CVD ou le paiement par carte bancaire sans carte

Nous l’évoquions dans un article sur les solutions de paiement sécurisé en ligne (voir édition du 29 décembre 2000). Le projet Carte virtuelle dynamique (CVD) prend forme. Initié par le GIE Carte Bleue, le CVD propose de sécuriser les transactions en ligne en remplaçant la saisie du numéro à seize chiffres de la carte (dont l’usage frauduleux connaît une forte augmentation, selon les récentes statistiques officielles sur la délinquance en France) par un numéro de même longueur mais à usage unique. Ce numéro dynamique est généré en temps réel par le serveur de la banque au moment du paiement, après identification de l’utilisateur qui devra saisir identifiant et mot de passe. Unique et provisoire, il ne pourra donc pas être utilisé une seconde fois, rendant ainsi inutile sa récupération éventuelle par un internaute malintentionné.

Pour générer ce numéro, l’utilisateur devra télécharger un petit programme à partir du site de sa banque. Si des versions Windows et MacOS sont prévues, Linux semble avoir été oublié pour le moment (et on ne parle pas de tous les autres systèmes tel BeOS). Ce qui n’est pas très important puisqu’un système de wallet server, assimilable pour le cyber-consommateur à un simple lien favori enregistré dans le navigateur, permettra de se passer du logiciel générateur en question, le serveur contacté se chargeant de calculer le numéro. Une configuration qui ouvre le paiement sécurisé aux bornes Internet publiques ainsi qu’aux transactions via le Wap. Quant au numéro en lui-même, « il est généré aléatoirement à partir d’algorithmes propres au domaine bancaire », explique Jean-Claude Barbezange, directeur d’un département Recherche et Développement chez Atos Origin. La sécurisation du numéro étant garantie par l’identification obligatoire de l’utilisateur. Reste à savoir comment seront protégés les identifiants en question.

Un système simple pour le client et pour le commerçant

Le CVD présente le double avantage d’être relativement simple d’usage pour l’utilisateur et transparent pour le commerçant qui n’a aucune mise à jour à faire sur son système à partir du moment où il accepte les paiements par carte. « En termes d’ergonomie, on souhaitait que ce soit le plus simple possible », assure Jean-Claude Barbezange. Objectif semble-t-il atteint puisque, selon une étude réalisée par Novatris en décembre 2000 et janvier 2001 auprès d’un panel représentatif de 1 200 internautes, 92 % des personnes interrogées jugent le concept « facile ou très facile à comprendre » et 87 % « se sentiraient rassurés pour effectuer des achats sur Internet avec cette solution ».

Petite ombre au tableau idyllique, le CVD n’autorisera pas les micropaiements. « Le CVD est basé sur le système des cartes bancaires dont il hérite des contraintes », confirme le directeur d’Atos Origin. En effet, les paiements par carte bleue, qui assure un contrôle et un suivi individuel de la transaction, coûtent au minimum 1 franc aux banques. Toute transaction inférieure à ce coût n’aurait effectivement aucun intérêt.

Que restera-t-il de Cybercomm ?

Annoncé pour le second semestre 2001, le CVD pourrait bien jeter aux oubliettes le lecteur Cyber-Comm qui, à ce jour, n’a pas rencontré l’engouement du public (et pour cause, les banques n’ont jamais vraiment assuré sa promotion). Mais entre un système purement logiciel et un lecteur payant (plus de 400 francs auprès de PC City par exemple) à installer soit même et mal distribué, l’utilisateur n’hésitera pas longtemps à niveau de sécurisation comparable. A ce jour, il est cependant trop tôt pour connaître le coût de ce nouveau service de paiement en ligne. On sait seulement que la commercialisation de ce service sera laissée au libre choix des banques.