|
Le casse-tête de
la sécurisation des paiements à distance
a peut-être enfin trouvé sa solution. Non
pas que CDCK
dispose d'une technologie ultime, inédite ou
inégalable. Au contraire, l'idée semble
relativement simple... mais il fallait y penser. La
start-up américaine fondée au printemps
2000 par une poignée de consultants spécialisés
dans la cryptologie propose un système inédit :
le numéro de carte de crédit de l'utilisateur
est tout simplement refusé, par défaut,
par la banque équipée du nouveau système.
Le porteur de la carte doit donc autoriser la transaction
qu'il souhaite effectuer pour que son numéro
soit accepté. Pour ce faire, il dispose d'un
plug-in intégré à son navigateur
et d'un mini CD-Rom contenant une clé chiffrée
unique.
Ni
boîtier onéreux, ni numéro de carte
virtuelle
Dominic Laage a passé
"22 ans dans la Silicon Valley", y a fondé
CDCK sur la base d'une levée de fonds réalisée
en moins d'une semaine auprès de Robert-Louis
Dreyfus (ancien CEO d'Adidas et de Saatchi & Saatchi)
puis est revenu en France pour s'y installer.
En implantant sa société
près de Sofia Antipolis, le fondateur a également
convaincu plusieurs experts en cryptologie américains
de le suivre. Depuis sa création en avril 2000,
CDCK s'est alors attachée à développer
une solution de "protection à 100%"
contre les achats frauduleux à distance. "Un
prototype de notre solution a été finalisé
fin 2000, début 2001", indique Dominic Laage.
Mais la campagne correspondant au véritable lancement
de l'offre a débuté au deuxième
trimestre 2001.
Avantage concurrentiel sur un marché où
l'offre est déjà (trop ?) significative :
CDCK s'adresse aux banques et ne vend rien, du moins
directement, aux utilisateurs. Autre originalité :
"alors que les banques allaient vers la CVD (carte
virtuelle dynamique, ndlr), elles reviennent aujourd'hui
au vrai numéro de carte", souligne Dominic
Laage. Or CDCK propose pour sa part une solution dite
"ON/OFF" qui traite directement le vrai numéro
de carte bancaire, protégé par un identifiant,
un mot de passe et une clé PKI sur support physique.
Les échecs
d'un Cyber-Comm ou autre système fondé
avant tout sur l'équipement des ménages
en appareils coûteux (un lecteur de cartes à
puce revient à environ 400 francs) ont inspiré
la stratégie de la start-up : "Nous
installons des serveurs sur le système de la
banque, explique le fondateur. L'un sert à différencier
la VAD (vente à distance) de la vente à
proximité, à détecter les numéros
protégés par CDCK et à bloquer
pour celles-ci toute connexion au serveur d'autorisation
de la banque... du moins tant qu'un deuxième
serveur CDCK, destiné à l'authentification
du porteur, n'a pas reçu l'autorisation du porteur
de cette carte concernant cette transaction". L'autorisation
elle-même s'effectue via "un simple plug-in
qui transmet juste avant l'achat : la clé
chiffrée à 1024 bits correspondant à
l'identité du porteur (lue sur le mini CD-Rom),
le montant maximum qu'il souhaite se voir débiter
et la référence exacte de la stransaction
concernée".
Objectif :
"faire gagner de l'argent" aux banques
En garantissant ainsi
que le marchand ne débitera pas plus que le montant
affiché, CDCK sécurise le paiement à
distance pour les acheteurs. Mais le système
empêche surtout le recours à des programmes
générateurs de numéro de cartes
valides ou encore à des facturettes "trouvées"
pour payer frauduleusement. L'argumentaire de CDCK - qui
recherche activement un partenaire susceptible d'accepter
de lui commander un pilote - repose sur le coût
exponentiel de la fraude pour les établissements
bancaires. En effet, entre marchands et acheteurs, les
banques se trouvent confrontées à un taux
annuel de 3% d'impayés sur les transactions à
distance par communication d'un numéro de carte
de crédit. Et Dominic Laage évalue à
"environ 6 millions d'euros par an" les frais
qui en découlent.
Alors que la Banque de France a donné son accord
pour valider la solution CDCK dès lors qu'un
projet pilote aura été commandé
par une banque, le fondateur rappelle que "Visa
va transférer la responsabilité de la
fraude des marchands vers les banques porteurs".
Dans cette perspective, la nouvelle solution intéressera
les établissements qui oseront fournir aux "8%
de porteurs qui réalisent plus d'un achat par
mois à distance" une solution de sécurisation
fondée sur une sorte d'auto-interdiction :
"les banques ont un peu peur de se lancer dans
un système qui bloque tout", admet Dominic
Laage. Mais il affirme être "en pourparlers
avec plusieurs banques françaises" et rappelle
que son offre constitue "une solution complètement
internationale", les standards étant déjà
en place.
"CDCK ne fait pas payer la banque tant qu'elle
ne fait pas d'argent avec notre système",
assure le fondateur. Ensuite, le coût de la solution
se compose d' "une licence 'one-time' d'environ
100 000 francs et d'une facturation par utilisateur
et par an d'environ 10 euros". L'implémentation
des serveurs d'autorisation (situé entre l'utilisateur
et le serveur d'autorisation de la banque), d'authentification
et de stockage d'informations diverses nécessite
"environ 4 mois, en coopération étroite
avec les monéticiens de la banque", précise
Dominic Laage. Ces derniers représentent un quart
des équipes concernées, le reste étant
composé de consultants CDCK et d' "un
partenaire du secteur de la monétique".
Au final, les banques intéressées n'auront
plus qu'à charger leurs prestataires habitulels
d'intégrer la technolgie CDCK sur des kits utilisateurs
à leurs couleurs. Libres à elles, ensuite,
de les commercialiser ou de les offrir à leurs
propres clients.
|
