E‑paiements : entre innovation et sécurité

Dossier : La confiance électroniqueMagazine N°582 Février 2003
Par Michel PÉBEREAU (61)

La sécurité des moyens de paiement : un enjeu majeur pour les banques

La sécurité des moyens de paiement : un enjeu majeur pour les banques

Sécuris­er les moyens de paiement qu’il met à la dis­po­si­tion de ses clients est une oblig­a­tion pour chaque étab­lisse­ment financier. Dans ce domaine, les ban­ques français­es ont déjà prou­vé leur capac­ité d’in­no­va­tion. Ain­si, alors que leurs homo­logues étrangères per­sis­taient à utilis­er la carte ban­caire mag­né­tique, elles investis­saient dans le développe­ment de la carte ban­caire à puce. Choix qui s’avère a pos­te­ri­ori être le bon, comme le démon­trent le faible niveau de taux de fraude et la recon­nais­sance, au niveau inter­na­tion­al, de la per­for­mance de ce moyen de paiement. En dix ans, le nom­bre de cartes à puce en cir­cu­la­tion en France a plus que dou­blé pour attein­dre aujour­d’hui 43,3 mil­lions ; elles génèrent actuelle­ment 15 mil­lions de paiements et 19 mil­lions de trans­ac­tions par jour.

Alors que la carte est dev­enue le moyen de paiement préféré des Français (68 %) dans les trans­ac­tions de prox­im­ité, son util­i­sa­tion sur Inter­net reste prob­lé­ma­tique. Pour les opéra­tions de prox­im­ité, l’i­den­ti­fi­ca­tion du client passe par l’in­ter­mé­di­aire de la puce, grâce à la frappe du code ; sur Inter­net, le paiement est matéri­al­isé par un trans­fert de numéro de carte et non par un trans­fert élec­tron­ique à pro­pre­ment par­ler. De fait, nom­breux sont encore les inter­nautes qui répug­nent à divulguer ce numéro de carte ban­caire sur Inter­net. Leur sen­ti­ment d’in­sécu­rité, bien naturel, est ren­for­cé par la médi­ati­sa­tion des risques de fraude élec­tron­ique. Pour autant, en l’ab­sence de solu­tion alter­na­tive recon­nue, le e‑paiement par carte ban­caire reste majoritaire.

Une offre disparate et de nouveaux intervenants

Aujour­d’hui, la dif­fi­culté majeure est moins de trou­ver des solu­tions de paiement sécurisées que de dis­pos­er d’un stan­dard inter­na­tion­al, ou à tout le moins européen, offrant un niveau de sécu­rité élevé, com­pat­i­ble tech­nique­ment, sim­ple d’u­til­i­sa­tion, évo­lu­tif et intéres­sant sur le plan com­mer­cial. Cette per­le rare reste à trou­ver : on recense plus de 150 solu­tions dif­férentes au seul niveau européen !

Cha­cune d’elles apporte des élé­ments de réponse à la prob­lé­ma­tique sécu­ri­taire des ban­ques, des pro­fes­sion­nels et des acheteurs inter­nautes. Mais ces solu­tions s’ap­puient sur des sup­ports dis­parates — solu­tions matérielles, logi­cielles, alter­na­tives — et ne réu­nis­sent pas les con­di­tions d’in­teropéra­bil­ité néces­saires à leur déploiement à grande échelle.

Les mobiles dotés d’une puce ou les boîtiers élec­tron­iques sont des exem­ples de solu­tions matérielles. Le ren­force­ment de la sécu­rité de la puce de la carte ban­caire est l’une des pistes naturelle­ment envis­agées par de nom­breuses ban­ques pour ce type de solu­tion. Et ce d’au­tant plus que la norme inter­na­tionale EMV va pro­gres­sive­ment rem­plac­er la norme française B0’, appor­tant de nou­velles fonc­tion­nal­ités et des ser­vices sup­plé­men­taires aux cartes à puce. Déjà util­isée par les opéra­teurs dans le cadre du com­merce par télé­phone mobile, elle offre des capac­ités d’i­den­ti­fi­ca­tion et de sécuri­sa­tion dont ne dis­posent pas encore les autres sup­ports envisagés.

Par­mi les solu­tions logi­cielles, on trou­ve la carte ban­caire virtuelle (telle que la e‑carte bleue), le paiement par e‑mail ou par mobile (envoi de SMS : short mes­sage ser­vice). Quant aux solu­tions alter­na­tives, elles ne néces­si­tent pas d’in­ter­mé­di­aire. Elles reposent sur le principe de la sur­fac­tura­tion par les opéra­teurs télé­com ou les four­nisseurs d’ac­cès Internet.

Ce foi­son­nement de l’of­fre est révéla­teur à la fois de la jeunesse du marché, mais aus­si de son for­mi­da­ble poten­tiel de développe­ment. Le foi­son­nement des solu­tions résulte notam­ment du développe­ment du com­merce par télé­phone mobile ou m‑business, sur lequel mis­ent forte­ment les opéra­teurs télé­com. D’ailleurs, chaque acteur du com­merce élec­tron­ique essaie de se posi­tion­ner en tant que four­nisseur de paiement (PSP : Pay­ment Ser­vice Provider). Les moyens de paiement élec­tron­iques ne sont plus l’a­panage des ban­ques : ils peu­vent tout aus­si bien être four­nis par un opéra­teur télé­com ou un four­nisseur d’ac­cès à Internet.

