CIBA : un Nouveau pas vers la Simplification
des Paiements Sécurisés sur Internet
Aujourd’hui plus que jamais, les consommateurs exigent la meilleure expérience possible lorsqu’ils interagissent avec une entreprise, en particulier lorsque ces échanges ont lieu dans le monde digital. Ces attentes sont exacerbées dans le cas de transactions de paiement, qui requièrent des processus d’authentification et d’autorisation, que ce soit dans le cadre d’activités bancaires ou d’achats e-commerce, sur ordinateur ou sur mobile.
Les consommateurs exigent que ces processus soient les plus fluides possible, mais aussi que leurs données financières personnelles soient efficacement protégées et ne puissent être partagées avec des tiers non autorisés.
C’est pour répondre à cette exigence croissante que la fondation OpenID, à l’origine du standard d’authentification OpenID Connect, a conçu une extension de ce standard baptisée CIBA (Client Initiated BackChannel Authentication). A l’instar d’OpenID Connect, CIBA est un processus d’authentification qui gouverne à la fois la manière d’authentifier des utilisateurs et d’autoriser des paiements. Mais à la différence d’OpenID, CIBA n’exige plus la redirection de l’utilisateur sur le site web d’authentification de sa banque pour prouver son identité et approuver les transactions de paiement, supprimant ainsi cette étape pour une meilleure expérience utilisateur.
Au lieu de cela, pour valider l’autorisation de paiement, l’utilisateur reçoit par exemple une notification en ‘push’ envoyée vers l’application mobile de la banque installée sur son téléphone, ce qui lui permet d’éviter les redirections sur les navigateurs web, peu pratiques spécialement lors des achats sur mobile.
Le scénario ci-dessous illustre la mise en œuvre d’une authentification CIBA:
- Un consommateur visite un site e-commerce et lance un processus d’achat.
- Le consommateur choisit de payer son achat avec sa carte bancaire. Mais au lieu d’être redirigé vers le site de sa banque pour être authentifié dans le tunnel d’achat, il reste sur le site e-commerce.
- Quelques instants plus tard, le consommateur voit apparaître sur son smartphone une notification provenant de l’application mobile de sa banque.
- Il ouvre l’application, s’identifie si besoin, et découvre les détails de l’achat qu’il souhaite réaliser.
- Il approuve l’achat, s’il le souhaite, par le biais de l’application mobile de sa banque. Une étape biométrique peut être mise en place.
- Le consommateur constate sur le site e-commerce que l’achat a été réalisé, le tout sans avoir été redirigé sur un autre site tout au long du processus.
CIBA et la directive DPS2
En plus d’améliorer l’expérience utilisateur en permettant aux consommateurs de donner leur consentement par le biais d’un échange « offline », CIBA permet également aux établissements financiers comme aux sites marchands d’accélérer leur mise en conformité avec la nouvelle directive européenne DPS2. En déployant une solution d’authentification CIBA, ils peuvent d’ores et déjà se conformer à son volet d’authentification forte ou SCA (Strong Customer Authentication).