FinRead : encore un lecteur de cartes pour acheter sur le Net
Le consortium européen FinRead a défini de nouvelles normes de sécurité pour les transactions en ligne via des lecteurs de cartes à puce. Si ce standard a été normalisé par les instances européennes, les outils et applications sont actuellement en phase de test. Aucune date de déploiement des solutions n’a été fixée. Et rien ne dit qu’industriels et acteurs du commerce électronique adopteront massivement ces spécifications. Souhaitons à FinRead un meilleur avenir que CyberComm…
De la traditionnelle saisie du numéro de carte bancaire à l’utilisation d’un lecteur relié à l’ordinateur, si les solutions de paiement en ligne sont légion, leur niveau de sécurité n’inspire toujours pas confiance aux consommateurs. C’est en tout cas l’analyse des banques et des commerçants. C’est dans l’espoir d’apporter une réponse à ce problème qu’a été créé en 1998 le FinRead, un consortium européen composé de divers organismes bancaires (le groupement des cartes bancaires et Visa en France, SIZ en Allemagne, Interpay en Hollande, Banksys en Belgique…) et d’industriels (constructeurs de cartes, de lecteurs…). Le 11 juillet dernier, le consortium FinRead (pour Financial Reader) a présenté le standard FinRead à Bruxelles. Il s’agit d’un ensemble de spécifications sur la sécurité des transactions en ligne. Ces spécifications aboutiront au lecteur FinRead, un boîtier relié à l’ordinateur, chargé de lire la carte à puce et de valider les transactions. A terme, les spécificités FinRead pourront être exploitées sur tout type de terminaux Internet équipés de lecteurs comme les téléphones mobiles et les assistants personnels. Par ailleurs, ce standard à vocation universelle et mondiale servira pour les achats en ligne mais aussi pour tout type d’échanges d’informations à caractère confidentiel : banque, santé, administration, etc.
Le lecteur FinRead permettra de payer en ligne avec sa carte bancaire comme on le fait aujourd’hui chez un commerçant. Après affichage du montant de l’achat sur l’écran de l’appareil, l’utilisateur tape son code secret pour valider la transaction. Cette méthode a l’avantage d’éviter de faire transiter le numéro à seize chiffres de la carte de paiement tout en certifiant la transaction par l’authentification de son propriétaire (le seul censé connaître le code secret). La vérification du code secret s’effectue localement au niveau du lecteur même si des solutions de vérification à distance après cryptage sont envisageables. En effet, le lecteur fonctionne de manière autonome à partir d’applets Java implémentées en standard à la livraison du boîtier ou simplement téléchargeables en ligne. Pour les services de transaction en ligne, ces applets seront elles-mêmes certifiés par GTA (Global Trust Authority), un organisme interbancaire européen. Les applets devront bien entendu répondre aux normes de sécurité définies par FinRead pour être exploitables par le lecteur. Une des spécificités concerne notamment la mise en conformité avec la directive européenne sur la signature électronique.
Un lecteur payant comme Cybercomm…
Pour le moment, il n’existe que des prototypes du lecteur FinRead. Des expériences pilotes sont menées en Allemagne et aux Pays-Bas sur les transactions liées à la santé et sur des cartes d’identité électroniques. Rien en France pour le moment. Si le standard FinRead a été validé par le CEN (Comité européen de normalisation), il restera à convaincre industriels et acteurs du commerce d’adopter ces nouvelles spécificités. « Nous espérons que les projets mis en place par les gouvernements de différents Etats européens entraîneront les industriels », explique un porte-parole du consortium. A condition qu’ils n’aient pas été échaudés par l’échec de Cyber-comm. Le consortium chargé de développer et promouvoir une solution de paiement par carte bancaire n’a jamais réussi à imposer son lecteur Meerkat, tant auprès des banques ? qui refusaient la prise en charge de sa commercialisation ? que du grand public probablement refroidi par son prix (environ 450 francs ou 68,6 euros). Face à un nombre restreint d’utilisateurs (moins de 20 000 lecteurs auraient été distribués), les applications ne se sont pas développées, rendant obsolète le Meerkat. S’il est encore trop tôt pour connaître les modes de déploiement du FinRead, les industriels parlent d’une fourchette de commercialisation entre 35 et 45 dollars (40,97 à 52,67 euros). Un tarif certes plus bas que celui du Meerkat mais pas encore très incitatif. De toute façon, aucune date n’est encore envisagée pour le déploiement du FinRead. Pour le commerce électronique sécurisé, il faudra encore patienter.