Rétablir un environnement de confiance

Dans ce con­texte, les ban­ques ont plusieurs cartes à jouer : utilis­er l’ex­péri­ence qu’elles ont accu­mulée en matière de sécu­rité pour leurs pro­pres réseaux en pro­posant à leurs clients d’ef­fectuer leurs échanges sur des réseaux sécurisés ; faire val­oir leur “cap­i­tal con­fi­ance” auprès de leurs clients par le biais de la cer­ti­fi­ca­tion ; affirmer leur légitim­ité en matière de moyens de paiement et nouer des alliances en vue de pro­pos­er des solu­tions communes.

La sécu­rité du réseau d’échanges est tout aus­si impor­tante que celle des moyens de paiement et par­ticipe égale­ment de la créa­tion d’un espace de con­fi­ance. Or Inter­net est un réseau ouvert, où les intru­sions malveil­lantes sont pos­si­bles. Pour pal­li­er cet incon­vénient, les ban­ques met­tent à la dis­po­si­tion de leurs clients un réseau sécurisé, multi­ban­caire et inter­na­tion­al : SWIFT­Net. BNP Paribas a été la pre­mière banque française à pro­pos­er ce ser­vice à ses clients entre­pris­es, qui util­i­saient déjà le for­mat SWIFT (assur­ant l’in­tégrité du mes­sage) dans le cadre de leurs échanges avec les banques.

Les cer­ti­fi­cats per­me­t­tent d’établir un envi­ron­nement de con­fi­ance dans les échanges on-line, en garan­tis­sant une authen­tifi­ca­tion forte, générant ain­si une sig­na­ture élec­tron­ique, équiv­a­lente de la sig­na­ture man­u­scrite. Les pre­mières appli­ca­tions con­crètes des cer­ti­fi­cats con­cer­nent les téléprocé­dures administratives.

Depuis mai 2001, le Miné­fi, avec TéléTV@, oblige les entre­pris­es réal­isant un chiffre d’af­faires supérieur à 15 mil­lions d’eu­ros à télédé­clar­er et télé­pay­er leur TVA via Inter­net, en sécurisant et sig­nant leur envoi avec un cer­ti­fi­cat élec­tron­ique. BNP Paribas a reçu l’a­gré­ment néces­saire pour devenir autorité de cer­ti­fi­ca­tion ; ses cer­ti­fi­cats Net-Iden­ti­ty, délivrés sous deux formes — logi­ciel ou Indenti‑C@rd sur carte à puce -, sont accep­tés dans TéléTV@ et dans les pre­mières téléprocé­dures Urssaf depuis juin 2002. Leur util­i­sa­tion tant par les entre­pris­es que par les par­ti­c­uliers devrait se dévelop­per rapi­de­ment au cours des prochaines années, en rela­tion avec l’aug­men­ta­tion du nom­bre de téléprocé­dures (télédéc­la­ra­tion de l’IRPP).

Vers une standardisation des paiements électroniques ?

La con­fi­ance élec­tron­ique passe néces­saire­ment par la déf­i­ni­tion d’un nom­bre lim­ité de moyens de paiement élec­tron­ique sécurisés, util­is­ables par le plus grand nom­bre et en util­isant un max­i­mum de réseaux. Nouer des alliances appa­raît dès lors néces­saire : chaque inter­venant met son savoir-faire spé­ci­fique au ser­vice des autres pour assur­er l’in­teropéra­bil­ité du moyen de paiement développé.

L’opéra­teur télé­com et le four­nisseur d’ac­cès Inter­net dis­posent d’une force de frappe impor­tante, compte tenu de leur base de clien­tèle très large et de leur forte puis­sance marketing.

De leur côté les con­struc­teurs (ordi­na­teurs, télé­phones mobiles, télévi­sions, PDA…) sont en mesure d’ap­porter leur exper­tise sur le plan technique.

Enfin, les ban­ques dis­posent d’une légitim­ité indé­ni­able en matière de moyens de paiement. La solu­tion idéale serait le fruit de l’as­so­ci­a­tion de l’ensem­ble de ces inter­venants. Une telle asso­ci­a­tion aurait en out­re l’a­van­tage d’être intéres­sante pour cha­cun sur le plan financier, grâce à la mutu­al­i­sa­tion des investissements.

Dans le cadre de la ratio­nal­i­sa­tion de l’of­fre, les alliances appa­rais­sent inévita­bles pour deux raisons essen­tielles : elles don­nent le moyen de demeur­er un acteur du com­merce élec­tron­ique, marché à peine éclos. En out­re, impos­er une solu­tion et engager des investisse­ments colos­saux avec le risque de se voir refuser cette solu­tion par les autres inter­venants n’est pas envis­age­able. Le développe­ment de solu­tions futures néces­site a min­i­ma une con­cer­ta­tion entre ces dif­férents acteurs.

Il ne faut pas oubli­er qu’au­jour­d’hui encore plus de la moitié des paiements sont effec­tués en espèces. Les paiements par carte bleue n’en représen­tent que 20 %, dont 2 % con­cer­nent les paiements à dis­tance. Une pro­por­tion qui laisse de belles per­spec­tives de développe­ment au paiement électronique.

Poster un commentaire