Ça y est ! Après quelques mois de retard sur la date prévue (un retard justifié par le 11 septembre et le passage à l’euro, selon les responsables), le GIE Carte Bleue a lancé lundi 8 avril sa Carte Virtuelle Dynamique (voir édition du 14 février 2001), un service de paiement en ligne sécurisé. Avec la commercialisation du service, la CVD devient l’e-Carte Bleue (eCB). La Société Générale sera la première banque à proposer ce service, à partir du 9 avril, sur son site et demain dans les agences. Elle devrait être suivie par la Caisse d’Epargne d’Ile-de-France d’ici quelques semaines. Toutes les banques ont bien sûr l’opportunité de proposer l’eCB à leurs clients. La Poste, le Crédit Lyonnais et les Banques Populaires ont annoncé leur intention d’adopter le système. Paradoxalement, aucune annonce du côté des banques en ligne Banque Directe et Zebank. Les conditions de commercialisation de ce service sont librement laissées aux établissements bancaires. A titre d’exemple, la Société Générale demande 6 euros à l’inscription puis 0,50 euro par transaction.

Un numéro à usage unique

Le principe n’a pas changé depuis les premières présentations. L’eCB permet de fournir un numéro de carte virtuel, unique et limité dans le temps, soit à la transaction, soit sur une durée définie, ce qui peut être utile pour gérer des abonnements. Le numéro est généré à partir d’un logiciel fourni par la banque du client. Au moment de l’achat, l’utilisateur lance le générateur de numéros virtuels de carte bleue auprès duquel il s’identifie par un identifiant et un mot de passe (lesquels sont transmis au serveur via une liaison sécurisée en SSL 128 bits). Une fois identifié, l’utilisateur entre le montant exact de l’achat, le système génère alors un numéro à seize chiffres virtuel qu’il suffit de glisser-déposer dans le formulaire du commerçant pour valider la transaction. Cette solution permet donc à l’internaute de ne pas avoir à saisir son numéro réel et permanent de carte, et n’impose aucun nouveau développement à l’e-commerçant qui enregistre la transaction comme s’il s’agissait d’une « vraie » carte bleue. La saisie d’un montant inférieur (ou supérieur) à la commande annule, par défaut, la transaction (sauf s’il s’agit des frais de livraison à rajouter et limités à 20 % de la facture). Cette annulation prend effet au moment où le marchand effectue sa demande d’autorisation, soit en temps réel, soit en décalé.

Seules les plates-formes Windows équipées d’un navigateur (Internet Explorer version 4.0 et supérieures) avec le plug-in Shockwave-Flash peuvent en bénéficier. Les utilisateurs de Mac en profiteront dès que les derniers problèmes auront été résolus. Quant aux Linuxiens, rien n’est prévu pour le moment. Soulignons que l’eCB s’utilise comme une véritable CB et ne permet donc pas les micropaiements.

Le risque zéro n’existe pas

Développé en partenariat avec France Télécom Orbiscom (FTO), filiale du groupe France Télécom, ce système évite donc la circulation et le stockage en ligne de son numéro de carte. Mais il ne garantit en rien l’arrêt de la fraude basée sur l’exploitation d’un code à 16 chiffres a l’insu de son propriétaire. « Il est difficile de garantir aux clients que leur numéro de carte ne sera pas utilisé sur Internet ou à distance », confirme Frédéric Toumelin, directeur des nouveaux produits au GIE Carte bleue. En plus du numéro à 16 chiffres, le cyber-marchand pourrait réclamer le fameux cryptogramme visuel (c’est-à-dire les trois chiffres inscrits au dos de la carte et donc jamais imprimés sur les bordereaux de paiement, voir édition du 29 décembre 2000). Mais cela impose au commerçant une modification de son système et donc des frais. De plus, si ce cryptogramme n’est pas mieux protégé que le numéro de la carte, le problème revient à son point de départ. L’autre solution serait d’interdire l’usage de la carte bleue physique pour les achats à distance au profit exclusif d’une solution comme l’eCB. Utopique.

Les banques devront donc convaincre leurs clients de payer pour un service qui ne garantira paradoxalement en rien la sécurité de l’utilisation de leur carte bleue. D’autant que celles-ci sont tenues de rembourser les victimes de telles fraudes si elles ne peuvent en prouver l’origine. L’eCB apparaît donc essentiellement comme une solution rassurante qui s’adresse aux plus réticents à laisser leur numéro de CB en ligne. Selon l’observatoire Carte Bleue du commerce électronique, ils représenteraient tout de même 47 % des acheteurs en ligne. Un vrai potentiel commercial, donc. Mais plus globalement, soulignons l’arrivée de l’eCB comme un pas vers une sécurisation universelle des paiements en ligne.