.png)
Lorsqu’il s’agit d’authentification dans les paiements, les innovations se succèdent à un rythme effréné. En effet, au cours des dernières années, différentes normes relatives à la sécurité des transactions ont été élaborées, adoptées et mises en œuvre par la plupart des réseaux de cartes de paiement. C’est le cas de la 3D Secure 2.1, par exemple, dont l’adoption à grande échelle est déjà une réalité en 2024.
Dans un tel contexte, il est crucial de rester au fait des avancées de l’authentification en rapport avec les paiements. Mais surtout, il va de votre intérêt, en tant que marchand, d’anticiper les évolutions de l’industrie des paiements et de vous préparer en conséquence. En particulier, pour tout ce qui touche de près ou de loin à l’authentification dans les paiements et à son cortège d’implications.
Chez Checkout.com, nous bénéficions d’une position privilégiée qui nous permet de nous projeter dans l’avenir. Par exemple, nous sommes le premier prestataire de services de paiement de l’industrie à avoir obtenu la certification 3DS 2.3.1. Mais par-dessus tout, nous sommes convaincus que la mission de l’authentification dans les paiements, c’est de faire en sorte que les paiements soient simples, pratiques et flexibles pour le consommateur. Ceci, en garantissant la sécurité et la conformité pour les marchands.
On est toutefois en droit de se demander si l’authentification dans les paiements, tel qu’elle est appréhendée aujourd’hui, mènera à ce futur. Pour être fixés, nous proposons ci-dessous, un tour d’horizon des trois grandes tendances en matière d’authentification : la délégation, le chiffrement et la biométrie.
Il n’y a pas de doute que les dernières années ont marqué un tournant vers une industrie des paiements plus sûre.
En Europe par exemple, la Directive sur les Services de Paiement (PSD2) a resserré les mailles de l’authentification dans les paiements. Elle impose à tous les marchands qui opèrent au Royaume-Uni, en Union Européenne et dans l’Espace Économique Européen, ou qui acceptent des paiements en provenance de ces territoires, d’adopter les protocoles d’Authentification Forte (SCA).
Sans surprise, ces réglementations européennes ont déjà commencé à être copiées et adoptées par d’autres pays. Notamment l’Inde, le Bangladesh, Singapour, la Malaisie, le Nigeria et l’Afrique du Sud. Chacun de ces pays proposant sa version de l’Authentification Forte après son introduction en Europe. Et on peut s’attendre à ce que cette tendance à l’émulation continue.
Bien que ces mesures soient importantes et visent à créer un environnement des affaires plus sûr, elles imposent aux marchands d’adopter des mesures comme la double authentification (2FA) pour les transactions. Ce qui a pour conséquence d’introduire plus de friction dans le processus d’achat et de dégrader l’expérience utilisateur lors des paiements.
C’est pour faire face à cette situation que l’authentification déléguée a gagné en popularité.
L’authentification déléguée suppose qu’une tierce partie appelée fournisseur d’identité ou IdP (identity provider), s’occupe du processus d’authentification pour vous. Cette tierce partie pourrait être un fournisseur de portefeuille numérique, un acquéreur ou même dans certains cas, le marchand.
En vérifiant les identifiants de connexion à travers la connexion et la vérification de leur identité sur différents systèmes, l’IdP peut mettre en place des mécaniques d’authentification unique (SSO). Et ce faisant, permet aux détenteurs de cartes d’accéder à divers systèmes avec une seule identité numérique.
Résultat des courses : moins d’abandons de paniers, un meilleur taux d’approbation, et par conséquent, de meilleurs taux de conversion. À ceci s’ajoute un processus d’achat simplifié pour vos clients. Et pour le marchand, ceci a le mérite de conférer une meilleure maîtrise du processus de transaction, et une charge administrative réduite.
De plus, l’authentification déléguée participe à la sécurisation de vos transactions. En effet, ceci garantit la conformité vis-à-vis d’exigences toujours changeantes et témoigne de votre engagement pour la protection des données des détenteurs de cartes à chaque transaction.
L’authentification avec chiffrement est l’une des formes d’authentification qui gagne en popularité dans un contexte où la recherche de transactions plus fluide se poursuit.
