Premières recommandations sur la sécurité du m-paiement
La BCE a soumis à consultation ses normes de sécurité des paiements mobiles.
Publiés le 15 novembre, ces 14 points ont été élaborés à partir d’un rapport du Forum « SecuRePay » (Security of Retail Payments) de la BCE. Ils couvrent tous les achats réglés par téléphone mobile, tant en proximité sans contact qu’à distance (via les applications mobiles ou les méthodes des opérateurs télécom). Les paiements via navigateur mobile sont hors champ, car assimilés à l’Internet mobile et soumis aux recommandations de la BCE sur le paiement par Internet, parues début 2013.
L’authentification du payeur doit être forte, c’est-à-dire s’effectuer au moins par deux moyens. En effet, les risques liés aux transactions mobiles sont estimés moins connus du grand public.
Parmi les principales exigences, un contrôle anti-fraude approfondi des transactions en temps réel, des pistes d’audit sur le stockage des opérations, un plafond par utilisateur pour les erreurs d’identification et une protection fiable des données.
La BCE attend des opinions sur le régime des paiements par SMS et assimilés, ainsi que sur l’utilité d’exceptions pour les paiements peu risqués, tels que ceux de faibles montants ou au sein du même établissement financier (on-us). Ces exceptions seraient cohérentes avec le régime du paiement par Internet classique, mais pas avec celui du paiement de proximité, qui n’en prévoit pas pour l’instant.
La consultation s’achève fin janvier ; les règles définitives deviendront obligatoires en février 2017.
Une approche découplée et donc complexe de la sécuritéSources : Communiqué de presse de la BCE
Le champ étroit qui définit le paiement mobile risque de déboucher sur des incohérences dans le parcours d’authentification des clients, selon que l’on paie par Internet mobile ou par application mobile. En outre, il pourrait être difficile de mettre en œuvre deux stratégies de sécurité différentes.
L’enjeu est pourtant légitime. Dans un rapport publié par RSA en octobre dernier, McAfee Labs et le bureau d'étude Aite (Boston) estiment à près de 90 000 les nouvelles menaces logiques apparues sur le mobile en 2013, soit six fois plus que le décompte de 2012. Elles sont attendues à plus de 400 000 en 2014 ; un nouveau quadruplement en 2015 et en 2016 pourrait aboutir à 12 millions en 2017. Ce chiffre est à comparer avec l'ensemble des malwares en ligne, Internet inclus, qui dépasserait les 58 millions fin 2013.