Placée par la Loi sur
la sécurité quotidienne du 15 novembre
2001 au centre du dispositif de surveillance de la sécurité
des moyens de paiement, la Banque de France vient de
publier un rapport sur la sécurité des
moyens de paiement sur Internet. Menée dans la
cadre de la mission pour l'économie numérique
(MEN) par deux analystes à la Banque de France,
Denis Beau et Carlos Martin, cette ambitieuse enquête
poursuit trois objectifs : fournir un état des
lieux des moyens de paiement disponibles sur le Net,
faire le point sur l'ampleur des risques, et enfin,
avancer un ensemble de recommandations.
Au total, il existe, selon la base de données
de l'ePSO (Electronic Payment Systems Observatory),
environ 150 solutions de paiement électronique
actuellement disponibles ou en cours de déploiement
en Europe. L'ensemble de cette offre se divise, selon
le rapport, en deux familles : les dispositifs matériels
et ceux purement logiciels. Les premiers regroupent
les moyens de paiement utilisant une carte à
puce et un boîtier permettant de saisir le code
dans un environnement sécurisé. C'est
le cas de CyberComm, de Finread, de la calculette de
Xiring ou bien encore des téléphones portables
bi-fentes. Les seconds rassemblent les systèmes
de paiement comme Atos, Expérian ou les cartes
virtuelles comme l'e-carte de Carte bleue. La Banque
de France y ajoute également les systèmes
de paiement par mail, comme Paypal ou MinutePay, les
porte-monnaies virtuels, ou encore les kiosques. Selon
le rapport, c'est cette seconde catégorie qui
est aujourd'hui la plus utilisée car la plus
légère en termes d'investissements.
Or l'enquête révèle
que ces solutions ne sont pas suffisantes pour garantir
un niveau maximal de sécurité. En particulier
sur deux points : la vérification de l'identité
des parties impliquées dans les transactions
et la protection des ordinateurs personnels des internautes.
Sans vouloir être alarmiste, le rapport signale
d'ailleurs que le taux de fraude sur les paiements par
carte sur Internet représente, selon le Gartner
Group, 1,1 % des transactions de ce type, alors
qu'en 2000, elles en représentaient moins de
0,03 %. Si ces taux restent relativement faibles,
ils ont un fort impact sur les perceptions des internautes
et peuvent contribuer à freiner les achats en
ligne.
En raison de la disparité
des solutions et de leur vunérabilité,
les auteurs du rapport proposent cinq recommandations
venant compléter les initiatives privées
et publiques en cours. La première consiste à
définir un référentiel de sécurité
"qui tient compte, pour chaque catégorie
de moyen de paiement, de sa nature et de son utilisation
potentielle". Celui-ci est complété
par un profil de protection, une sorte de cahier des
charges international des normes de sécurité
élaboré pour chaque produit. Un travail
d'ampleur qui pourrait être valorisé par
la création d'un label de sécurité.
Mais quelle valeur pourra-t-il avoir au sein de cette
famille déjà bien nombreuse ?
A cela vient s'ajouter
un système de vérification mutuelle des
parties impliquées dans la transaction, via une
technique, le "Defi-Réponse", qui évite
de transmettre des éléments d'authentification
sur le réseau. Les deux dernières suggestions
s''inscrivent sur le plus long terme. La première
consisterait, comme à Singapour, à créer
une autorité d'enregistrement de référence
dont la mission serait de délivrer des certificats
d'identité. La seconde vise à améliorer
la protection des utilisateurs.
|