Paiement en ligne : les professionnels s’orientent vers le mot de passe unique

C’est lors de l’ouverture du salon Cartes et IDentification que plusieurs annonces ont été formulées quant à l’avenir de certains poids lourds du paiement en ligne. De la banque, aux opérateurs de téléphonie, tous militent en faveur de l’installation de nouvelles règles en matière de sécurisation des paiements.

De nouvelles méthodes de paiement sont apparues afin de garantir un paiement en ligne. Récemment la BBC avait expliqué que la société Visa testait une nouvelle carte bancaire plus sécurisée. « Emue » devait comprendre un petit écran qui génère un code aléatoire unique à chaque fois qu’elle est utilisée. Cette nouvelle technologie rendrait donc la tâche plus difficile pour le fraudeur tentant d’effectuer une transaction illégale. Cette technologie appelée OTP (One Time Password) pourrait ainsi rendre mal aisées certaines arnaques sur le Web…

Roland Entz, le directeur général de Visa Europe explique ainsi : « Le paiement est indissociable de la notion de confiance. En ce sens, nous allons mettre en place une solution d’authentification non-rejouable. Pour pouvoir se connecter à un site, un mot de passe sera transmis par SMS« . Visa s’appuie sur le protocole 3D Secure développé par ses propres services afin de pouvoir bénéficier d’un meilleur niveau de sécurité des transactions.

De même, si les professionnels s’intéressent au domaine, on note un croisement de vues avec d’autre secteurs. Laurent Jullien, directeur des services sans contact de Bouygues Télécom lance à l’assemblée qu’il « est plus que nécessaire de disposer d’une solution similaire au Web mais beaucoup moins lourde pour les mobiles. Désormais nous allons proposer à des banques de leur fournir un espace dans la carte SIM (le Domain Security) dans lequel ils pourront inscrire, avec l’accord d’un abonné, ses coordonnées bancaires. Il sera ainsi beaucoup plus facile de payer via un mobile « .

Si cette évolution va dans le sens d’une meilleure utilisation des moyens technologiques à disposition, on peut se poser la question des dérives possibles et imaginables en matière de sécurisation et de piratage d’un tel dispositif, notamment en cas de vol du terminal. La solution apportée par Bouygues

Télécom

devrait pour autant sortir dès le mois de septembre.

Ainsi, la Société Générale explique aussi se lancer prochainement dans une solution d’identification unique et « jetable ». Arnaud Meunier, responsable de la gestion des risques de la banque explique : « La Société Générale va installer prochainement un système de mot de passe dynamique et non-rejouable. La procédure a été demandée par la Banque de France et nous allons devoir communiquer sur cette opération« .

Les clients de la banque devraient recevoir un message concernant leurs mots de passe et autres identifiants bancaires, de quoi embrouiller un peu plus certains et accentuer les risques de croire à certains spams(la plupart poursuivent le même but, à savoir la communication de coordonnées bancaires ). Un gros travail de pédagogie et de communication devra donc être entrepris.

Autant de moyens mis en œuvre afin d’opter pour une meilleure sécurisation. Toujours est-il que les mesures logiques pour détourner les paliers de sécurité restent parfois étonnants. C’est le cas du logiciel iTunes d´Apple.

Le site Zataz explique qu’un internaute a réussi à afficher en clair des données bancaires tout simplement en modifiant le pays d’enregistrement. Une personne tierce, qui aurait mis la main sur les identifiants de connexion d’iTunes, peut accèder à toutes les informations qu’il désire en cochant la case Espagne et non plus France.

Le devoir de pédagogie, même avec l’ ajout de nouvelles technologies reste donc le premier des objectifs. Il n’est, dès lors, pas certain que tous se retrouvent dans ces nouveaux moyens.