L’une des conséquences de l’entrée en vigueur de la DSP2 (2ème Directive des Services de Paiement) le 13 janvier 2018, et de la parution des règles techniques associées (dîtes « RTS ») qui elles seront applicables le 14 septembre 2019), est la mort annoncée de l’OTP SMS (« One Time Password »). Au-delà des contraintes pour le secteur bancaire sur la problématique du paiement, on peut s’interroger sur l’impact du texte sur d’autres réglementations et notamment celles qui encadrent la signature électronique.
La fin de l’OTP SMS ?
Depuis de nombreuses années, les consommateurs ont pris l’habitude de s’authentifier lors d’un paiement en ligne via un code reçu par SMS (dispositif nommé « 3d-secure »). Ce mode d’authentification visant à s’assurer que c’est bien le titulaire de la carte qui effectue le paiement, même s’il n’est pas infaillible (un numéro de téléphone portable pouvant être détourné) et même s’il a des impacts sur le taux de conversion des parcours client, est désormais bien accepté à la fois par les clients et par les marchands.
Via son rapport annuel 2018 de l’Observatoire de la sécurité des moyens de paiements, la Banque de France a détaillé les implications opérationnelles de l’entrée en vigueur du texte notamment en ce qui concerne les modalités d’accès à un compte de paiement en ligne.
Elle indique qu’un moyen d’authentification forte est requis lorsque le titulaire veut consulter son compte, effectuer un virement réaliser un paiement par carte bancaire ou encore pour un certain nombre d’opérations sensibles.
Dans son article 4, la DSP2 définit l’authentification forte comme « fondée sur deux ou plusieurs éléments appartenant aux catégories : connaissance, possession, et inhérence (biométrie) et donne lieu à la génération d’un code d’authentification ». Et à l’article 9, la directive impose que les différents éléments soient indépendants de manière à garantir « que, sur le plan de la technologie, des algorithmes et des paramètres, la compromission d’un des éléments ne remet pas en question la fiabilité des autres ».
Or l’OTP SMS ne constitue qu’un seul facteur, celui de la possession du mobile recevant le code. Le code reçu n’étant pas indépendant du mobile, il ne peut pas être considéré comme un deuxième facteur. Le numéro de la carte, sa validité ainsi que son cryptogramme ne sont pas considérées comme un facteur de connaissance car ils apparaissent « en clair » sur la carte et sont, de fait, facilement copiables.
Vers un nouveau moyen d’authentification ?
Les banques vont donc devoir trouver un nouveau moyen pour authentifier leurs clients lors des opérations visées par la DSP2, c’est à dire celles concernant la gestion du compte au sens large. Il existe un autre moment de vie dans lequel l’OTP SMS est aujourd’hui très utilisé : lors de l’entrée en relation pour l’authentification à distance de prospects ou de clients dans le cadre de la signature électronique d’un contrat d’ouverture de compte et d’une proposition commerciale de crédit par exemple.
La signature électronique, pour être valide, nécessite l’identification et l’authentification du signataire. Aujourd’hui, le marché a plébiscité deux pratiques : la récolte (et l’analyse) d’un document d’identité et la saisie d’un OTP SMS.
La signature électronique est encadrée par le règlement européen eIDAS depuis le 1er juillet 2016. Celui-ci requiert que le moyen de signature soit sous le contrôle exclusif du signataire et dans le cadre d’une signature réalisée à distance, cette obligation se matérialise par la demande d’une saisie d’un code à usage unique envoyée par SMS que seul le signataire pourra saisir au moment de l’acte.
Ce code « d’activation » est depuis des années une étape incontournable du parcours de signature électronique. La question qui se pose désormais est de savoir s’il va survivre à la DSP2.
Un premier élément de réponse est l’harmonisation des textes européens réglementant le secteur financier que l’on observe avec des notions qui sont transposées dans les différents textes. Par exemple, les schémas d’identification définis par le règlement eIDAS ont très vite trouvé leur place dans la transposition de la 4ème directive anti-blanchiment et financement du terrorisme. Ainsi l’article R561-20 du Code Monétaire et Financier mentionne ces moyens d’identification comme nouvelles mesures de vigilance complémentaires lors d’une entrée en relation d’affaire à distance (5ème et 6ème mesures).
Le principal moteur de ces changements sera sans doute l’aversion du secteur pour le risque. Si un remplaçant crédible à l’OTP SMS en termes de déploiement, d’usabilité et de sécurité s’imposent sur le marché pour la sécurisation des paiements, il sera très rapidement déployé pour d’autres usages tels que celui de la signature électronique.