Voilà qui est original : à quelques jours d'intervalle, deux banques annoncent une même première mondiale ! Getin Bank et BPCE vont prochainement expérimenter – en Pologne et en France, respectivement – une nouvelle carte de paiement, dont le code de sécurité devient dynamique, afin de lutter plus efficacement contre la fraude.
Alors que leurs initiatives sont totalement indépendantes, l'une (la vraie première) collaborant avec MasterCard tandis que l'autre porte sur des cartes Visa, à travers un partenariat avec Oberthur Technologies, la solution technique mise en oeuvre semble rigoureusement identique. Au dos de la carte, en lieu et place du cryptogramme imprimé, désormais utilisé presque systématiquement pour confirmer les achats sur le web, un micro-écran (de type « e-paper ») affiche un code dont la valeur change régulièrement (toutes les heures chez Getin Bank).
Avantage déterminant, lors d'une transaction en ligne, la sécurité est automatiquement renforcée, sans que rien ne change pour l'utilisateur final ni pour le marchand. Le code dynamique est simplement saisi – sans trop tarder ! – dans le champ prévu habituellement pour son équivalent statique et ce n'est que la procédure de contrôle qui opère différemment. Avec un peu de chance, son utilisation permettra d'éviter de passer par l'insupportable étape de vérification 3DSecure – alors devenue redondante – rendant ainsi l'expérience client sensiblement plus simple.
Avec cette approche, il est impossible pour un cybercriminel de collecter toutes les informations nécessaires au clonage des cartes, que ce soit par l'intermédiaire d'un employé indélicat dans une boutique ou à travers une faille de sécurité, voire un logiciel espion. De plus, dans la mesure où l'algorithme de génération de code est bien conçu, le système peut apparaître quasiment inviolable. Le progrès est notable, dans un contexte de croissance inquiétante de la fraude sur les paiements en ligne.
Alors que leurs initiatives sont totalement indépendantes, l'une (la vraie première) collaborant avec MasterCard tandis que l'autre porte sur des cartes Visa, à travers un partenariat avec Oberthur Technologies, la solution technique mise en oeuvre semble rigoureusement identique. Au dos de la carte, en lieu et place du cryptogramme imprimé, désormais utilisé presque systématiquement pour confirmer les achats sur le web, un micro-écran (de type « e-paper ») affiche un code dont la valeur change régulièrement (toutes les heures chez Getin Bank).
Avantage déterminant, lors d'une transaction en ligne, la sécurité est automatiquement renforcée, sans que rien ne change pour l'utilisateur final ni pour le marchand. Le code dynamique est simplement saisi – sans trop tarder ! – dans le champ prévu habituellement pour son équivalent statique et ce n'est que la procédure de contrôle qui opère différemment. Avec un peu de chance, son utilisation permettra d'éviter de passer par l'insupportable étape de vérification 3DSecure – alors devenue redondante – rendant ainsi l'expérience client sensiblement plus simple.
Avec cette approche, il est impossible pour un cybercriminel de collecter toutes les informations nécessaires au clonage des cartes, que ce soit par l'intermédiaire d'un employé indélicat dans une boutique ou à travers une faille de sécurité, voire un logiciel espion. De plus, dans la mesure où l'algorithme de génération de code est bien conçu, le système peut apparaître quasiment inviolable. Le progrès est notable, dans un contexte de croissance inquiétante de la fraude sur les paiements en ligne.
Pourtant, le concept n'est pas sans défauts. Ou, plus exactement, sans fragilités. Je pense d'abord à la carte elle-même, dont on peut s'interroger sur la robustesse de son écran, en imaginant les contraintes, parfois extrêmes, qu'il va subir pendant les 3 ans de sa durée de vie moyenne. Je crains que ce ne soit une des principales raisons pour lesquelles les précédentes expérimentations autour des cartes interactives (et elles ont été particulièrement nombreuses, depuis plusieurs années, de Dynamics à Plastc) ont toutes échoué, à des degrés divers.
Le risque de dommage physique n'est pas le seul à prendre en compte : nul ne peut écarter entièrement l'hypothèse d'un défaut logiciel, qui, par exemple, conduirait à perdre la synchronisation du code (car il faut que les serveurs de contrôle possèdent la même information que la carte, sous une forme ou une autre, afin de permettre la validation). Outre le danger de mécontenter profondément les clients, ce sont là des coûts de support à prendre en compte dans l'équation économique du dispositif, qui viennent s'ajouter au frais de fabrication et d'activation, plus élevés qu'à l'ordinaire.
Enfin, surtout, l'acharnement à faire de la bonne vieille carte en plastique – conçue à une époque où toutes les transactions étaient réalisées en face à face – un moyen de paiement adapté aux réseaux mondiaux d'aujourd'hui devrait enfin laisser la place à une autre vision. En la matière, la stratégie de BPCE peut surprendre, puisque le groupe a aussi lancé – il n'y a pas si longtemps – le porte-monnaie virtuel V.me de Visa, qui, s'il est loin d'être parfait, constitue au moins un pas dans la bonne direction.
Heureusement, il ne s'agit pour l'instant que d'expérimentations !
Le risque de dommage physique n'est pas le seul à prendre en compte : nul ne peut écarter entièrement l'hypothèse d'un défaut logiciel, qui, par exemple, conduirait à perdre la synchronisation du code (car il faut que les serveurs de contrôle possèdent la même information que la carte, sous une forme ou une autre, afin de permettre la validation). Outre le danger de mécontenter profondément les clients, ce sont là des coûts de support à prendre en compte dans l'équation économique du dispositif, qui viennent s'ajouter au frais de fabrication et d'activation, plus élevés qu'à l'ordinaire.
Enfin, surtout, l'acharnement à faire de la bonne vieille carte en plastique – conçue à une époque où toutes les transactions étaient réalisées en face à face – un moyen de paiement adapté aux réseaux mondiaux d'aujourd'hui devrait enfin laisser la place à une autre vision. En la matière, la stratégie de BPCE peut surprendre, puisque le groupe a aussi lancé – il n'y a pas si longtemps – le porte-monnaie virtuel V.me de Visa, qui, s'il est loin d'être parfait, constitue au moins un pas dans la bonne direction.
Heureusement, il ne s'agit pour l'instant que d'expérimentations !
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)