Une empreinte sonore pour sécuriser les paiements
Sécuriser un paiement grâce à une séquence sonore, telle est la solution retenue par Elva pour sa carte VocaliD. Un système qui évite la circulation en ligne du numéro de la carte et peut s’utiliser à partir d’un téléphone, fixe ou mobile, ou d’un ordinateur équipé d’un microphone. Une solution qui ne nécessite qu’une mise à jour logicielle et peut donc être déployée rapidement.
Avec l’intensification du commerce électronique, les solutions de paiement en ligne sécurisé se multiplient. Après les (trop rares) lecteurs Cyber-comm (voir édition du 12 avril 2000), le cryptogramme visuel (voir édition du 29 décembre 2000) ou encore le récent CVD (voir édition du 14 février 2001), Elva, société franco-américaine d’ingénierie, apporte, avec VocaliD, sa pierre à l’édifice de l’authentification des transactions en ligne. Cette carte à puce au format traditionnel (0,76 x 85,5 x 54 mm) repose sur le principe d’identification et d’authentification sécurisées à partir d’une… empreinte sonore. En effet, l’effleurement d’une touche sensitive déclenche un son qui permet au serveur d’identifier la carte de manière unique.
Une séquence sonore couplée à un code PIN
L’authentification est assurée par un cryptogramme variable calculé, à chaque connexion, à la fois par le serveur et par la puce de la carte de façon synchrone. Le calcul du cryptogramme s’appuie sur une clé secrète et sur la séquence émise lors de l’utilisation précédente (sauf pour la première utilisation qui utilise uniquement la clé secrète). Ce nouveau calcul systématique met ainsi en échec l’utilisation éventuelle d’une séquence interceptée précédemment. Une fois l’authentification effectuée, l’utilisateur tape un code secret (code PIN) qui peut être modifié en ligne. Une sécurité supplémentaire qui interdit toute utilisation de la carte en cas de vol (sauf si le « voleur » contraint l’utilisateur à lui communiquer le code, mais on se retrouve dans le même cas que pour une carte bancaire classique). Quant à la séquence sonore, qui ressemble à l’émission d’une porteuse de fax ou de modem, elle dure moins d’une seconde et est émise en boucle sur une modulation FSK (Frequency Shift Keying) à 250 bits/s, plus rapide et moins sensible aux nuisances environnantes que le DTMS (Dual Tone Multifrequency Signaling), selon Elva.
Concrètement, le porteur d’une carte VocaliD compose le numéro de téléphone du serveur, déclenche la séquence sonore de la carte, tape son code PIN et effectue ses transactions. Dans le cadre d’un achat en ligne, il faut bien sûr avoir été identifié auprès d’un tiers de confiance, qui sert de lien entre le commerçant et l’acheteur dont il possède les coordonnées bancaires (sur une plate-forme qu’on espère sécurisée). Outre le renforcement de la sécurité (puisque le numéro de carte bancaire à 16 chiffres ne circule pas en ligne), VocaliD présente l’avantage de pouvoir être utilisé à partir d’un téléphone, fixe ou mobile, comme d’un ordinateur, équipé cependant d’un micro. Le serveur ne nécessite aucune autre modification que l’installation des logiciels VocaliD (réunis sous l’appellation AXS). Côté client, l’utilisateur doit simplement installer le plug-in VocaliD sur son navigateur. La carte est alimentée par une pile spéciale d’une durée de vie de 3 000 utilisations ou 3 ans. La solution VocaliD ne requiert pas de changement d’infrastructure ni de lecteur spécifique et peut donc se déployer rapidement sur toute la planète. Elva commencera ses tests publics en avril prochain avant de commencer la commercialisation massive en 2002, simultanément en Europe, aux Etats-Unis et en Asie.