Le chiffrement est aujourd’hui employé dans presque tous les aspects de l’activité numérique. Qu’il s’agisse des applications de messagerie comme WhatsApp, ou des VPNs qui développent des réseaux privés pour dissimuler la teneur de leurs activités sur internet. Ce caractère « secret » du chiffrement en fait aussi une technologie propice à l’univers des paiements.
En termes simples, l’authentification par chiffrement (aussi appelée authentification par clé) permet à une organisation d’utiliser le chiffrement comme source de vérité pour s’assurer que les informations fournies par les utilisateurs pendant les processus de paiement et de vérification sont exactes. C’est une technologie qui est déjà employée par les gouvernements, les institutions financières et diverses entreprises.
Tout l’intérêt du chiffrement par authentification c’est qu’il permet de régler le problème au cœur des méthodes d’authentification fondées sur le risque. Bien que les algorithmes d’apprentissage automatique qui supportent l’authentification fondée sur le risque soient particulièrement précises et efficaces pour reconnaître les tendances dans les données existantes, elles ont besoin de données de bases qui soient déjà suffisamment précises pour accomplir leur mission.
Avec des méthodes de cybercriminalité telles que la fraude à l’identité artificielle. Avec cette méthode, les acteurs malicieux consolident une identité avec des informations authentiques comme le numéro de sécurité sociale, et des informations factices pour créer un hybride. Ce modus operandi gagne en popularité et permet plus facilement aux pirates informatiques de manipuler les données dont les algorithmes fondés sur le risque dépendent.
Ce que l’authentification avec chiffrement accomplit, c’est de s’assurer que les systèmes d’apprentissage automatique ne reçoivent que des informations liées aux utilisateurs authentiques, et non pas en provenance de fraudeurs.
L’authentification avec chiffrement nécessite que le consommateur s’identifie sur la base de plusieurs facteurs (notamment la connaissance, l’inhérence et la possession), en l’obligeant à se connecter par le biais d’une clé de chiffrement connue pendant le processus de transaction. Cette clé de chiffrement peut être un numéro de téléphone, par exemple.
Pour les marchands, l’authentification par chiffrement peut contribuer à réduire le taux de fraude et accroître les revenus. Sans oublier de préciser que c’est la garantie d’un processus de paiement plus fluide, aisé et sûr pour les consommateurs. On peut s’attendre à ce que ce type d’authentification soit de plus en plus adopté dans un contexte où les fraudeurs et leurs techniques deviennent plus astucieux.
Parmi les autres méthodes d’authentification dans les paiements, la confirmation de paiement sécurisé (Secure Payment Confirmation : SPC) mérite le détour.
SPC est une fonctionnalité incluse dans les navigateurs qui a été lancée par le World Wide Web Consortium (W3) en Juin 2023. Les navigateurs qui supportent actuellement cette fonctionnalité sont Chrome et Edge pour les systèmes macOS, Windows et Android.
Développé au bout de quatre ans, c’est un standard qui se fonde sur l’authentification avec chiffrement et les données biométriques afin que les marchands, prestataires de services de paiement, réseaux de cartes et banques puissent satisfaire les exigences de l’authentification forte (SCA) et de la DSP-2. Ceci, tout en minimisant la friction et en maximisant la sécurité dans le processus de paiement. Cette norme supporte aussi la 3D Secure 2 dans sa toute dernière version.
Le SPC n’en est encore qu’à l’étape du déploiement via des projets pilotes afin de garantir la normalisation par le biais du W3. Ceci dit, les premiers résultats sont très encourageants. Les données issues d’un des projets pilotes démontrent que l’authentification SPC a conduit à une amélioration du taux de conversion de 8% par-rapport aux codes à usage unique. Et surtout, avec SPC, le processus d’achat était jusqu’à trois fois plus rapide.
Des tests plus poussés seront conduits dans un futur proche. Mais jusque-là, tout semble indiquer que la SPC deviendra un pilier pour le futur de l’authentification dans les paiements.
Au même titre que le chiffrement, la biométrie s’est progressivement imposée au monde de la cybersécurité. Qu’il s’agisse des empreintes digitales, de la reconnaissance vocale ou faciale, ces données biométriques sont déjà utilisées comme alternatives aux mots de passe par les banques et les entreprises qui souhaitent authentifier leurs utilisateurs. C’est déjà monnaie courante sur les applications, les sites web et les portails sécurisés.
