RUBRIQUES
Article
30/10/01
Paiement sécurisé CDCK : l'interdiction est la règle, l'autorisation l'exception
Le casse-tête de
la sécurisation des paiements à distance
a peut-être enfin trouvé sa solution. Non
pas que CDCK
dispose d'une technologie ultime, inédite ou
inégalable. Au contraire, l'idée semble
relativement simple... mais il fallait y penser. La
start-up américaine fondée au printemps
2000 par une poignée de consultants spécialisés
dans la cryptologie propose un système inédit :
le numéro de carte de crédit de l'utilisateur
est tout simplement refusé, par défaut,
par la banque équipée du nouveau système.
Le porteur de la carte doit donc autoriser la transaction
qu'il souhaite effectuer pour que son numéro
soit accepté. Pour ce faire, il dispose d'un
plug-in intégré à son navigateur
et d'un mini CD-Rom contenant une clé chiffrée
unique.
Avantage concurrentiel sur un marché où l'offre est déjà (trop ?) significative : CDCK s'adresse aux banques et ne vend rien, du moins directement, aux utilisateurs. Autre originalité : "alors que les banques allaient vers la CVD (carte virtuelle dynamique, ndlr), elles reviennent aujourd'hui au vrai numéro de carte", souligne Dominic Laage. Or CDCK propose pour sa part une solution dite "ON/OFF" qui traite directement le vrai numéro de carte bancaire, protégé par un identifiant, un mot de passe et une clé PKI sur support physique. Les échecs d'un Cyber-Comm ou autre système fondé avant tout sur l'équipement des ménages en appareils coûteux (un lecteur de cartes à puce revient à environ 400 francs) ont inspiré la stratégie de la start-up : "Nous installons des serveurs sur le système de la banque, explique le fondateur. L'un sert à différencier la VAD (vente à distance) de la vente à proximité, à détecter les numéros protégés par CDCK et à bloquer pour celles-ci toute connexion au serveur d'autorisation de la banque... du moins tant qu'un deuxième serveur CDCK, destiné à l'authentification du porteur, n'a pas reçu l'autorisation du porteur de cette carte concernant cette transaction". L'autorisation elle-même s'effectue via "un simple plug-in qui transmet juste avant l'achat : la clé chiffrée à 1024 bits correspondant à l'identité du porteur (lue sur le mini CD-Rom), le montant maximum qu'il souhaite se voir débiter et la référence exacte de la stransaction concernée". Objectif : "faire gagner de l'argent" aux banques En garantissant ainsi que le marchand ne débitera pas plus que le montant affiché, CDCK sécurise le paiement à distance pour les acheteurs. Mais le système empêche surtout le recours à des programmes générateurs de numéro de cartes valides ou encore à des facturettes "trouvées" pour payer frauduleusement. L'argumentaire de CDCK - qui recherche activement un partenaire susceptible d'accepter de lui commander un pilote - repose sur le coût exponentiel de la fraude pour les établissements bancaires. En effet, entre marchands et acheteurs, les banques se trouvent confrontées à un taux annuel de 3% d'impayés sur les transactions à distance par communication d'un numéro de carte de crédit. Et Dominic Laage évalue à "environ 6 millions d'euros par an" les frais qui en découlent. Alors que la Banque de France a donné son accord pour valider la solution CDCK dès lors qu'un projet pilote aura été commandé par une banque, le fondateur rappelle que "Visa va transférer la responsabilité de la fraude des marchands vers les banques porteurs". Dans cette perspective, la nouvelle solution intéressera les établissements qui oseront fournir aux "8% de porteurs qui réalisent plus d'un achat par mois à distance" une solution de sécurisation fondée sur une sorte d'auto-interdiction : "les banques ont un peu peur de se lancer dans un système qui bloque tout", admet Dominic Laage. Mais il affirme être "en pourparlers avec plusieurs banques françaises" et rappelle que son offre constitue "une solution complètement internationale", les standards étant déjà en place. "CDCK ne fait pas payer la banque tant qu'elle ne fait pas d'argent avec notre système", assure le fondateur. Ensuite, le coût de la solution se compose d' "une licence 'one-time' d'environ 100 000 francs et d'une facturation par utilisateur et par an d'environ 10 euros". L'implémentation des serveurs d'autorisation (situé entre l'utilisateur et le serveur d'autorisation de la banque), d'authentification et de stockage d'informations diverses nécessite "environ 4 mois, en coopération étroite avec les monéticiens de la banque", précise Dominic Laage. Ces derniers représentent un quart des équipes concernées, le reste étant composé de consultants CDCK et d' "un partenaire du secteur de la monétique". Au final, les banques intéressées n'auront plus qu'à charger leurs prestataires habitulels d'intégrer la technolgie CDCK sur des kits utilisateurs à leurs couleurs. Libres à elles, ensuite, de les commercialiser ou de les offrir à leurs propres clients.
|