Untitled Document

Luc André (Groupement Carte Bleue) : "Notre arme anti-fraude ? La carte virtuelle dynamique"
Par le Journal du Net (Benchmark Group)
URL : http://www.journaldunet.com/itws/it_andré.shtml

Une semaine après l'intervention du ministre de l'Economie, Laurent Fabius, sur l'amélioration de la sécurité des paiements par carte bancaire et la signature par les commerçants et les banques d'une charte, le GIE Carte bleue présentait sa nouvelle carte virtuelle dynamique. Accessible à partir de septembre 2001, sa mission sera de restaurer la confiance des internautes dans les paiements en ligne. Un projet qui s'inscrit dans les recommandations du rapport du Conseil national de la consommation qui prévoit notamment la généralisation et l'utilisation lors des paiements en ligne des cryptogrammes visuels situé au verso des cartes et la suppression de la circulation des numéros de carte en ligne. Luc André, président du comité de direction du GIE Carte Bleue, revient sur le fonctionnement de ce nouvel outil et sa fonction dans le nouveau paysage de la sécurisation des paiements sur Internet.

Propos recueillis par Anne-Laure Béranger le 01/03/2001

JDNet. On parle beaucoup de la fraude à la carte bancaire sur Internet, mais son évaluation demeure assez peu précise.
Luc André. On ne connaît pas vraiment les chiffres de la fraude sur Internet. Pour pouvoir la comptabiliser, il faut d'abord la caractériser. Depuis le premier semestre 2001, Visa a imposé aux établissements bancaires qui sont ses partenaires, d'isoler dans une catégorie les réclamations qui concernent les paiements en ligne. Ce dispositif nous permettra de connaître de manière exacte le montant de la fraude. On estime toutefois, que la fraude sur Internet est supérieure à 1 % des paiements en ligne. Chez Carte Bleue, le taux de fraude oscille entre 1 et 2 %. C'est 20 fois plus que dans le cadre des paiements effectués en face à face, mais cela reste encore minime. Surtout, nous avons remarqué qu'une partie importante de la fraude sur le Net est liée à l'utilisation de numéros de cartes bancaires laissés sur des sites roses. Ces problèmes et leur médiatisation ont fortement entamé la confiance des internautes dans le paiement en ligne. C'est pourquoi, nous avons pensé à mettre en place ce dispositif de carte virtuelle dynamique (CVD). Le numéro étant utilisable une seule fois, il empêche toute réutilisation ultérieure sur le Web.

Pouvez-vous nous expliquer le fonctionnement de cette nouvelle carte de paiement virtuelle ?
L'internaute qui voudra utiliser ce système, n'aura qu'à se connecter au service en ligne de sa banque. Après avoir choisi un mot de passe ainsi qu'un login, il téléchargera un logiciel lui permettant d'établir un lien entre le site marchand et sa banque. Ce service, lui permet également de générer une adresse web pour activer sa carte virtuelle quel que soit le lieu où il se trouve. Ensuite, pour chacune des transactions qu'il effectue, un nouveau numéro de carte virtuelle est généré. Ce dispositif permet de ne plus stocker le numéro de carte dans les bases de données du marchand et élimine ainsi les risques de circulation sur le Net de numéros de carte bancaire. Cette opération ne dure que quelques secondes. Une fonctionnalité permet toutefois de générer un numéro pour un e-commerçant spécifique. L'internaute pourra choisir de limiter sa durée de validité et fixer un plafond de dépense. Ces précautions permettront de limiter l'usage du numéro sur d'autres sites.

Le numéro de carte généré est identique à celui d'une carte bancaire ?
Exactement. Il comprend les 16 chiffres obligatoires, la date d'expiration de la carte, et les trois chiffres du crytogramme visuel qui, au lieu d'être au dos de la carte, sont devant. Toutes ces données, en plus du nom du porteur, sont nécessaires pour effectuer la transaction et ne doivent pas être erronées. C'est pourquoi il est possible de remplir automatiquement les champs d'identification d'un formulaire d'achat avec toutes les coordonnées bancaires nécessaires. Au delà, l'internaute pourra également consulter l'historique de ses achats qui sera stocké sur le serveur.

Ce service sera donc facturé par les banques puisque c'est auprès d'elles que l'internaute fait sa demande ?
Oui. Et les établissements bancaires seront libres de le facturer comme ils le souhaitent et d'y inclure également les services qu'ils jugent utiles, comme le crédit par exemple. Pour le moment, nous n'avons pas d'information concernant la facturation de ce service. En Irlande où ce système existe déjà depuis quelques mois, il est pour le moment totalement gratuit. Pour le marchand, le logiciel de téléchargement sera gratuit.

Comment les commerçant sauront-ils qu'ils ont affaire à une carte virtuelle ?
Nous leur communiquerons régulièrement les identifiants qui permettent de distinguer une carte virtuelle d'une carte réelle et de savoir si elle est valide ou non.

Puisqu'il s'agit de carte virtuelle, ces numéros ne pourront-ils pas être généré par des logiciels de carding ?
Non. D'abord parce que ces logiciels ne sont pas en mesure de générer des cryptogrammes. Ensuite, parce que ces numéros correspondent à un commerçant, à un montant et à un moment. Il est inimaginable qu'un logiciel de carding puisse générer un numéro qui corresponde à tous ces critères à la fois.

Cette solution a-t-elle vocation à se substituer aux lecteurs de cartes à puce qui utilisent la norme SET comme Cyber-Comm ?
Absolument pas. Elle est plutôt complémentaire. Pour nous, Cyber-Comm est la solution qui, à l'heure actuelle, offre le maximum de sécurité. Simplement son développement va prendre un certain temps. Aujourd'hui, il n'y a que quelques milliers de terminaux installés et le nombre d'opérations qui transitent par ce biais est encore très restreint. Nous ne prétendons pas que la carte virtuelle dynamique soit aussi sure que Cyber-Comm et l'utilisation d'une carte à puce, surtout pour les transactions qui viennent de l'étranger. D'ailleurs, nous n'avons pas fait de demande de garantie auprès du Goupement des Cartes Bancaires. Notre objectif est d'apporter une protection à nos clients et non pas de traiter le problème de la fraude en général. Cette carte a le mérite de s'inscrire dans une logique de court termes et de répondre à l'inquiétude des internautes.

Quels sont vos partenaires dans cette opération ?
Nous avons choisi comme prestataire de service, France Télécom Intelmatic. Ce sont eux qui ont conçu l'environnement global et ce sont également eux qui se chargent de l'hébergement du logiciel qui a servi à mettre en place cette solution.

Qu'est-ce que vous aimez le plus sur Internet ?
Ce que j'apprécie le plus, c'est la variété des services que l'on peut trouver et auxquels on ne pense pas toujours. C'est également, l'instantanéité, la rapidité avec laquelle on peut communiquer avec des pays situés outre-atlantique.

Qu'est ce qui vous irrite le plus ?
J'habite en banlieue parisienne et force est de constater que les connexions s'interrompent fréquemment en pleine session.

Quels sont vos sites préférés ?
En fait, j'ai très peu navigué récemment. Je me sers surtout de ma messagerie.

Luc André, 56 ans, est titulaire d'un diplôme d'ingénieur de l'Ecole Centrale de Paris. Directeur général adjoint de Natexis - Banques Populaires, il est également depuis mai 1997, le président du GIE carte-bleue, et le vice-président du Groupement des Cartes Bancaires.

Pour tout problème de consultation, écrivez au webmaster
Copyrights et reproductions - Données personnelles
4, rue Diderot - 92156 Suresnes Cedex, FRANCE -
Hébergement: Fluxus