Privacy by Design : la sécurité des paiements doit être prise en compte dès la conception des applications

La fraude ne concerne plus que l’unique tunnel de paiement, il faut s’en prémunir dès la conception des applications pour favoriser la confiance.

Apparu il y a une cinquantaine d’années, le paiement par carte s’est progressivement imposé comme un moyen de paiement privilégié. D’une sécurisation croissante, la carte bancaire n’en est pas moins une cible privilégiée des criminels depuis sa création.

Les réseaux de cartes et les banques, ont mis en place des processus et des technologies pour sécuriser au maximum l'écosystème monétique et ainsi rassurer les consommateurs.

Mais l’accélération de la technologie, le développement d’Internet, du e-commerce, du m-commerce,  la naissance des monnaies virtuelles, du paiement sur les réseaux sociaux ont ouvert l’écosystème des paiements, seul le tunnel de paiement étant protégé par une forteresse technique.  Et les criminels qui utilisent des technologies de pointe pour mettre en œuvre de nouveaux moyens d’attaque ne se concentrent plus uniquement sur ce tunnel mais sur l’individu lui-même qui l’utilise via différents canaux, créant ainsi de nouvelles failles et de nouvelles menaces.

Les fraudeurs sont devenus des cybercriminels organisés qui usurpent d’identité, s’introduisent dans les réseaux ou les équipements, attaquent des nouveaux acteurs et des nouveaux maillons des chaines de paiement comme ApplePay par exemple.

Cette intégration du paiement dans les flux de l’économie numérique ainsi que la multiplicité des canaux et des points d’entrée entrainent de nouvelles menaces et de nouveaux risques, qui ne sont plus propres à l’écosystème du paiement : même si le tunnel de paiement reste la cible finale pour détourner les fonds ou les marchandises, les cybercriminels ne l’attaquent plus de front, mais multiplient leurs attaques en périphérie pour tromper le processus de paiement sécurisé.

Lorsque nous effectuons un acte numérique (inscription sur une e-boutique, paiement sur internet ou de proximité…), nous communiquons des données plus ou moins sensibles, plus ou moins volontairement. Et les données de paiement ne se limitent plus à un numéro de carte, mais comprennent aussi un numéro de téléphone mobile, un IBAN, une adresse e-mail, ou tout autre information d’identification que les consommateurs confient aux commerçants ou aux fournisseurs de services.

Analyser les données des transactions de paiement pour en identifier des suspectes ne suffit plus. D’ailleurs, certains exemples récents ont montré qu’il peut se passer plusieurs mois avant que des fraudes soient détectées, parce que les causes peuvent être, très en amont, des vols de données (données de paiement mais aussi données personnelles associées comme dans la cas de Home Depot) qui « intelligemment » utilisées peuvent rendre des transactions de paiement crédibles et donc par la même occasion pas suspectes.

Alors dans ce monde numérique, la sécurité des paiements évolue.

S’il faut bien évidemment continuer à protéger les tunnels de paiement (de la saisie du code PIN à la finalisation de la transaction) en limitant l’exposition des données de paiement lors du traitement de la transaction et en évitant que la donnée de paiement réelle (par exemple le numéro de carte) ne soit manipulée que par un minimum d’acteurs et pendant un minimum de temps, il faut surtout penser, dès le développement des applications, à protéger contre l’usurpation d’identité, de l’enrôlement à  l’acte de paiement, à travers des échanges en temps réel de données dynamiques et/ou l’utilisation de la biométrie lors du paiement.

Jusqu’à maintenant, la sécurité des moyens de paiement reposait sur des cadres réglementaires, principalement élaborés par les acteurs historiques. Aujourd’hui, il faut surtout privilégier la prévention et, pour cela, il faut intégrer la sécurité des données de l’individu dès la conception de tout nouvel outil ou nouveau service : c’est le concept Privacy by design.

Dès le moment où la sécurité apparait comme une composante de base d’un nouveau service, la confiance dans ce service s’établit et son usage se développe.

En résumé, un nouveau paysage de la sécurité des moyens de paiements se dessine, bien plus large que celui que nous avons connu jusqu’à présent : chaque acteur de l’écosystème (clients, commerçants, fournisseurs de services, régulateurs, gouvernements et le consommateur) doit devenir maintenant « Data Responsable ». Et les créateurs de services, de sites, d’applications doivent dès leur genèse !