Paiement en ligne : la Banque de France se réveille

« Sur le plan de la sécurité, les paiements sur l’Internet sont exposés à des risques potentiellement importants. » Intitulée « La sécurité des moyens de paiement sur Internet », l’étude réalisée par la Banque de France dans le cadre de la mission pour l’Economie numérique, sous l’égide du ministre de l’Economie, des Finances et de l’Industrie, n’a rien d’encourageant pour les acteurs du commerce en ligne. Si la fraude à la carte bancaire sur Internet semble dérisoire en valeur, elle « représenterait » tout de même, en 2000, 1,1 % des transactions en ligne. Soit environ 40 fois plus de fraudes constatées que pour l’ensemble des paiements par carte bancaire (0,026 %).

Cette présence de la fraude en ligne et, surtout, l’absence de sécurité absolue de paiement par carte, amènent les utilisateurs ? c’est-à-dire les consommateurs ? à un « manque de confiance dans les moyens de paiement offerts sur Internet, qui est de nature à entraver le développement potentiel du commerce électronique ». Un obstacle majeur à l’acte d’achat en ligne pour 67 % des internautes selon une récente étude du Cabinet Raffour Interactif pour le Credoc. En clair, le commerce électronique ne prendra son essor qu’avec l’arrivée de solutions de paiement véritablement sécurisées. Et ce serait dommage de passer à côté d’un marché européen estimé par la Banque de France à 550 milliards d’euros en 2005.

Un niveau de sécurité actuel insuffisant

Car à ce jour, aucune des 150 solutions de paiement électronique recensées (Minitel y compris) existant en Europe n’offre visiblement cette garantie. La fraude la plus simple (et probablement la plus courante) est l’utilisation d’un numéro de carte au détriment de son propriétaire. A laquelle s’ajoutent les risques d’interception ou de modification des informations échangées par un tiers non autorisé, le sabotage ou le détournement de site Internet. Et les solutions à venir ne semblent pas convaincre. « Les analyses menées dans le cadre de la mission pour l’Economie numérique permettent de conclure que l’évolution actuelle de l’offre, qui privilégie plutôt les moyens de paiement à base de dispositifs purement logiciels, ne conduit pas toujours à une maîtrise satisfaisante de ces vulnérabilités. En effet, les offres actuelles ou en cours de déploiement présentent des niveaux de sécurité disparates et des faiblesses parfois inquiétantes pour certaines d’entre elles », souligne l’étude.

Pour un usage poussé de la cryptologie

Si les initiatives – tant publiques (avec l’adoption de la signature électronique notamment et en protégeant mieux le consommateur au niveau légal, voir édition du 27 novembre 2001) que privées (avec le développement de la cryptologie, les clés publiques…) – ont progressé, l’étude préconise un renforcement notable de la sécurité qui passerait par « un niveau de sécurité technique le plus élevé possible, tout en étant économiquement viable ». Objectif ambitieux mais vague qui passerait par un ensemble de mesures pour le moins complexes. Comme par exemple : la définition d’un référentiel de sécurité, la création d’un label de sécurité visible par l’utilisateur, une vérification mutuelle et forte de l’identité des parties impliquées dans la transaction, le développement des infrastructures à clé publique et l’amélioration de la protection des utilisateurs. Bref, un usage optimal de la cryptologie.

Autant de mesures qui, tant techniquement qu’en termes de procédures, risquent d’effrayer le consommateur par leur lourdeur. Et qui n’ont, en soi, rien d’innovant. La Banque de France semble oublier que si la carte bancaire a connu l’essor que l’on sait, c’est notamment grâce à sa relative simplicité d’utilisation. Il n’est pas certain que, même pour sa sécurité, l’internaute se soumette à un ensemble de procédures d’identification-authentification ou de commande de clés publiques pour faire ses courses à distance. Autrement dit, les futures solutions auront intérêt à être simples à l’usage, autant pour le consommateur que pour le commerçant. Seront-elles prêtes pour 2005 ?