E-paiements : entre innovation et sécurité

Dossier : La confiance électroniqueMagazine N°582 Février 2003
Par Michel PÉBEREAU (61)

La sécurité des moyens de paiement : un enjeu majeur pour les banques

La sécurité des moyens de paiement : un enjeu majeur pour les banques

Sécuriser les moyens de paiement qu'il met à la disposition de ses clients est une obligation pour chaque établissement financier. Dans ce domaine, les banques françaises ont déjà prouvé leur capacité d'innovation. Ainsi, alors que leurs homologues étrangères persistaient à utiliser la carte bancaire magnétique, elles investissaient dans le développement de la carte bancaire à puce. Choix qui s'avère a posteriori être le bon, comme le démontrent le faible niveau de taux de fraude et la reconnaissance, au niveau international, de la performance de ce moyen de paiement. En dix ans, le nombre de cartes à puce en circulation en France a plus que doublé pour atteindre aujourd'hui 43,3 millions ; elles génèrent actuellement 15 millions de paiements et 19 millions de transactions par jour.

Alors que la carte est devenue le moyen de paiement préféré des Français (68 %) dans les transactions de proximité, son utilisation sur Internet reste problématique. Pour les opérations de proximité, l'identification du client passe par l'intermédiaire de la puce, grâce à la frappe du code ; sur Internet, le paiement est matérialisé par un transfert de numéro de carte et non par un transfert électronique à proprement parler. De fait, nombreux sont encore les internautes qui répugnent à divulguer ce numéro de carte bancaire sur Internet. Leur sentiment d'insécurité, bien naturel, est renforcé par la médiatisation des risques de fraude électronique. Pour autant, en l'absence de solution alternative reconnue, le e-paiement par carte bancaire reste majoritaire.

Une offre disparate et de nouveaux intervenants

Aujourd'hui, la difficulté majeure est moins de trouver des solutions de paiement sécurisées que de disposer d'un standard international, ou à tout le moins européen, offrant un niveau de sécurité élevé, compatible techniquement, simple d'utilisation, évolutif et intéressant sur le plan commercial. Cette perle rare reste à trouver : on recense plus de 150 solutions différentes au seul niveau européen !

Chacune d'elles apporte des éléments de réponse à la problématique sécuritaire des banques, des professionnels et des acheteurs internautes. Mais ces solutions s'appuient sur des supports disparates – solutions matérielles, logicielles, alternatives – et ne réunissent pas les conditions d'interopérabilité nécessaires à leur déploiement à grande échelle.

Les mobiles dotés d'une puce ou les boîtiers électroniques sont des exemples de solutions matérielles. Le renforcement de la sécurité de la puce de la carte bancaire est l'une des pistes naturellement envisagées par de nombreuses banques pour ce type de solution. Et ce d'autant plus que la norme internationale EMV va progressivement remplacer la norme française B0', apportant de nouvelles fonctionnalités et des services supplémentaires aux cartes à puce. Déjà utilisée par les opérateurs dans le cadre du commerce par téléphone mobile, elle offre des capacités d'identification et de sécurisation dont ne disposent pas encore les autres supports envisagés.

Parmi les solutions logicielles, on trouve la carte bancaire virtuelle (telle que la e-carte bleue), le paiement par e-mail ou par mobile (envoi de SMS : short message service). Quant aux solutions alternatives, elles ne nécessitent pas d'intermédiaire. Elles reposent sur le principe de la surfacturation par les opérateurs télécom ou les fournisseurs d'accès Internet.

Ce foisonnement de l'offre est révélateur à la fois de la jeunesse du marché, mais aussi de son formidable potentiel de développement. Le foisonnement des solutions résulte notamment du développement du commerce par téléphone mobile ou m-business, sur lequel misent fortement les opérateurs télécom. D'ailleurs, chaque acteur du commerce électronique essaie de se positionner en tant que fournisseur de paiement (PSP : Payment Service Provider). Les moyens de paiement électroniques ne sont plus l'apanage des banques : ils peuvent tout aussi bien être fournis par un opérateur télécom ou un fournisseur d'accès à Internet.

