qualitatif majeur avec des solutions paneuropéennes, spécifiques aux paiements, notamment sur l’identité numérique, et une progressivité de la mise en œuvre de ces solutions, sur sept à dix ans, avec un horizon de généralisation vers 2030, en commençant par les points d’application les plus pertinents, et à la recherche d’une rentabilité des investissements consentis, par les gains directs sur la fraude.
