Eric Duforest d’Oberthur : plaidoyer pour un CVV dynamique

Eric_DuforestDans le cadre de la journée organisée par le Groupement des Cartes Bancaires « CB », Eric Duforest a présenté le CVV dynamique, la toute nouvelle solution d’Oberthur pour sécuriser les transactions électroniques de paiement à distance.

 » Nous avons tous la même préoccupation, la même source d’information, le même sentiment d’urgence. La fraude sur le paiement à distance est passée de 46 % en 2008, 60 % en 2012, soit plus de 20 % par an en valeur et l’on considère qu’en 2013 on frôlera les 70 %.

Les banques, les commerçants et les industriels se trouvent dans une situation d’urgence pour renverser cette situation en trouvant les solutions efficaces.

Nous sommes tous à la recherche de cette solution idéale. C’est le renforcement de la sécurité liée à la facilité de déploiement de la solution, avec des coûts d’exploitation maîtrisés et l’acceptation par le client qui est le point essentiel. Et de constater qu’à chaque fois la hausse du niveau de sécurité a complexifié l’usage du moyen de paiement avec une augmentation du coût d’exploitation.

Du côté clients, on constate un niveau d’exigence de plus en plus fort sur l’ergonomie du système. L’idéal serait de réaliser une transaction sur l’Internet en un clic.

Tout comme l’ensemble des industriels, Oberthur a conçu plusieurs solutions pour sécuriser les transactions à distance, comme la sécurité intégrée dans un produit électronique (Secure Element) contenant une application et les données personnelles des utilisateurs servant à identifier l’utilisateur et authentifier la transaction. Cet élément fait partie intégrante des éléments électroniques d’un téléphone mobile sécurisé. Une solution de même nature a été embarquée sur les cartes SIM distribués par les opérateurs de téléphonie mobile. Autre solution où les données sont stockées sur le Cloud.

Pour Eric Duforest, tous ces systèmes sont fiables, mais avec un point commun : ils ont besoin d’un écosystème formé avec des partenaires industriels, opérateurs de télécoms, banques. Ces systèmes fonctionnement, mais sont complexes à mettre en place et relativement onéreux.

La biométrie est aussi une solution fonctionnant en interaction avec un Secure Element. Plusieurs solutions sont testées : l’empreinte digitale avec des capteurs intégrés dans un téléphone mobile, voire dans une carte plastique. La reconnaissance vocale fait aussi partie des techniques qui se développent. Reste le problème de l’universalité du paiement qui ne peut être atteinte que si le produit est lui même universellement détenu par les utilisateurs.

 

Prenant en compte tous ces éléments, universalité, ergonomie, sécurité, Oberthur a fait un constat : on évalue entre 10 et 30jours l’intervalle entre le vol d’une information sensible et son utilisation par le fraudeur. Si l’on arrivait à réduire ce délai, où le fraudeur peut intervenir, à 1 heure ou 15 minutes le risque de fraude serait limité. Autre constat : si le téléphone devient un moyen de paiement, c’est la carte bancaire qui reste l’instrument de confiance pour les utilisateurs. Il faut ajouter que la carte fait partie d’un écosystème international, régulé et hautement sécurisé, ce qui n’est pas le cas du paiement mobile.

Alors la solution ne serait-elle pas de réduire le temps d’exposition à la fraude d’une transaction. Il est évident que si ce temps est limité à 15 minutes, le fraudeur aurait beaucoup de difficulté à opérer. Cette solution c’est le CVV, le cryptogramme figurant au verso de toutes les cartes bancaires, à condition qu’il soit dynamique, autrement dit qu’il se modifie selon un rythme défini par l’émetteur de la carte. Rejoignant ainsi le concept développé dans les tokens ou les calculettes qui ont fait la réputation de Xiring, aujourd’hui par Ingenico.

Cette innovation a été rendue possible pour Oberthur en rachetant Nagra ID Security qui s’était fait une spécialité de carte avec écran de visualisation et clavier et mot de passe dynamique. C’est cette technologie qui permet le CVV dynamique annoncé par Oberthur. « Cette solution produit un CVV variable, imprédictible, à durée limitée » explique Eric Duforest. Et de préciser qu’Oberthur investit dans des outils permettant de faire de la carte avec CVV dynamique un produit de masse. Il est clair que cette nouvelle carte sera facilement utilisée pour les achats à distance, sur l’Internet, mais aussi par téléphone, dans la mesure où ça ne change en rien les habitudes de l’acheteur. Du côté commerçant, la solution est transparente et ne nécessite aucune modification. Côté émetteur, Eric Duforest affirme que le changement au niveau de l’infrastructure est extrêmement faible. Il suffira d’installer un serveur qui traduira le CVV dynamique en CVV statique.

On attendait aussi Gemalto sur ce concept qui avait montré, en privé, un spécimen mettant en œuvre une encre spéciale qui se modifiait de façon séquentielle. Ces projets ont pour origine un besoin exprimé par le Groupement des Cartes Bancaires « CB » portant sur un CVV Dynamique. Oberthur a tiré le premier et ouvre cette innovation à ses concurrents. Il faut rappeler que dans le domaine du CVV dynamique, la solution Talk to Pay de PW Consultants l’utilise, en mode virtuel, dans l’application développée par La Poste.

Nul doute que cette technique du CVV Dynamique devrait réduire très sensiblement la fraude, non seulement celle produite par les délinquants, mais aussi celle attribuée aux proches du titulaire de la carte bancaire qui ont noté les chiffres permettant de commander sur l’Internet à l’insu du titulaire de la carte.

Poster un commentaire

Classé dans Monétique, Sécurité

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s