Le cryptogramme visuel imposé en 2004

Mobilité

Trois petits chiffres viendront s’ajouter aux 16 habituels des cartes bancaires pour renforcer la sécurité des paiement en ligne dès l’année prochaine. Mais seule une solution d’identification permettra d’authentifier les acheteurs en ligne.

A partir du 1er janvier 2004, les systèmes de paiement par carte bancaire, sur Internet comme à distance, s’enrichiront d’un niveau de sécurité supplémentaire obligatoire : le cryptogramme visuel. C’est ce que nous apprend, dans un communiqué du 9 juillet 2003, le groupement des cartes bancaires. Il s’agit de trois chiffres inscrits au dos des cartes bancaires et, donc, indépendants du numéro à seize chiffres à communiquer habituellement et qui s’inscrit sur certaines facturettes.

Présenté avant la fin du millénaire (voir édition du 29 décembre 2000), l’application du cryptogramme entrera donc en vigueur avec près de trois ans de retard. « Pour les cyber-commerçants, cela imposera d’ajouter un champs à trois caractères dans le formulaire de saisie », précise Jean-Pierre Buthion, responsable produits et service du groupement. Ce numéro sera vérifié lors de la transaction avec la banque. En cas de code erroné, le cyber-marchand sera prévenu et pourra ainsi refuser la transaction. Certains d’entre eux exploitent déjà ce cryptogramme visuel.

Lutter contre le carding

Pour Jean-Pierre Buthion, « le cryptogramme visuel vise à lutter contre le ‘carding' », c’est-à-dire les générateurs automatiques de numéros de carte bancaire et les individus malintentionnés qui les récupèrent d’une manière ou d’une autre. Pour communiquer le cryptogramme visuel en question, cela suppose qu’il faut être en possession de la carte (ou l’avoir eu entre les mains) puisque celui-ci ne s’inscrit sur aucune facture. Pour autant, les consommateurs seront toujours protégés par la loi en cas d’utilisation frauduleuse de leur carte. Selon les articles L. 132-6 et L. 132-4 du Code monétaire et financier, la banque est tenue de rembourser le porteur d’une carte bancaire si elle n’est pas en mesure de prouver qu’il est l’auteur de l’ordre d’achat (par une signature ou un code confidentiel). Une protection dont profite également nombre d’individus pour se faire « rembourser » un bien de consommation qu’ils ont pourtant acheté mais dont, en l’absence de preuve tangible, il peuvent contester le paiement.

Pour pallier ce type de pratiques, et renforcer la sécurité des paiement en ligne, le groupement des cartes bancaires se dirige vers une solution où le site marchand s’appuiera sur la banque émettrice du compte afin d’en vérifier la validité avant tout paiement en ligne. Identification par login et mot de passe ou par un système d’authentification à l’aide de certificats électroniques, il existe plusieurs solutions. « Certaines sont déjà en oeuvres à travers la Carte virtuelle dynamique » (voir édition du 9 avril 2002), précise le responsable du groupement qui rappelle « qu’il n’y a qu’en matière de commerce électronique qu’on ne s’identifie pas encore systématiquement ». Un paradoxe dont les jours sont comptés. Les solutions de paiement par identification commenceront leur mise en place dès 2004 également. « Nous ne privilégions aucune solution technique et préférons mettre en oeuvre les processus d’identification au fur et à mesure que les risques arrivent », dévoile Jean-Pierre Buthion. Les cyber-commerçants vont donc devoir patienter encore un peu avant de voir les paiements de leurs ventes en ligne garantis.