Les banques planchent sur l'amélioration de la sécurité des paiements en ligne

Afin de renforcer la sécurité des paiements à distance (notamment sur internet) tout en les rendant plus simples pour l’usager, le GIE Cartes Bancaires et les banques françaises testent actuellement de nouveaux modes d’authentification, appelés notamment à remplacer le dispositif d’authentification renforcé 3D Secure.

Actuellement, les transactions par carte bancaire à distance sont généralement sécurisées par deux moyens. Le cryptogramme visuel à 3 chiffres (dit code CVC), au dos de la carte bancaire, permet de s’assurer que la personne qui effectue le paiement est bien en possession de la carte bancaire. Le dispositif 3D Secure, grâce à l’envoi d’un code unique (par SMS le plus souvent), permet lui de vérifier que la personne qui effectue le paiement est bien le titulaire de la carte.

Mais ces dispositifs ont leur limite. Le cryptogramme peut ainsi être détourné, par exemple par un commerçant fraudeur au moment d’un paiement en point de vente physique. Quant à 3D Secure, il complique le paiement et fait baisser le taux de transformation, les clients ayant tendance à renoncer à son achat en cours de validation. Ce qui explique que, malgré de multiples relances, certains commerçants rechignent encore à l’utiliser : en 2013, seuls 30% des paiements à distance (en montant) étaient sécurisés par ce dispositif, selon les données de la Banque de France.

La biométrie vocale pour remplacer le code ?

Face à ce relatif échec, les banques et les réseaux de cartes bancaires planchent déjà sur des successeurs, à la fois plus simples et plus sûrs. En France, le GIE Cartes Bancaires (1) a dévoilé récemment ses pistes de travail. Selon Les Echos, le groupement a ainsi demandé aux banques françaises de tester trois dispositifs.

Le premier est biométrique et permet d’authentifier le paiement grâce à l’empreinte vocale du client. Une technologie déjà mise en œuvre par la Banque Postale, dans le cadre d’un service en cours d’expérimentation et baptisé « Talk To Pay ». A l’inscription, le client enregistre sa voix sur le site du service et y associe ses coordonnées de carte bleue. Au moment de l’achat, Talk To Pay génère un appel sur le mobile du client, qui s’authentifie par la voix et grâce à un code aléatoire à usage unique généré par le service.

Autre piste : la carte bancaire à code de sécurité dynamique. Equipée d’un mini-écran, elle modifie à intervalles réguliers le cryptogramme à 3 chiffres situé au dos de la carte. Là encore, la technologie, développée par Oberthur Technologies, est en phase de test « avec deux ou trois banques françaises » expliquent Les Echos.

Enfin, la troisième solution retenue par le GIE Cartes Bancaires est la carte bancaire virtuelle à usage unique, ou e-carte bleue. Une solution déjà proposée par certaines banques (le Crédit Mutuel notamment) mais pour laquelle il existe des pistes d’amélioration.

Selon le quotidien économique, les « systèmes les plus probants » pourraient être généralisés à compter de la fin 2015.

(1) Le groupement d’intérêt économique Cartes Bancaires, créé en 1984 par le secteur bancaire français, gère le réseau d’acceptation des cartes bleues en France. C’est lui qui appose le logo CB sur les cartes.