Google explique la sécurité aux banques

Publié le 13 mai 2022 par Patriceb @cestpasmonidee
À l'occasion de sa conférence annuelle I/O, Google présentait hier ses dernières innovations. Dans l'univers des paiements, impossible de rater le retour du Google Wallet, en 2011 puis transformé au fil du temps en Google Pay, dont il reprend maintenant le flambeau. Mais le plus intéressant résidait dans une autre annonce : les cartes virtuelles.
Le principe de base en est déjà largement connu et répandu, parfois sous un nom commercial plus attractif : au lieu de régler vos achats en ligne ou sur mobile en fournissant les coordonnées de votre carte de paiement habituelles, vous en créez une deuxième, généralement dans l'application de votre banque, pour le montant de votre choix, avec une période de validité à votre convenance, qui vous permet de finaliser votre commande en évitant tout risque de détournement des informations originales.
La déclinaison qu'en proposera bientôt Google (uniquement aux États-Unis, hélas, dans un premier temps) pour toutes les cartes American Express, Mastercard et Visa, sera entièrement intégrée avec la fonction de remplissage automatique disponible dans le navigateur Chrome et le système Android. Les utilisateurs de cette option n'auront qu'à l'activer sur la page de gestion des cartes associées à leur compte Google et ainsi la mettre en œuvre systématiquement lors de leurs opérations, en totale transparence.
Concrètement, au moment de saisir le numéro, la liste des cartes préalablement enregistrées s'affiche et la sélection de l'une de celles pour lesquelles la protection est installée conduit à la saisie (simulée) des coordonnées d'une carte virtuelle éphémère générée à la volée (y compris le code de vérification – CVV – qui doit normalement être complété à la main). Naturellement, les cas sont également prévus des paiements récurrents et factures dont le montant peut évoluer (légèrement) a posteriori.

Présenté comme un facteur de sécurité supplémentaire dans un monde où les cybermenaces prennent de l'ampleur, le dispositif possède en outre l'extraordinaire avantage de simplifier l'expérience utilisateur, autant par rapport à un fonctionnement traditionnel que (même si ce n'est qu'à la marge) en comparaison de sa version précédente (avec les données « en clair »). Loin d'être un luxe, cette facilité d'usage est une exigence critique dès qu'il s'agit de convaincre les consommateurs de l'adopter.
Dans ce dernier registre, je ne peux m'empêcher de mettre l'approche en perspective face à la consternante stratégie des banques (les principales françaises, notamment) dans leur déploiement des cartes à cryptogramme dynamique. Si le niveau de sécurité apporté est équivalent dans les deux cas, il n'en est déjà plus de même en matière de simplicité. Mais, surtout, le service proposé par Google est gratuit, comme il se doit pour remplir son rôle efficacement, tandis que la solution de l'industrie est partout payante.
La leçon est claire : quand le géant du web se penche sur la protection des moyens de paiements, il fait tout ce qui est en son pouvoir afin de non seulement apporter une solution performante mais aussi de s'assurer qu'elle est accessible à tous. À l'inverse, les institutions financières sont prêtes à de dangereuses compromissions pour créer un peu de revenus. Avec un peu de chance (et de communication), leurs initiatives seront emportées par la vague Google et elles ne pourront s'en prendre qu'à elles-mêmes…