La norme SMS a connu de nombreuses extensions au fil du temps, il est possible d'envoyer des SMS binaires si besoin, mais je pense que les SMS ne sont simplement pas un canal technique intéressant pour les personnes qui devront implèmenter ces solutions car il sera considéré comme obsolète et/ou taxé par rapport au canal de données.
C'est pour ça que je pensais à une méthode standard (== implèmenté par tous les portables compatible 4G , ou 5G) - qui peux utiliser "la data", pas forcèment revenir au GSM.
Mais bon ça résous pas le problème des mobiles actuels.
Je pense que si les banques décident sérieusement de se mettre à utiliser les processeurs TEE et/ou les cartes SIM comme moyens de compléter des paiements en ligne, des normes et une industrie èmergeront très vite (si ce n'est pas déjà en train d'être le cas). Ça existe déjà dans l'industrie des transports (par exemple le post-paiement avec validation par mobiles qui est en train d'être testé/déployé en Île-de-France) et les solutions de type Apple Pay sont déjà un peu ça.
Le problème c'est le silo : Apple Pay marche que sur Apple, ya forcèment un truc aussi sous android (que j'ai pas cherché). Mais je suis bien sur que samsung va tenter le sien, Huawei aussi (ce dernier encore plus vu qu'il est en train de se faire couper le marché US). Déjà sur les magasin d'appli c'est le cas, chacun a le sien.
Et quid d'autres téléphones qui ne sont ni google ni apple ? Si je tourne sous LineageOS , les appli tourneront plus car j'ai l'audace de vouloir être root sur mon propre téléphone ? C'est déjà comme ça avec les appli de streaming légal , nul doute que les banques l'implèmentent aussi à terme.
Je dis ça car , au moins google "interdit" l’utilisation de certaines API (pas seulement applications) sur un téléphone non sanctifié par Google (cad où les appli google sont présentes de base).
Une personne qui fait des paiements par Internet est probablement une personne avec un terminal mobile qui date d'il y a moins de 15 ans (plus probablement de moins de 4 ans), c'est sûrement sur ce cœur de cible que les opérateurs se concentreront pour définir la gamme de terminaux mobiles à supporter.
A la limite, ça me gêne pas, qu'ils visent ce cœur de cible. Le reste ce seront les vieux , les gens qui préfèrent "pousser" leur téléphone plutôt que d'en racheter un tous les 4 ans, les technophobes,...
Le problème c'est bien d'exclure ceux qui ne sont pas dans ce cœur de cible, sans laisser de solution.
Mais sinon, une solution de validation par clé OTP physique est déjà proposée comme alternative par certaines banques pour contourner l'usage du mobile (voir le blog du Hollandais Volant).
Oui, je vois le genre de dispositif. J'ai vu aussi des "calculettes" dans lesquelles ont doit glisser sa carte bancaire, et qui produit un code à rentrer sur le site web.
Pourquoi pas.
On peux aussi imaginer un OTP NB-IOT (ou lora) quand ce sera bien couvert par les opérateurs.
Il faudra aussi bien travailler la sécurisation de cette chaîne de transmission. Been there, done that... :-)