[ Yolin | 2003 | Sommaire ]

1.4.2.7.1 La carte à puce et e-card (carte virtuelle dynamique ou CVD)

Aujourd'hui le protocole le plus utilisé pour payer en transmettant le N° de sa carte de crédit est SSL (Secure Socket Layer, créé par Netscape) il est installé en standard dans la plupart des navigateurs www.commentcamarche.net/crypto/ssl.php3

Les banques essayent en réponse au niveau international de faire accepter, sans grand succès jusqu'à le protocole SET www.setco.org (qui permet une reconnaissance mutuelle de l'accréditation des acteurs du paiement) mais dont le rapport sécurité/contraintes d'emploi/prix n'a pas convaincu ni les marchands ni les consommateurs:

"SET is close to dead, today it creates no value for merchant and no value for client" avons nous entendu de la bouche de Bill Finkelstein de la Wells Fargo, analyse partagée par Nicole Vanderbilt de Jupiter communication: "SET won't happen" séminaire Aftel NY nov 98

En 97 a démarré en France un projet de système de paiements sécurisés qui vise à renforcer encore la sécurité en couplant au cryptage par logiciel, celui de la carte à puce (Notons que dans ce domaine notre pays ne semble pas en retard puisque d'après Marc Lassus , ex-PDG de Gemplus , la part de l'industrie française dans l'industrie mondiale de la carte à puce est de... 90 %.),

en 1997 étaient lancés les projets Cybercard et e-comm conformes à la norme C-set. Ils regroupaient notamment le Crédit Agricole, le Crédit Mutuel, les Banques Populaires, le CIC, la Poste et les Caisses d'Épargne.

En 1998 tous les acteurs de l'univers de la carte bancaire ont décidé de faire converger leurs efforts au sein de cyber-comm www.cyber-comm.com : cette technologie nécessitait toutefois d'une part que le commerçant soit à la norme SET (qui semble avoir bien du mal à s'imposer) et que le client dispose d'un lecteur de carte à puce (d'une valeur de 400F environ)

Il aurait été impératif à la viabilité de cette entreprise qu'elle soit étendue à la zone euro, et qu'elle élargisse son actionnariat en conséquence, ce qui était l'objet du consortium Finread: comme nous l'avions laissé entendre dans les éditions précédentes, faute de réunir ces conditions, ce projet avait peu de chance d'aboutirt

Les cartes à puce sonores s'affranchissent des lecteurs en émettant un signal sonore qui transmet le cryptogramme vers un serveur géré par un tiers de confiance qui, comme pour Cyber-comm valide la transaction

Avec la Carte Virtuelle Dynamique (CVD du GIE Carte Bleue ou e-carte bleue), un établissement financier délivre un numéro de carte valable pour une seule transaction et pour un seul montant: ce procédé ne nécessite aucune mesure particulière du côté du marchand et le vol éventuel du numéro ou son utilisation par un commerçant indélicat est sans conséquence puisque celui-ci n'est plus valide dès la transaction effectuée. Ce procédé a été mis en oeuvre en Irlande dès Aout 2000 et a démarré en France début 2002 (Société Générale, la Poste, Caisse d'épargne, Crédit Lyonnais,) www.journaldunet.com/itws/it_andre.shtml

Sur le plan international un consortium nommé e-card (Ibm, Microsoft, AOL, Compaq, Visa, American Express, Cybercash, Mastercard, utilisant ECML (Electronic Commerce Modeling Langage) projette de créer une carte virtuelle, prenant la forme d'une simple icône (que vous enverra à votre demande le site du fournisseur de e-card qu'il suffira de mettre par glisser-déposer sur la facture présentée par le commerçant pour l'acquitter (tous les transferts d'information étant évidemment sécurisés)

La société SEP-Tech associée à la société Altran Technologies lancé en 2002 une carte prépayée destinée aux petits achats sur le Net. Baptisée EasySmartCodes, la carte doit être vendue dans les bureaux de tabac et de poste. Elle utilisera des codes de paiement à usage unique, ce qui devrait limiter les risques de fraude

Les lecteurs de carte à puce pourraient être intégrés en standard dans tous les terminaux susceptibles d'être utilisés pour le commerce électronique (claviers, télécommandes de web-TV, webphones, souris, téléphones portables,...) pour moins de 100F: ceci implique à l'évidence un minimum de normalisation internationale

Cela étant

    1. Le risque le plus important n'est pas dans l'interception du N° de la carte mais dans le manque de sécurité intrinsèque des cartes (rappelons seulement que les fraudes à la carte bancaire sur le Net sont 3 fois moindre que la seule fraude au rechargement des téléphones portables ... et que les fraudes sur le Net ne sont quasiment jamais liées à l'interception d'un message sur le réseau voir page 115

    2. Mais le plus crédible des concurrents de la carte à puce nous paraît être aujourd'hui l'utilisation directe du téléphone portable ou autre PDA communicant, (qui intègre une "puce", voire 2) comme Terminal de paiement électronique voir page voir page 253. Evidemment cette evolution technologique inquiète les Banques car on peut tout à fait imaginer que dans ce cas l'opérateur, qui regroupera l'ensemble des facturations, au moins pour les petits montants, sur un relevé mensuel et prenne un rôle qui empiète sur le leur (et l'on commence à voir un certain nombre d'alliances entre Banques et opérateurs télécom)

Un panorama des moyens de paiement: www.declic.net/francais/savoir/dossier/paiement.htm

sur Evariste sur le Web
nous écrire
Evariste ©1996-2007
URL : http://www.evariste.org/new/index.html

(Last update : Fri, 9 Feb 2007)