CDCK : le nouveau système de paiement infaillible ?

Après les lecteurs Cyber-comm (voir édition du 14 avril 2000), après la Carte Virtuelle Dynamique ? qu’on attend toujours ? (voir édition du 14 février 2001), après le cryptogramme visuel (voir édition du 29 décembre 2000) et autres empreintes sonores (voir édition du 8 mars 2001) ou calculettes (voir édition du 9 mars 2001), sans oublier nombre de solutions de porte-monnaie électronique ou de paiement par e-mail, le CDCK sera-t-il enfin la solution efficace et convaincante pour payer sur Internet en toute sécurité, tant pour l’utilisateur que pour les banques et les commerçants ? Dominic Laage, le président fondateur de la société, en est convaincu. Il est vrai que sa solution possède des arguments convaincants puisque le porteur de la carte est automatiquement authentifié à chaque transaction en ligne.

Il faut savoir que lors d’une transaction de paiement par carte bancaire, la banque émettrice génère une autorisation au commerçant. Autorisation qui se contente de vérifier la validité du numéro et de la carte mais « ignore » si l’acheteur est réellement le porteur de la carte, problème le plus couramment rencontré dans le cas de fraudes sur Internet. Le système de CDCK intervient, lui, en amont de l’autorisation. Avant de délivrer celle-ci, le CDCK vérifie l’identité de l’auteur de la transaction en « réveillant » un portefeuille virtuel (wallet autofill) installé sous forme de plug-in dans le navigateur de l’utilisateur. Ce petit programme possède deux niveaux de sécurité. Le premier est constitué d’un identifiant et d’un mot de passe que seul le porteur de la carte est censé connaître. Le second niveau ajoute une authentification cryptée à partir d’un CD-ROM en forme de carte de crédit que l’utilisateur devra glisser dans son lecteur au moment de la transaction. Une fois l’utilisateur identifié, le serveur de la banque valide l’authentification et délivre l’autorisation d’émettre au site commerçant. En l’absence d’authentification de l’utilisateur, l’autorisation n’est pas émise et la transaction annulée.

Les banques en quête de crédibilité

Bien sûr, pour bénéficier du système, il faut s’être identifié auprès de CDCK ou, plus précisément, auprès de la banque qui fournit ce service sécurisé. Laissée au bon vouloir de la banque, l’identification pourrait passer par l’interface Internet de l’établissement financier ou par une inscription de visu. Il faut également que la banque adhère à la solution de CDCK pour pouvoir la proposer à ses clients. De ce côté, Dominic Laage se veut confiant. « Avec les affaires de fraudes à la carte bancaire, Visa et Mastercard ont perdu de la crédibilité auprès des banques qui préfèrent installer leur propres solutions », estime-t-il. « Ce que les établissements bancaires veulent, poursuit-il, c’est changer les règles de la répudiation qui existent à travers la vente à distance [dont fait partie, dans les textes, la vente par Internet, Ndlr]. Et pour cela, il faut que les banques garantissent un système de paiement avec une sécurité sans équivoque. » Selon lui, cinq grandes banques françaises ont montré un fort intérêt pour le CDCK. Si les tests grandeur réelle, c’est-à-dire sur les employés, pourraient commencer avant la fin de l’année, le service CDCK pourrait être proposé aux clients des banques au deuxième trimestre 2002, après le passage à l’euro. Mais à quel prix ? Seul un tarif raisonnable ou, plus simplement, une intégration du service dans l’offre d’une carte de crédit pourra inciter les clients à y souscrire.