Trois chiffres pour sécuriser le paiement en ligne

Cloud

Le GIE des cartes bancaires prépare un nouveau procédé de sécurisation de paiement à distance. Si le cryptogramme visuel ajoute effectivement un degré dans la protection de la vente en ligne, il ne représente pas encore la solution idéale.

Dans la lutte contre l’utilisation frauduleuse des cartes de crédit, le GIE (groupement d’intérêts économiques) des cartes bancaires – qui réunit les principales banques françaises (BNP-Paribas, Société Générale, Crédit lyonnais, CCF, etc.) et les réseaux Visa et Mastercard – planche sur une nouvelle solution de sécurisation. Loin des configurations technologiques lourdes, le « cryptogramme visuel » consiste à rajouter trois petits chiffres au numéro identifiant classique à seize chiffres inscrit sur toutes les cartes bancaires. Ce nouveau code apparaît discrètement au dos de la carte dans le cadre réservé à la signature. Un projet lancé il y a plus de vingt mois et qui devrait être effectif pour l’été 2001, septembre au plus tard, le temps que les banques mettent à jour leurs serveurs. Le cryptogramme visuel doit s’imposer au niveau mondial.

En pratique, ces trois chiffres n’apparaissent pas sur les tickets de paiement et autres empreintes de carte, contrairement au numéro à seize chiffres (qui doit lui aussi disparaître à terme). Ainsi, le cyber-commerçant qui, en ligne ou au téléphone, réclame ce nouveau code, est assuré que le cyber-consommateur est bien en possession de la carte et non d’un ticket récupéré. Par ailleurs, lors de la transaction, la combinaison à trois chiffres est vérifiée à l’aide d’un algorithme spécifique. Cela devrait mettre un frein aux logiciels qui génèrent des numéros de carte… le temps que les pirates développent de nouveaux logiciels. Mais le système limitera la casse dans la mesure où ces nouveaux chiffres ne seront jamais stockés sur le serveur. Un pirate qui parviendrait à voler des numéros de cartes bancaires comme on l’a vu encore récemment (voir édition du 14 décembre 2000) devra, pour les utiliser, calculer la combinaison à trois chiffres qui sera réclamée pour toute transaction.

Un système imparfait

Si le projet peut rassurer le cyber-commerçant, il n’est cependant pas parfait. Car, dans sa configuration actuelle, le cryptogramme visuel ne protège pas du simple vol de carte. « Le cryptogramme visuel est un niveau supplémentaire de protection de la vente à distance », souligne Yves Randoux, administrateur du GIE, conscient de l’imperfection du procédé. « Tout le monde ne dispose pas d’un lecteur Cyber-Comm », poursuit-il en faisant référence au système qui, relié à un ordinateur, permet d’effectuer des paiements sécurisés sur Internet sans avoir à transmettre son numéro de carte. Une autre solution de paiement en ligne devrait apparaître en 2001 avec le déploiement des services de banque à domicile. Lors d’un achat en ligne, la banque fournira à son client cyber-consommateur un numéro virtuel de carte, unique et temporaire, qui ne servira que pour la transaction en cours. Même si un pirate parvient à détourner ce numéro, il ne pourra donc pas s’en servir une seconde fois.

Pour en savoir plus :

Le site du GIE