La table ronde sur le thème de l’authentification bancaire et de la sécurité des paiements qui s’est tenue à Paris le 11 juin dernier pour le lancement de la 24ème édition du salon CARTES & IDentification, a relancé le débat entre commerçants et banquiers sur un sujet crucial : comment protéger les transactions de paiement sur Internet sans dérouter les consommateurs et du coup, réduire les ventes ?

Les points de vue des intervenants se sont notamment confrontés à propos d’une mesure prise en France pour lutter contre la fraude à la carte de paiement, à savoir le transfert de responsabilité. Possible en France depuis le 1er octobre 2008, cette mesure a pour objet de faire supporter le risque d'impayé à la banque du porteur de carte et non plus au commerçant, en cas de contestation d’un paiement effectué sur Internet utilisant le protocole 3D Secure.

Le protocole 3D Secure impose au porteur de carte bancaire de s’authentifier au moment de son achat en ligne en tapant un identifiant sollicité par l’ouverture d’une page « pop-up » provoquée par la banque du porteur. Selon une recommandation récente de la Banque de France, cet identifiant ne doit pas être rejouable. En réalité, il l’est encore aujourd’hui dans bien des cas, puisque la majorité des banques a choisi dans un premier temps d’utiliser la date de naissance du porteur de la carte comme identifiant.

« Pendant 10 ans, on nous a dit que nous n’aurions jamais à utiliser un code pour payer sur internet, et voilà que 3D Secure nous l’impose aujourd’hui. Il y a bien là un problème de méthode », a lancé Benoît Tabaka, directeur des affaires juridiques et réglementaires du groupe PriceMinister. Selon M. Tabaka, dont le groupe vend environ 20 000 produits par jour sur Internet, le taux de refus généré par le nouveau dispositif (entre 1 et 10% des ventes) coûte plus cher à l’entreprise que la fraude.

 « Il faut bien évidemment investir dans la sécurité, mais il convient de le faire à bon escient et d’éviter que la chasse aux grands fraudeurs puisse décourager la grande majorité des clients », a insisté Jean-Marc Mosconi, délégué général de Mercatel, dénonçant des experts en sécurité technophiles qui ignorent certaines réalités du commerce. « Il ne faut pas perdre de vue que la sécurité est en perpétuelle évolution et ne pas oublier que les fraudeurs sont de plus en plus organisés et qu’ils font aussi de la R&D », a remarqué de son côté Arnaud Meunier, Risk Manager à la Société Générale.

La banque a prévu de mettre en place un système de mots de passe non rejouables dès le mois de septembre pour son protocole 3D Secure. Son objectif est de répondre à toute une catégorie de commerçants pour qui 3D Secure est une véritable opportunité parce qu’ils n’avaient, jusque-là, pas l’expertise ou les moyens d’adresser les problèmes de fraude.

« La gestion des risques est au cœur de nos préoccupations », a rappelé Roland Entz, directeur général France de Visa Europe, inventeur du protocole 3D Secure, baptisé chez lui « Verified by Visa », et adopté par MasterCard qui l’appelle « Secure Code » .

« Ce protocole, qui n’est pas à proprement parler une technologie, permet aux banques d’offrir aux commerçants les mêmes types de garanties que celles dont ils bénéficient désormais dans le monde physique. Il faut bien sûr que l’ergonomie soit aussi au rendez-vous et c’est un sujet sur lequel nous travaillons », a précisé Roland Entz qui a évoqué également la possibilité de générer des identifiants non rejouables en utilisant des technologies du téléphone mobile (le SMS) ou des cartes (avec calculettes tout-en-un).

Le mobile est en effet devenu ou en passe de devenir à la fois un moyen avec lequel il est possible d’effectuer des paiements (par la génération de mots de passe dynamiques et leur l’envoi par SMS), et un instrument de paiement à part entière grâce à la technologie NFC (pour du paiement de proximité) et à l’accès à l’Internet où le téléphone se comporte alors comme un PC connecté, pour les paiements à distance.

« La généralisation du paiement mobile de proximité va demander encore un peu de temps. Le point d’inflexion devrait avoir lieu autour de 2012-2013 en terme de parc installé », a prédit Laurent Jullien, directeur du paiement mobile et sans contact chez Bouygues Telecom, et vice-président de l’association européenne du paiement mobile (AEPM - Payez-Mobile).

« C’est une véritable révolution qui s’annonce », a t-il précisé en notant que pour la première fois la carte SIM du téléphone, et la sécurité qu’elle sera capable d’offrir, va pouvoir être partagée et ouverte à des tiers : banques, opérateurs de transport, etc.

« En revanche, si les banques ne parviennent pas à proposer une solution pour le paiement, on verra sans doute d’autres acteurs proposer des solutions, avec le risque que celles-ci soient faibles au niveau de la sécurité », a t’il prévenu. Ainsi, sécurité et confort d’utilisation - le seul mariage capable de créer la confiance - devront être au rendez-vous. Laurent Jullien a bien souligné la difficulté à définir des « parcours clients » appropriés à chacune des applications embarquées dans le mobile.

Toutes ces questions ont mis au moins en évidence, à défaut de réponses satisfaisantes pour tout le monde, une certitude : les technologies ont besoin de temps pour s’inscrire dans les usages. “Il y aura un temps pour la pédagogie de la part des banques“, a assuré Arnaud Meunier qui a rappelé à titre d’exemple le temps mis en Grande-Bretagne pour adopter la solution “Chip&PIN“ et celui pour assurer la migration de la carte de paiement vers EMV.

A propos de CARTES & IDentification 2009

Le Salon CARTES & IDentification ouvrira ses portes du 17 au 19 novembre prochain au parc des expositions de Paris-Nord Villepinte. Evénement N°1 mondial de la sécurité numérique et des technologies intelligentes, il réunira l’ensemble des acteurs internationaux du secteur qui présenteront leurs innovations aux 20 000 visiteurs et 1500 congressistes attendus.

Pour cette édition 2009, la Russie sera le pays à l’honneur. Point de départ de l’édition 2009, la conférence de lancement du salon a eu lieu le 11 juin au Pavillon Dauphine.

Pour de plus amples informations