1 Le système de paiement interbancaire off line est solide et sécurisé
télécharger 29.23 Kb.
|
| La sécurité des paiements en ligne laisse à désirer Xavier Dalloz – Jean-Marc Lévy-Dreyfus Voir le blog sur l’Internet de la Confiance : http://blog.gotapp.com 1 Le système de paiement interbancaire off line est solide et sécurisé. Le système de paiement interbancaire, qui offre l’immense avantage de dématérialiser et donc sécuriser les paiements en monnaie (sonnante et trébuchante) et de pouvoir payer à distance, ne fonctionne que parce que tous les acteurs du système acceptent de rentrer dans une logique de Contrat de Confiance. Tous les moyens de paiement bancaires (cartes, chèques, virements,TIP ... ) sont parfaitement encadrés par ce modèle contractuel. Parce qu’elles sont interbancaires, les transactions doivent être inter-opérées. Ce qui implique qu’elles soient organisées dans une architecture à 4 coins. (émetteur du paiement - acquéreur du paiement - Banque de l'acquéreur - Banque de l'émetteur). Off line, il est simple de contrôler avec une grande certitude l'IAS - Identification, Authentification, Signature – relatif à chaque échange et donc de garantir le consentement et la non répudiation de chaque partie prenante à la transaction. La mécanique de la compensation à 4 coins est en mode pull : c'est l'acquéreur du paiement (le marchand) qui est moteur, car c'est lui qui reçoit le titre de paiement et déclenche le processus de compensation. Le système repose sur un postulat central : l'engagement des acteurs à respecter le Contrat. Celui qui fraude le contrat se retrouve en situation de bannissement et donc incapable de commercer. L'émetteur du paiement (le consommateur) est fortement incité à ne pas tricher en répudiant de manière illégitime ses transactions ou en émettant des chèques sans provisions, car in fine cela amènera son exclusion de l’espace de Confiance et sa sous bancarisation. L'acquéreur du paiement (le marchand) est fortement incité à fournir des prestations conformes car le paiement est tracé et encadré, ce qui donne au consommateur la possibilité de recours en cas de mauvaise exécution. Les intermédiaires de paiement sont organisés et régulés par des standards interbancaires très solides. Off line, le consommateur est protégé de la fraude, le marchand est assuré d'être payé et le travail des banques est standardisé et automatisé par diverses chambres de compensations interbancaires correspondant aux différents moyens de paiement. Du fait de la mise en œuvre de terminaux et de véhicules de paiement matérialisés et du système de compensation à 4 coins l’exécution complète de la transaction est par définition asynchrone. Le paiement par carte pourrait techniquement être compensé en temps réel. Mais en pratique cela est rendu impossible du fait de l’hétérogénéité des cartes (à piste et à puce) et des terminaux de paiement qui sont actuellement en service aux quatre coins de la planète. 2 Le paiement en ligne, par carte bancaire, est fragile et durablement mal sécurisé. A cela deux raisons : 1 Pas d’IAS en ligne L'émission d’un paiement en ligne, fonctionne en mode purement déclaratif. Il suffit d'entrer les détails d'une carte bancaire pour « payer » un achat. Le seul contrôle est donc l’identification du compte carte sur lequel sera prélevé le paiement. En pratique, l’absence d’IAS lors d’un paiement en ligne n’est pas gênante pour les paiements qui aboutissent à un contrôle de validité lors de la livraison du produit ou du service acheté. Vérification d’identité lors d’un voyage avec un e-ticket - avion, i-TGV, Emission du titre prépayé sur une borne (SNCF) Livraison recommandée à une adresse physique ( Poste, Relais Colis). Par contre, le problème est posé pour les paiements de services et de produit livrés en ligne et surtout pour les opérations de transfert d’argent. Car ces paiements sans IAS peuvent être contestés bien longtemps après que les produits et ou les services aient été délivrés et consommés. Et dans ce cas, c’est le marchand (ou l’assureur) qui prend en charge la perte. Face à ce problème, des systèmes de contournement permettent d’obtenir une Identification + une Authentification (exemple PAYPAL : qui requière une adresse mail et un mot de passe) Mais il n’existe pas en ligne – contrairement à ce qui existe dans le mode off line - de système de signature permettant de garantir le consentement définitif de l’émetteur du paiement. Un nouveau standard d’authentification appelé 3DSecure http://en.wikipedia.org/wiki/SecureCode vient d’être proposé par les grands émetteurs de cartes (VISA - Mastercard …) et commence d'être déployé. Ce système d’authentification demande à l'émetteur du paiement en ligne de communiquer un mot de passe 3DS que lui a fourni la banque émettrice de la carte et qui n’est pas un code PIN rattaché à la carte elle-même. Le mot de passe 3DS est vérifié en temps réel auprès de la banque émettrice avant que la transaction soit prise en charge par le système de compensation de cartes. Certes, 3DS ne recueille pas réellement une IAS relative à chaque transaction – puisque les mêmes éléments (N° à 16 chiffres de la carte – mois de péremption- numéro au dos + mot de passe 3DS) sont suffisants pour opérer tous les paiements – mais elle permet de transférer responsabilité du paiement sur le détenteur de la carte utilisée avec 3DS. Et donc de garantir l’e-marchand contre la contestation du paiement, dès lors qu’il aura posé et exigé le contrôle 3DS sur son site. Il est à noter que les premiers sites qui ont mis 3DS en place ont constaté des pertes conséquentes de CA du fait que la plupart de leurs clients ne disposent pas, encore, de clés 3DS. Voir le blog http://www.oscommerce-fr.info/forum/lofiversion/index.php/t57793.html On peut toutefois se poser la question de la sécurité anti-phishing pour l'acheteur de bonne foi qui va entrer son numéro de carte et sa signature 3DS sur un site fraudeur et donc risque de voir son compte débité sans plus même pouvoir contester. 