Final crée une carte de paiement anti-fraude

Publié le 31 mars 2015 par Patriceb @cestpasmonidee
Pour les fondateurs de Final, la lutte contre la fraude a une saveur particulièrement amère puisque, à la suite du vol massif de données chez Target en 2013, les désactivations brutales de leurs cartes bancaires les ont laissés, l'un dans l'impossibilité de payer son café, l'autre sans aucun accès à son argent pendant un voyage en Europe.
De cet incident est née leur idée de créer une solution différente, qui éviterait que la défaillance d'un commerçant quelconque n'ait, sur la vie entière de ses clients, un impact aussi dramatique que celui qu'ils ont vécu. Pour ce faire, ils se sont simplement emparés du concept de (numéro de) carte à usage unique, qu'ils ont ensuite complété pour mieux l'adapter aux exigences du consommateur moderne, notamment en termes d'expérience utilisateur et de richesse fonctionnelle.
Sa première originalité est de ne pas se limiter aux paiements en ligne, ce qui était évidemment un impératif dans le contexte de sa création. L'offre comprend donc une vraie carte en plastique – au standard EMV, qui plus est – produisant un nouveau numéro, jetable, pour chaque transaction exécutée. De la sorte, dans le cas d'un piratage dans les systèmes informatiques du marchand, le porteur ne court aucun risque, les données enregistrées ne sont absolument pas réutilisables. L'intégration dans un porte-monnaie mobile (Apple Pay, peut-être ?) est aussi prise en charge.
D'autre part, la protection des opérations réalisées en ligne ou sur mobile est elle-même enrichie par rapport à ce que l'on connaît jusqu'à maintenant. Classiquement, un greffon pour les principaux navigateurs web ainsi qu'une application mobile permettent de générer (et, souvent, de remplir automatiquement) un numéro de carte temporaire, pour un montant plafonné, si nécessaire. Mais il est également possible, avec les mêmes outils, d'associer une carte virtuelle à un commerçant spécifique.

Grâce à ce mécanisme, plus pratique que la génération systématique d'un numéro (en particulier sur les sites qui permettent l'enregistrement des coordonnées bancaires), la protection de la carte devient un jeu d'enfant. Tout d'abord, l'émetteur peut procéder à une annulation lorsqu'il est notifié d'un incident chez un marchand, sans frais et sans affecter globalement la capacité de paiement de ses clients. Et ces derniers peuvent révoquer eux-mêmes, d'un geste, la carte associée à une marque, d'autant qu'ils reçoivent une notification « actionnable » dès qu'une transaction est réalisée.
Les concepteurs de Final sont conscients qu'il n'est pas facile de convaincre les consommateurs de prendre soin de leur sécurité, surtout avec des outils qui restent, malgré tout, contraignants. Ils comptent cependant sur les effets des multiples affaires récentes de vol de données, dont la large couverture médiatique devrait avoir contribué à changer les mentalités. Pour le reste, c'est la qualité de l'expérience offerte qui devra faire la différence et la startup est plutôt bien dotée, sur ce plan.
Bien que le concept soit séduisant, le positionnement de la carte Final est tout de même à contre-courant des tendances actuelles, qui visent à remplacer – au moins dans les porte-monnaie mobiles – la transmission des références de paiement par une solution standardisée d'envoi de jeton (« token ») à usage unique. Elle répond donc bien à un problème immédiat (et sensible), mais son espérance de vie sera intimement liée aux progrès de ces approches de sécurité émergentes.