|
Interviews |
|
Emmanuel Haydont
|
System
marketing manager
|
Ingenico
|
"Tout
le monde reconnaît la validité du modèle 3D-Secure de
Visa mais en France il faut encore digérer l'expérience
Cyber-comm" |
|
Acteur de premier plan sur le marché des terminaux
de paiement, mais aussi concepteur de solutions pour la
sécurisation du paiement en ligne, Ingenico suit
naturellement d'assez près l'évolution des
standards dans ce domaine. Emmanuel Haydont, responsable
marketing pour les solutions de paiement en ligne sécurisé
nous donne son sentiment sur ce drôle d'entre-deux
que vivent actuellement les acteurs français depuis
l'échec manifeste du projet Cyber-comm.
|
Propos recueillis par
Cyril Dhenin le 29 novembre
2001
. |
A lire aussi: Comment
Visa prépare l'après Cyber-comm
Depuis les initiatives SET et Cyber-comm, il semble que
les choses piétinent pour le paiement en ligne
par carte bancaire. Où en sommes-nous ?
Emmanuel Haydont:
Les banques françaises
se sont beaucoup investies dans le projet Cyber-comm qui
s'adossait lui-même à SET. Le problème
fut double. Primo, le modèle économique de Cyber-comm
était basé sur une activité à but lucratif au travers
de la vente des lecteurs. Secundo, Cyber-comm s'appuyait
sur SET mais le nombre de marchands SET ou Cyber-comm
SET est resté très réduit. Et pour cause: SET s'est
avéré être un modèle très
sécurisé mais aussi très complexe
et très coûteux à déployer.
Grosso modo, tout le monde a donc continué avec
la bonne vieille méthode, à savoir SSL.
Depuis, Visa a choisi d'avancer un nouveau modèle
connu aujourd'hui sous le nom de "3D-Secure"
et un temps nommé "3D-SSL.
Quels
en sont les grands principes ?
Tout d'abord une précision: 3D-Secure n'est pas
une méthode d'authentification mais un schéma
de paiement. Dans ce schéma, trois domaines sont
distingués: celui de l'émetteur (la banque
de l'acheteur), celui de l'acquéreur (la banque
du commerçant) et le domaine dit d'interopérabilité
géré par Visa. 3D-Secure décrit le
circuit de l'information entre ces trois domaines pour
effectuer un paiement par carte bancaire et distribue
les reponsabilités entre les domaines. A la banque
de l'acheteur d'authentifier son client; à la banque
du marchand de faire de même ; et à Visa
de faire office d'annuaire pour assurer le routage des
messages.
En
quoi cela diffère-t-il du modèle Cyber-comm/SET
?
Ce modèle était très sécurisé
mais aussi très centralisé et très
rigide. Dans ce schéma, le marchand devait notamment
assumer une bonne partie du risque. Dans le modèle
"3D-Secure", les responsabilités de chacun
sont clairement définies et mieux équilibrées.
En termes de risques, le marchand est "allégé"
pourrait-on dire.
SET
présentait toutefois un gros avantage: il était
le fruit d'une conciliation entre Visa et Mastercard.
Ce qui ne semble pas vraiment être le cas de 3D-Secure.
En effet, ce n'est pas le cas. Et c'est une des limites
de 3D-Secure. Pour l'heure, 3D-Secure est une initiative
de Visa qui ne couvre que le réseau Visa. Mastercard
promeut une autre initiative, assez proche de 3D-Secure
mais dont les modalités d'implémentation
diffèrent.
Quelles
sont les autres raisons qui peuvent expliquer le manque
d'intérêt pour 3D Secure ?
Pour l'Europe, Visa s'est cru obligé d'intégrer
SET dans 3D-Secure. Pour Visa, il s'agit de montrer qu'ils
ne font pas table rase des investissements sur SET. Mais,
techniquement, un tel rapprochement est un non-sens et
ne peut conduire qu'à de mauvais compromis. En
fait, cela aurait pour conséquence d'ajouter de
la complexité là où on a justement
essayé de simplifier les choses.
Bref,
nous sommes dans un entre-deux où le poids des
investissements passés et les limites des technologies
à venir brident les décisions...
Il y a quelques pilotes en cours au Etats-Unis, tout le
monde reconnaît la pertinence du modèle mais,
en France notamment, les banques et les marchands sont
loin d'avoir adoptés le modèle 3D-Secure.
Il faut sans doute encore digérer l'expérience
Cyber-comm et pour le moment on préfère
laisser du temps au temps...
En
se reposant sur des solutions qui seront forcément
des dispositifs de transition...
La carte virtuelle dynamique semble toute désignée
pour jouer ce rôle. Le procédé consiste,
après saisie d'un login et d'un mot de passe, à
se faire délivrer par sa banque un numéro
de carte virtuelle qui sera valable pour un temps et pour
un plafond bien délimités. Avec un avantage
clair: éviter à l'utilisateur d'angoisser
en transmettant via Internet ses véritables coordonnées
bancaires. Cela dit, on ne fait que déplacer le
problème puisque les logins et mots de passe peuvent
aussi être dérobés... L'utilisateur
est juste moins sensible à ce risque. C'est
une approche marketing qui risque de semer le doute et
d'empêcher des banques de ce lancer dans de nouveaux investissements
|
|
|
|
|
|
|