De même, dans leurs opérations courantes, les entreprises utilisent ces mêmes technologies pour gérer l’accès à des emplacements physiques sensibles. Mais aussi pour opérer un suivi méticuleux des employés, de leur temps et de leur assiduité. Sans oublier de préciser que les agences gouvernementales en ont fait leur standard depuis longtemps, pour tout ce qui se rapporte à l’immigration et à la mobilité transfrontalière des personnes.
Cette utilisation presque universelle des données biométriques nous invite donc à envisager dans quelle mesure elles pourraient devenir un élément majeur dans le futur de l’authentification dans les paiements.
Au premier abord, on peut répondre que ce sera le cas. Pour preuve, les portefeuilles numériques de géants de web comme Google et Apple font déjà usage de la reconnaissance faciale et des empreintes digitales pour l’authentification dans les paiements. Et jusque-là, cette implémentation particulière n’a rencontré aucun obstacle.
Pour les marchands, l’authentification par le biais des données biométriques est relativement simple à implémenter. Après tout, dans le contexte d’un achat standard par le consommateur, le marchand n’aura pas besoin d’investir dans les équipements spécialisés coûteux qui sont employés dans les aéroports et autres points d’entrée d’un pays. Il n’y a donc pas de raison de ne pas envisager les données biométriques comme solution d’authentification aisée et peu onéreuse.
Mais, encore faut-il savoir ce que les consommateurs en pensent.
En savoir plus: La vérification KYC
L’acception de la biométrie par les consommateurs correspond avec une prise de conscience grandissante de la fragilité de leurs données sur internet. La fréquence alarmante des violations de données a participé à une meilleure compréhension et maîtrise des informations qui sont communiquées aux entreprises. Après tout, rien qu’en 2023, ce sont plus de 364 millions de personnes qui ont été touchées par des violations de données.
Dans ce contexte, les données biométriques s’érigent en choix populaire. Mais qu’est-ce qui alimente vraiment cette adoption rapide ?
D’abord, il faut préciser que près de la moitié (49%) des violations de données concernent des données volées. Par nature, les données biométriques sont plus difficiles à voler que les données physiques comme des codes PIN, des mots de passe, des identifiants ou des adresses email. De fait, elles garantissent systématiquement un degré de sécurité plus élevé. D’après une étude de MasterCard, deux tiers des consommateurs sont d’avis que les données biométriques sont plus sûres que les formes d’authentification basées sur les PIN ou mots de passe.
Ensuite, l’authentification par les données biométriques favorise les processus d’achat sans contact, à distance et sécurisés. Ce qui contribue à accélérer l’adoption des paiements sans contact dans le contexte commercial. C’est d’autant plus important dans un contexte post-pandémie qui a vu les consommateurs s’éloigner des formes d’interaction basées sur le contact.
Enfin, la biométrie est déjà largement adoptée dans des contextes qui ne sont pas nécessairement liés aux paiements. Ceci a pour effet de rendre la transition plus naturelle avec des consommateurs qui n'hésitent pas à demander ce type d’authentification pour confirmer ou vérifier des paiements. Sans mentionner que lorsqu’elles sont bien employées, les données biométriques rendent les paiements plus rapides, pratiques et efficaces pour les consommateurs autant que pour les marchands.
Mais alors, qu’est-ce qui pose problème ?
Le paradoxe de l’authentification par le biais des données biométriques tient à son caractère intrinsèque. Bien que sa force se trouve dans sa capacité à sécuriser les données des utilisateurs de manière robuste, c’est aussi l’un de ses principaux inconvénients.
Comme pour toute nouvelle technologie, la confiance doit être méritée. L’étude de MasterCard évoquée plus tôt souligne également que 71% des consommateurs sont méfiants vis-à-vis des parties qui pourraient avoir accès à leurs données biométriques.
Une autre étude d’Ipsos a relevé que trois quarts (74%) des adultes aux États-Unis étaient réticents à l’idée que leurs données biométriques soient stockées par un annonceur. Tandis que seulement la moitié était d’avis que la reconnaissance faciale était une technologie à utiliser dans le cadre de la sécurité.
On en déduit donc que les consommateurs n’ont pas nécessairement de problèmes vis-à-vis de la biométrie. C’est plutôt l’utilisation qui est faite de leurs données en ligne qui pose problème. Une inquiétude tout à fait légitime, lorsqu’on a conscience des efforts investis dans le minage de données pour construire des profils qui sont ensuite revendus à prix d’or.
Les inquiétudes des consommateurs sont aussi présentes au niveau des instances réglementaires. Beaucoup d’entre elles estiment d’ailleurs que les garde-fous actuels ne sont pas suffisants. Lesquels garde-fous proposent un degré de protection variable d’un pays à l’autre.
En France par exemple, la CNIL a élaboré une doctrine qui encadre les systèmes d’authentification biométrique et l’utilisation qui est faite des données des particuliers depuis 2018. Il en va de même de l’Autorité de protection des données qui a émis ses recommandations en 2021. Au niveau Européen cependant, seuls des avis, consultations préliminaires et opinions portant sur la question ont été publiés. Aucune législation en vigueur ne gouverne la gestion des données biométriques de manière uniforme dans l’Union Européenne à cette date.
Il va sans dire qu’une législation harmonisée au niveau européen élèverait certainement la confiance des consommateurs vis-à-vis des paiements authentifiés par le biais des données biométriques. Mais il est aussi évident qu’une plus grande transparence des entreprises est nécessaire afin de mieux comprendre leurs politiques internes en matière de collecte et d’utilisation des données biométriques.
Si ces conditions venaient à être réunies, il ne fait aucun doute que la technologie biométrique jouera un rôle central comme solution dans le futur pour l’authentification dans les paiements.
Les innovations dans le domaine de l’authentification des paiements ne cessent de se succéder. Pour les marchands, ceci pose la problématique de l’équilibre à trouver entre expérience d’achat et sécurité des transactions. Autrement dit, proposer un processus de paiement aussi rapide et fluide que possible tout en restant conforme aux exigences évolutives auxquelles les marchands doivent se plier.
À ceci s’ajoute le paradoxe entre les habitudes quotidiennes des clients et leurs priorités en matière de sécurité. D’une part, les clients souhaitent avoir des méthodes d’authentification dans les paiements innovantes comme la biométrie compte tenu de leur adoption dans le contexte des paiements sans contact. D’autre part, ces mêmes clients sont tout aussi réticents vis-à-vis de ces technologies en raison des inquiétudes relatives à la protection des données.
Ces inquiétudes sont exacerbées par les politiques de minage des donnes de géants comme Google, Facebook, Amazon et Apple. Sans oublier les peurs légitimes que les données stockées auprès des entreprises ne soient pas nécessairement à l’abri du piratage informatique.
Malgré eux, les marchands se retrouvent au cœur de cette problématique. Il vous appartient donc d’adopter des mesures d’authentification dans les paiements sécurisés pour rassurer les consommateurs. Vous avez la responsabilité d’être à la pointe des technologies en matière d’authentification. Mais aussi, développer la confiance en permettant aux clients de payer par les moyens qui leur conviennent le mieux, quels qu’ils soient.
Pour y arriver, il vous faut un partenaire.
Vous souhaitez que votre entreprise soit tournée vers l’avenir et qu’elle s’adapte au futur de l’authentification dans les paiements ? Checkout.com peut vous aider.
Notre solution d’authentification appuyée par l’apprentissage automatique et l’intelligence artificielle, vous apporte une large gamme d’optimisations en matière d’authentification. Y compris la logique de nouvelle tentative intelligente, les versions de protocole, et l’enrichissement des données. Les options hébergées et non hébergées vous permettent de trouver le bon équilibre entre conformité et personnalisation, tout en tirant profit des exemptions au SCA pour une expérience d’authentification aussi fluide que possible.
Avec nous, vous pouvez optimiser pour répondre aux exigences de toutes les versions de la 3D Secure (y compris la toute dernière version, 2.3), identifier rapidement et agir selon les évolutions du paysage réglementaire. Avec des millions de points de données, nous vous aidons à améliorer vos taux d’acceptation et votre capacité à authentifier en utilisant les identifiants préférés (PAN, jetons ou jetons de réseau). Vous aurez tout ce dont vous avez besoin pour élaborer une stratégie de paiement qui fonctionne maintenant et dans le futur.
Vous souhaitez en savoir plus ? Contactez l’équipe de Checkout.com experte dans l’authentification des paiements dès maintenant pour en savoir plus sur les solutions d’authentification dont votre entreprise peut bénéficier.
.jpg)
.jpg)
