10/03/2001
Comment
Visa prépare (activement) l'après Cyber-comm
Etrange:
à l'heure où Visa semble travailler d'arrache-pied
sur un nouveau protocole de paiement, 3D-Secure, qui
risque bel et bien de reléguer 3D-SET à
l'arrière plan, tout se passe en France comme
si... rien ne se passait ! Ou plus précisément,
comme si le temps s'était arrêté
depuis 3D-SET et Cyber-comm.
Cette dernière solution, adossée à
3D-SET, apportait une authentification forte via la
présence d'un lecteur de carte à puce
sur le poste de l'acheteur et était activement
soutenue à son lancement par de grandes banques
françaises. Que s'est-il passé depuis
avril 2000, date d'inauguration officielle de Cyber-comm
? Pourquoi Visa promeut aujourd'hui un nouveau protocole
de paiement? Une nouvelle bataille américano-française
se dessine-t-elle sur le front du paiement en ligne
? JDNet Solutions avance quelques éléments
de réponse.
Officiellement, Visa joue sur l'argument du "changement
dans la continuité". "3D-Secure ne
fait qu'améliorer le modèle mis en place
avec 3D-SET, nous explique-t-on chez Visa. A savoir,
un modèle qui dissocie bien le domaine de l'acheteur,
celui du marchand et enfin celui de l'interopérabilité
(la plate-forme Visa, ndlr). D'ailleurs, il existera
une passerelle entre 3D-SET et 3D-Secure et les deux
systèmes cohabiteront". Le discours est
tellement apaisant qu'on en oublierait presque que,
dans les faits, Visa pousse bel et bien une solution
de remplacement de 3D-SET. Et il faut insister assez
lourdement pour enfin comprendre ce qui fait la différence
entre les deux protocoles.
3D-Secure, la voie du pragmatisme
Voilà donc ce que nous avons pu recouper auprès
de plusieurs interlocuteurs proches du dossier. Ce n'est
plus vraiment un secret, 3D-SET a échoué
parce qu'il a péché par excès de
complexité, notamment en imposant aux marchands
de transformer leur plate-forme de vente en ligne en
véritable forteresse - entre autres pour gérer
une infrastructure de certificats propre au système.
"Pour comprendre le caractère peu pragmatique
de 3D-SET, il faut se souvenir qu'à l'époque
de son élaboration, les technologies Internet
n'étaient pas forcément aussi mûres
qu'aujourd'hui", nuance toutefois l'un de nos interlocuteurs.
Sans oublier que bon nombre d'acteurs croyaient vraiment
encore il y a deux ans pouvoir diffuser massivement
des lecteurs de carte à puce... Cette complexité,
et le coût de l'infrastructure qui en découle,
a donc eu raison de 3D-SET. "Le système
n'a pas démarré aux Etats-Unis",
concède Claude Megglé, directeur sécurité
et normalisation de Cyber-comm. Et en Europe ? L'intéressé
cite des projets en Allemagne et... au Japon.
Face à l'échec de 3D-SET, Visa a donc
choisi d'élaborer un protocole beaucoup moins
contraignant pour l'acheteur comme pour le marchand.
Et pour cause: 3D-Secure déplace en quelque sorte
la complexité du système de paiement des
"terminaisons" (l'acheteur et le marchand)
vers les plates-formes de Visa et des banques. Tout
fonctionne en fait via des redirections d'adresses assurées
par le "Visa Directory", un annuaire qui reroute
les requêtes sur les banques. Résultat,
si dans le modèle 3D-SET, le marchand prenait
à sa charge une partie de la procédure
de validation de la transaction, il en est totalement
déchargé avec 3D-Secure. Chaque sous-procédure
qui compose la validation d'une transaction se solde
par l'intermédiation de Visa et des banques.
Conséquence fondamentale: la responsabilité,
auparavant partagée entre le marchand et la banque,
est désormais exclusivement à la charge
de cette dernière...
Un pur produit Visa...
Pour authentifier l'acheteur, 3D-Secure (qui définit
un schéma de paiement et non un protocole de
sécurité) donne aux banques trois possibilités:
l'échange d'un login et d'un mot de passe, par
exemple via une session SSL; le recours à la
lecture d'une carte à puce; et, enfin, l'utilisateur
d'Arcot ID, une solution qui s'apparente à une
carte à puce logicielle et qui se conforme totalement
aux spécifications 3D-Secure. Là encore,
Visa a privilégié la souplesse.
Sans surprise, tout n'est pas rose dans le modèle
3D-Secure. 3D-SET avait pour mérite d'être
le fruit d'une alliance entre Visa et Mastercard; 3D-Secure,
en revanche, est un pur produit Visa. D'ailleurs, Mastercard
a dans ses cartons un protocole concurrent (nommé
SPA/UCAF). Un nouvel épisode se soldant par l'élaboration
d'un n-ième protocole n'est donc pas exclu...
Toutefois, le temps semble clairement jouer en faveur
de Visa. Qui a déjà fixé des dates
butoir: d'ici avril 2002 (pour les transactions sur
la région Europe) et avril 2003 (pour les transactions
internationales), les banques devront se conformer à
l'un des deux modèles 3D. Visa laisse en effet
aux banques la possibilité de déployer
directement 3D-Secure ou de passer par une phase intermédiaire
3D-SET. Pas d'ambiguité pour Visa donc: le terminus
s'appelle bien 3D-Secure.
|