2 Usurpation et Fraude. Je ne vais pas reprendre ici le sujet si ce n’est pour en analyser brièvement les effets collatéraux sur le fonctionnement offline. Certes la personne qui a la malchance de voir son compte usurpé, bénéficie du recours de contestation des paiements frauduleux. Mais elle se trouve aussi sérieusement gênée par le fait que la carte utilisée frauduleusement sera immédiatement annulée. Ce qui occasionne : Pour le malheureux dont la carte a été usurpée, toute une série de démarches (dépôt de plaintes, réclamation des sommes, demande et attente de nouvelle carte) et de problèmes (nouveaux codes PIN, se débrouiller sans carte pendant toute une période) Pour la banque émettrice de la carte, toute une série de coûts (contrôles des sommes fraudées, remboursement du client, réémission de carte …) Enfin il est essentiel de prendre en compte le fait que le paiement en ligne est aujourd’hui réservé à ceux qui disposent d’une carte bancaire, et donc qui vivent dans les sociétés où existent des réseaux bancaires. Pour mémoire, à ce jour lus de 4 milliards de numéros de téléphones mobiles ont été mis en service dans le monde dont la majorité par des clients qui vivent dans des sociétés peu et mal bancarisées. Ces dizaines de millions de néo-consommateurs ne sont pas à demain la veille de disposer de cartes bancaires et ne peuvent donc guère espérer acheter ou vendre en ligne. 3 La prochaine génération de paiement en ligne : un service de type Réseau Social Ces néo-consommateurs des pays émergents, qui achètent des services de téléphonie mobile en ligne grâce aux cartes prépayées et se servent massivement de l’internet dans les web cafés ont le plus besoin de disposer de système de paiement en ligne. Ils ne pourront pas bénéficier de l’offre actuelle de paiement en ligne par carte bancaire, fut elle dotée de nouveaux verrous de sécurité renforcée. Je crois qu’il faut passer à un autre mode de transaction basée sur logique de l'identification des émetteurs et des acquéreurs des paiements adapté aux activités en ligne et aux possibilités d’usage des consommateurs les moins éduqués sur le plan bancaire. Ce qui signifie aussi qu’il faudra installer des mécanismes de vérification et de compensation des transactions adéquats au fonctionnement en ligne. Ces systèmes seront inévitablement différents et autonomes par rapport à l’interopérabilité bancaire. Si l’on regarde l’évolution récente de l’Internet, on constate une rupture majeure des usages : De plus en plus d’utilisateurs installent leurs données et leurs contenus dans des sites de réseaux sociaux qui leur fournissent un espace fonctionnel et simple où déclarer et loger leurs profils et des services pour interagir simplement avec d’autres membres des mêmes réseaux. Les sites de réseaux sociaux offrent à leurs membres des services essentiels qui ne pouvaient pas être rendus auparavant : Annuaires de membres avec moteur de recherche efficace, domaines personnels (home page) publics et privés en ligne allways on, services, espace de stockage qui conserve et organise la trace des échanges. Pour ses affiliés, le réseau social est un tiers de confiance qui garantit de bout en bout des échanges qualifiés et directs. Ce qui est loin d’être le cas sur le Web classique où par défaut les utilisateurs sont soumis à toutes sortes de contraintes qui fragilisent leurs échanges (spam, malware, phishing) et qui les forcent à se placer en situation de défiance. ( anti virus, anti-spams, firewalls, sauvegardes backup ..) Grace à cette position de tiers référent les sites sociaux ont introduit des nouveaux modes de communication interpersonnelle, qui permettent d’échanger en sécurité et confidentialité entre membres sans recourir à une plateforme d’interopérabilité de type messagerie par emaiil. Ces services s’appuient sur une architecture à 3 coins (émetteur du message, serveur central du réseau social, récipiendaire du message). Cette organisation d’échanges n’est possible que parce que tous les acteurs participant à chaue transaction sont inscrits dans le même serveur central. Je crois que la prochaine génération de paiements en ligne s’appuiera sur une architecture similaire. Elle ne visera pas à fournir des services de paiement en inter bancarité mais la spécialisation des échanges entre membres d’une communauté donnée. Dans le monde réel, de nombreux systèmes de paiement sont architecturés sur 3 coins. C’est le cas des maisons de transfert comme Western Union par exemple, c’est aussi le cas des systèmes de distribution des cartes de prépaiement téléphonique. Ces systèmes ne sont certes pas interopérables, mais ils sont beaucoup plus simples à mettre en jeu et à déployer pour autant que le serveur central soit piloté par un tiers référent aux yeux d’une communauté d’émetteurs et d’acquéreurs donnée. |
similaire:
 | | ||
| «neutre» dilué d’hypochlorite de sodium. On la prépare par ajout, dans de l’eau distillée bouillie et froide, d’hydrogénocarbonate... | | |
 | «hamiltonien» de cet objet. On ne parle plus d'ailleurs d'objet, mais de système formé d'objets liés par un champ de force, pour... | | «Farandole» est un lieu d’accueil qui a fait l’objet d’une déclaration à la ddcs de Vendée. IL est géré par l’association Familles... |
| «Farandole» est un lieu d’accueil qui a fait l’objet d’une déclaration à la ddcs de Vendée. IL est géré par l’association Familles... | | |
| «s’allument pas», c’est ce qui s’est passé pour les neuf planètes du Système Solaire | |