L'Observatoire de la sécurité des cartes de paiement vient de rendre son rapport [PDF] pour l'année 2011, marquée par une hausse sensible de la fraude, en particulier sur Internet. Face à cette situation préoccupante, quelques recommandations sont émises : sont-elles réellement adaptées ? Par ailleurs, la partie prospective du document consacrée à l'utilisation du mobile comme terminal de paiement mérite également une petite analyse.
Sur le plan de la fraude sur Internet, l'Observatoire prend acte des mauvais chiffres enregistrés l'année passée et brandit 3D-Secure en arme universelle pour la maîtriser, comme il l'avait déjà fait en 2010. Celle-ci fait conséquemment l'objet d'une étude détaillée, révélant notamment que près d'un quart des transactions sont désormais protégées par ce système, qui est par ailleurs adopté par environ la moitié des e-commerçants hexagonaux et activé (donc utilisable) par 85% des consommateurs.
Étonnamment, les rédacteurs du rapport adressent un satisfecit général à 3D-Secure alors qu'ils concèdent dans le même temps que 40% des internautes trouvent complexe l'utilisation des dispositifs à base de SMS (les plus répandus), qu'1 sur 3 éprouve des difficultés d'accès, 10% estimant même bloquants les problèmes rencontrés.
Pire encore, ils admettent que 20% des transactions 3D-Secure échouent, en considérant que ce taux n'est pas très grave car, dans de nombreux cas, le deuxième essai est couronné de succès (surtout, peut-on supposer, sur les sites traitant les volumes les plus importants, tels que ceux d'Air France et Voyages-SNCF, où le client est plus ou moins captif) ! Les commerçants apprécieront...
Mais outre ces difficultés "techniques", la promotion quasi-exclusive de 3D-Secure pour sécuriser le commerce en ligne peut s'avérer dangereuse. Car si la technologie prémunit les marchands contre l'usurpation de données de paiement, elle est relativement impuissante à protéger le porteur, qui en subit pourtant directement tous les désagréments. En effet, lorsqu'une carte bancaire est "piratée", elle est très facilement utilisable sur des sites n'implémentant pas d'authentification forte. Parmi ces derniers, le m-commerce figure d'ailleurs en bonne position puisque, comme le souligne l'Observatoire, les mécanismes à double secret actuels ne sont pas adaptés à un usage sur téléphone.
Il ne s'agit pas ici de décrier 3D-Secure, qui a tout de même son utilité en l'absence de solution idéale et universelle. Mais il faudrait prendre soin de ne pas en faire, dans l'esprit du public, la solution à tous les maux. Car lorsque l'internaute qui ne visite que des sites protégés verra malgré tout sa carte utilisée frauduleusement, sa réaction sera probablement virulente. A l'opposé, tout devrait être fait pour stimuler le développement de nouvelles solutions réellement efficaces et simples à utiliser, en considérant que les systèmes actuels ne sont que des pis-allers temporaires.
Quant à la "veille technologique" évoquée dans ce même rapport, dont plus particulièrement le volet abordant les TPE ("terminaux de paiement électronique") sur mobile, son contenu est tout autant contestable. A commencer par l'assertion, répétée à plusieurs reprises, établissant que les smartphones actuels ne disposent pas d'élément de sécurité. Information erronée, si elle fait bien référence à la présence d'une puce cryptographique, au moins pour l'iPhone, depuis la version 3GS et, plus récemment, pour la plupart des appareils Android équipés d'une interface NFC.
D'une manière générale, les solutions de type "Square" (utilisant un petit lecteur de carte à connecter sur le téléphone) sont rejetées sans appel, sous prétexte de lacunes de sécurité, supposées les rendre incompatibles avec la réglementation (et autres contraintes apparentées) en vigueur en Europe. Là encore, le doute est permis quant à l'analyse proposée : les smartphones sont certes ouverts aux logiciels tiers, potentiellement sources de risques pour la sécurité, mais les exigences avancées par les auteurs, de signature des applications, de ségrégation du paiement vis-à-vis des autres fonctions... ne leurs sont pas inaccessibles pour autant.
Cependant, ce qui choque le plus dans le rapport est la manière de présenter l'alternative. Ainsi, une fois écartées les solutions exploitant un accessoire pour lire les informations de la carte, il ne resterait aux commerçants intéressés que l'option de la saisie manuelle des données (numéro de carte, expiration et code CV2) sur un site ou une application mobile (comme sur une boutique en ligne), qui ressort finalement de la comparaison comme étant la seule à respecter les exigences de conformité en vigueur. Voilà une bien étrange manière de défendre la sécurité des paiements, alors que ce mode d'acceptation ouvre une porte béante à la fraude (d'autant plus qu'aucun mécanisme d'authentification à 2 facteurs n'y est adapté) !
Le risque est certainement classique dans ce genre d'exercice, conduit par une autorité telle que la Banque de France, mais ce rapport sur la sécurité des cartes de paiement me semble, une nouvelle fois, totalement contre-productif. En restant cantonné sur des idées anciennes, sans jamais remettre en question le statu quo qui prévaut depuis plusieurs années, non seulement l'innovation se trouve étouffée (à l'opposé des objectifs fixés dans certaines hautes sphères gouvernementales) mais, plus grave encore, la sécurité des moyens de paiement ne progressera pas et la fraude continuera à croître.
Pour ne pas voir la situation actuelle continuer à se dégrader, il serait pourtant indispensable, d'une part, de promouvoir le développement de nouvelles réponses sécuritaires aux menaces qui évoluent sans cesse et, d'autre part, de prendre en compte efficacement les innovations qui émergent partout dans le monde et qui ne peuvent être ignorées qu'au risque de placer la France à la traîne du reste du monde, au lieu de les écarter arbitrairement parce qu'elles soulèvent des questions inédites de sécurité auxquelles il est plus simple de ne pas chercher de solution.