Entre les codes de validation à usage unique transmis par SMS – dépendants des aléas de réception et désormais considérés peu sûrs –, les confirmations via une application mobile – au fonctionnement souvent alambiqué – et les méthodes de repli bancales pour les personnes ne possédant pas de téléphone, les mécanismes de vérification de l'identité de l'auteur d'une transaction, régulièrement mis en échec et toujours générateurs de délais et autres frustrations, débouchent sur de nombreux abandons de panier et des pertes significatives de chiffre d'affaires pour les e-commerçants.
Pourtant, depuis plusieurs années, un standard officiel du web, baptisé WebAuthn (pour Web Authentication), propose une alternative beaucoup plus fluide et nettement moins sujette aux erreurs. Il s'agit tout simplement d'exploiter les composants biométriques présents sur la plupart des ordinateurs et des smartphones du marché : après un enrôlement initial (comme pour les autres options), le consommateur approuve le paiement par la lecture de son empreinte digitale ou par reconnaissance faciale.
Naturellement, les porte-monnaie mobiles (Apple Pay, Google Pay et consorts), nativement conçus pour cette fonction, recourent déjà à une telle approche. Bien que réservée aux matériels équipés de la technologie requise et envisageable uniquement sur un matériel spécifiquement assigné au payeur, quand les conditions sont réunies (ce qui est fréquemment le cas, de nos jours) elle représente un excellent moyen d'améliorer l'expérience client tout en conservant un niveau de sécurité optimal.
Voilà donc le système que déploie maintenant American Express au sein de SafeKey, sa déclinaison de la norme 3-D Secure, devenant de la sorte le premier émetteur de carte à se lancer dans l'aventure. Il sera d'abord testé auprès d'un échantillon de porteurs sélectionnés pour une phase pilote de quelques mois, avant une généralisation planifiée pour l'instant vers le début de 2024. Malheureusement, l'annonce concerne uniquement les États-Unis, mais espérons une extension rapide au reste du monde.
Complémentaire des méthodes en vigueur, qui n'ont évidemment pas vocation à disparaître à court terme, la nouvelle venue bénéficiera en outre d'une procédure d'inscription particulièrement bien conçue : à l'occasion d'une validation classique, l'utilisateur se verra proposer d'adopter la version biométrique, activée en un tournemain puisqu'elle peut capitaliser sur l'authentification forte en cours. Les paiements ultérieurs seront alors finalisés par une pression du doigt ou un sourire à la caméra.
Quand on connaît les rancœurs des marchands vis-à-vis des procédures 3-D Secure, accusées de leur faire manquer jusqu'à 30% de leurs ventes, on imaginerait que les institutions financières, qui font face à leur colère… et à la baisse correspondante du nombre de transactions, s'empresseraient d'explorer toutes les possibilités d'en éliminer au maximum les complications. Pourquoi une solution biométrique qui semble parfaitement répondre aux enjeux n'est-elle pas universellement mise en œuvre ?