La carte à puce, héraut de l’achat sûr en ligne

Mobilité

A partir du 18 avril, les banques françaises commenceront à proposer à leurs clients les premiers lecteurs de cartes à puce Cyber-Comm, pour sécuriser les achats sur Internet.

Cyber-Comm devient la première solution matérielle déployée à grande échelle en France auprès du grand public, pour sécuriser le commerce électronique. Elle fonctionne de la manière suivante. Après avoir choisi un produit sur une boutique en ligne, l’internaute entame l’acte du paiement en cliquant sur un logo représentant sa carte bancaire. Au passage, cela implique que le serveur du commerçant ait adopté la technologie Cyber-Comm pour la rendre visible sur ses pages Web. Ensuite, le logiciel installé sur le disque dur de l’internaute démarre automatiquement. L’application affiche un récapitulatif du bon d’achat (prix de l’article, référence du bon de commande, référence du marchand en ligne, etc.) et propose, après confirmation, d’insérer sa carte à puce dans le lecteur. A ce moment, la connexion entre l’ordinateur et le lecteur est coupée pour éviter les risques de détournement de numéro secret. L’utilisateur tape alors les 4 chiffres de son code personnel. Dans la seconde qui suit, l’appareil de lecture vérifie l’identité de l’acheteur en comparant le code secret aux informations cryptées gravées sur la puce de la carte, comme lorsqu’on paye au restaurant. Le lecteur, toujours branché au PC, se reconnecte et lui transmet alors les informations sur l’achat et l’utilisateur. Elles sont cryptées au format SET (Secure Electronic Transaction) et filent via Internet vers le serveur du commerçant. Selon la société Cyber-Comm, ces données n’y sont pas stockées mais renvoyées directement vers le serveur de la banque du commerçant. Si l’achat dépasse une certaine somme, une vérification du compte est lancée auprès de la banque de l’internaute.

Les données bancaires ne sont donc pas conservées sur les serveurs du marchand en ligne. Et l’on se souvient que cette faille aurait précisément permis à des pirates de récupérer plusieurs centaines de numéros de cartes de crédit (voir édition du 11 janvier 2000). Cyber-Comm joue d’ailleurs sur du velours en martelant qu’il faut une solution sûre pour l’achat en ligne, après les remous de l’affaire Humpich. Un discours évidemment relayé par le Groupement bancaire (voir édition du 15 mars).

« D’ici trois ans, la France sera le pays où le commerce électronique aura le mieux réussi », promet même Hervé Gouëzel, président de Cyber-Comm. En attendant, les volumes de lecteurs lancés incitent à la modestie. Près de 20 000 appareils doivent être distribués dès la mi-avril par une dizaine de banques (BNP Paribas, Crédit Lyonnais, Crédit Mutuel, etc.).

Preuve de l’intérêt porté à ce système, Compaq a annoncé qu’il livrerait avant l’été 100 000 claviers équipés de lecteurs de cartes à puce, respectant le principe de déconnexion de l’ordinateur avant de taper son code secret.

Pour en savoir plus : Cyber-Comm