Rétablir un environnement de confiance

Dans ce contexte, les banques ont plusieurs cartes à jouer : utiliser l'expérience qu'elles ont accumulée en matière de sécurité pour leurs propres réseaux en proposant à leurs clients d'effectuer leurs échanges sur des réseaux sécurisés ; faire valoir leur "capital confiance" auprès de leurs clients par le biais de la certification ; affirmer leur légitimité en matière de moyens de paiement et nouer des alliances en vue de proposer des solutions communes.

La sécurité du réseau d'échanges est tout aussi importante que celle des moyens de paiement et participe également de la création d'un espace de confiance. Or Internet est un réseau ouvert, où les intrusions malveillantes sont possibles. Pour pallier cet inconvénient, les banques mettent à la disposition de leurs clients un réseau sécurisé, multibancaire et international : SWIFTNet. BNP Paribas a été la première banque française à proposer ce service à ses clients entreprises, qui utilisaient déjà le format SWIFT (assurant l'intégrité du message) dans le cadre de leurs échanges avec les banques.

Les certificats permettent d'établir un environnement de confiance dans les échanges on-line, en garantissant une authentification forte, générant ainsi une signature électronique, équivalente de la signature manuscrite. Les premières applications concrètes des certificats concernent les téléprocédures administratives.

Depuis mai 2001, le Minéfi, avec TéléTV@, oblige les entreprises réalisant un chiffre d'affaires supérieur à 15 millions d'euros à télédéclarer et télépayer leur TVA via Internet, en sécurisant et signant leur envoi avec un certificat électronique. BNP Paribas a reçu l'agrément nécessaire pour devenir autorité de certification ; ses certificats Net-Identity, délivrés sous deux formes – logiciel ou Indenti-C@rd sur carte à puce -, sont acceptés dans TéléTV@ et dans les premières téléprocédures Urssaf depuis juin 2002. Leur utilisation tant par les entreprises que par les particuliers devrait se développer rapidement au cours des prochaines années, en relation avec l'augmentation du nombre de téléprocédures (télédéclaration de l'IRPP).

Vers une standardisation des paiements électroniques ?

La confiance électronique passe nécessairement par la définition d'un nombre limité de moyens de paiement électronique sécurisés, utilisables par le plus grand nombre et en utilisant un maximum de réseaux. Nouer des alliances apparaît dès lors nécessaire : chaque intervenant met son savoir-faire spécifique au service des autres pour assurer l'interopérabilité du moyen de paiement développé.

L'opérateur télécom et le fournisseur d'accès Internet disposent d'une force de frappe importante, compte tenu de leur base de clientèle très large et de leur forte puissance marketing.

De leur côté les constructeurs (ordinateurs, téléphones mobiles, télévisions, PDA…) sont en mesure d'apporter leur expertise sur le plan technique.

Enfin, les banques disposent d'une légitimité indéniable en matière de moyens de paiement. La solution idéale serait le fruit de l'association de l'ensemble de ces intervenants. Une telle association aurait en outre l'avantage d'être intéressante pour chacun sur le plan financier, grâce à la mutualisation des investissements.

Dans le cadre de la rationalisation de l'offre, les alliances apparaissent inévitables pour deux raisons essentielles : elles donnent le moyen de demeurer un acteur du commerce électronique, marché à peine éclos. En outre, imposer une solution et engager des investissements colossaux avec le risque de se voir refuser cette solution par les autres intervenants n'est pas envisageable. Le développement de solutions futures nécessite a minima une concertation entre ces différents acteurs.

Il ne faut pas oublier qu'aujourd'hui encore plus de la moitié des paiements sont effectués en espèces. Les paiements par carte bleue n'en représentent que 20 %, dont 2 % concernent les paiements à distance. Une proportion qui laisse de belles perspectives de développement au paiement électronique.

Poster un commentaire