Journal du Net > Solutions >  Paiement sécurisé CDCK : l'interdiction est la règle, l'autorisation l'exception
Article
 
30/10/01

Paiement sécurisé CDCK : l'interdiction est la règle, l'autorisation l'exception

  Envoyer Imprimer  

Le casse-tête de la sécurisation des paiements à distance a peut-être enfin trouvé sa solution. Non pas que CDCK dispose d'une technologie ultime, inédite ou inégalable. Au contraire, l'idée semble relativement simple... mais il fallait y penser. La start-up américaine fondée au printemps 2000 par une poignée de consultants spécialisés dans la cryptologie propose un système inédit : le numéro de carte de crédit de l'utilisateur est tout simplement refusé, par défaut, par la banque équipée du nouveau système. Le porteur de la carte doit donc autoriser la transaction qu'il souhaite effectuer pour que son numéro soit accepté. Pour ce faire, il dispose d'un plug-in intégré à son navigateur et d'un mini CD-Rom contenant une clé chiffrée unique.

Ni boîtier onéreux, ni numéro de carte virtuelle
Dominic Laage a passé "22 ans dans la Silicon Valley", y a fondé CDCK sur la base d'une levée de fonds réalisée en moins d'une semaine auprès de Robert-Louis Dreyfus (ancien CEO d'Adidas et de Saatchi & Saatchi) puis est revenu en France pour s'y installer.

En implantant sa société près de Sofia Antipolis, le fondateur a également convaincu plusieurs experts en cryptologie américains de le suivre. Depuis sa création en avril 2000, CDCK s'est alors attachée à développer une solution de "protection à 100%" contre les achats frauduleux à distance. "Un prototype de notre solution a été finalisé fin 2000, début 2001", indique Dominic Laage. Mais la campagne correspondant au véritable lancement de l'offre a débuté au deuxième trimestre 2001.

Avantage concurrentiel sur un marché où l'offre est déjà (trop ?) significative : CDCK s'adresse aux banques et ne vend rien, du moins directement, aux utilisateurs. Autre originalité : "alors que les banques allaient vers la CVD (carte virtuelle dynamique, ndlr), elles reviennent aujourd'hui au vrai numéro de carte", souligne Dominic Laage. Or CDCK propose pour sa part une solution dite "ON/OFF" qui traite directement le vrai numéro de carte bancaire, protégé par un identifiant, un mot de passe et une clé PKI sur support physique.

Les échecs d'un Cyber-Comm ou autre système fondé avant tout sur l'équipement des ménages en appareils coûteux (un lecteur de cartes à puce revient à environ 400 francs) ont inspiré la stratégie de la start-up : "Nous installons des serveurs sur le système de la banque, explique le fondateur. L'un sert à différencier la VAD (vente à distance) de la vente à proximité, à détecter les numéros protégés par CDCK et à bloquer pour celles-ci toute connexion au serveur d'autorisation de la banque... du moins tant qu'un deuxième serveur CDCK, destiné à l'authentification du porteur, n'a pas reçu l'autorisation du porteur de cette carte concernant cette transaction". L'autorisation elle-même s'effectue via "un simple plug-in qui transmet juste avant l'achat : la clé chiffrée à 1024 bits correspondant à l'identité du porteur (lue sur le mini CD-Rom), le montant maximum qu'il souhaite se voir débiter et la référence exacte de la stransaction concernée".

Objectif : "faire gagner de l'argent" aux banques
En garantissant ainsi que le marchand ne débitera pas plus que le montant affiché, CDCK sécurise le paiement à distance pour les acheteurs. Mais le système empêche surtout le recours à des programmes générateurs de numéro de cartes valides ou encore à des facturettes "trouvées" pour payer frauduleusement. L'argumentaire de CDCK - qui recherche activement un partenaire susceptible d'accepter de lui commander un pilote - repose sur le coût exponentiel de la fraude pour les établissements bancaires. En effet, entre marchands et acheteurs, les banques se trouvent confrontées à un taux annuel de 3% d'impayés sur les transactions à distance par communication d'un numéro de carte de crédit. Et Dominic Laage évalue à "environ 6 millions d'euros par an" les frais qui en découlent.

Alors que la Banque de France a donné son accord pour valider la solution CDCK dès lors qu'un projet pilote aura été commandé par une banque, le fondateur rappelle que "Visa va transférer la responsabilité de la fraude des marchands vers les banques porteurs". Dans cette perspective, la nouvelle solution intéressera les établissements qui oseront fournir aux "8% de porteurs qui réalisent plus d'un achat par mois à distance" une solution de sécurisation fondée sur une sorte d'auto-interdiction : "les banques ont un peu peur de se lancer dans un système qui bloque tout", admet Dominic Laage. Mais il affirme être "en pourparlers avec plusieurs banques françaises" et rappelle que son offre constitue "une solution complètement internationale", les standards étant déjà en place.

"CDCK ne fait pas payer la banque tant qu'elle ne fait pas d'argent avec notre système", assure le fondateur. Ensuite, le coût de la solution se compose d' "une licence 'one-time' d'environ 100 000 francs et d'une facturation par utilisateur et par an d'environ 10 euros". L'implémentation des serveurs d'autorisation (situé entre l'utilisateur et le serveur d'autorisation de la banque), d'authentification et de stockage d'informations diverses nécessite "environ 4 mois, en coopération étroite avec les monéticiens de la banque", précise Dominic Laage. Ces derniers représentent un quart des équipes concernées, le reste étant composé de consultants CDCK et d' "un partenaire du secteur de la monétique". Au final, les banques intéressées n'auront plus qu'à charger leurs prestataires habitulels d'intégrer la technolgie CDCK sur des kits utilisateurs à leurs couleurs. Libres à elles, ensuite, de les commercialiser ou de les offrir à leurs propres clients.


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages