Le développement des paiements digitaux est freiné par un manque de confiance au sujet de leur sécurité selon une étude du BCG. Par paiements digitaux, nous entendons le e-commerce (paiement à distance, en ligne par carte ou via e-wallet) et le m-paiement (paiement à distance, paiement de proximité et paiement de mobile à mobile).

De nombreuses entreprises se sont donc penchées sur des solutions sécurisées de paiement digital avec l’objectif de rassurer au mieux les utilisateurs : panorama des solutions existantes.

Un panorama de solutions de paiement digital en évolution constante

gears industrial abstract background

1er moyen historique de paiement en ligne, la carte bleue. Dans un souci de sécurisation, de nombreuses entreprises ont ajouté le SMS de confirmation (3D – Secure) pour les paiements en ligne réalisés par CB sur leur site. Néanmoins, le code reçu par SMS permet de finaliser un achat qu’après avoir entré ses coordonnées bancaires sur le site marchand. Ces mêmes coordonnées se retrouvent donc à un moment sur Internet.

Il existe d’autres solutions qui ne nécessitent pas d’entrer ses coordonnées bancaires lors d’un achat sur Internet. C’est le cas de la e-carte bleue (obtenue auprès de sa banque):  il devient possible d’effectuer des achats en ligne, en toute sécurité, sans avoir à communiquer le numéro de carte réelle. Le numéro de carte réelle ne circule pas sur le web car il est remplacé par un e-numéro que l’on obtient pour chaque achat.

De même, grâce au concept de portefeuille électronique (digital wallet) utilisé par l’américain Paypal et son équivalent français Paylib, tout paiement en ligne peut s’effectuer grâce à une adresse mail et un mot de passe. En effet, un digital wallet est un dispositif sécurisé permettant à un internaute d’initier un virement sans avoir à renseigner ses coordonnées bancaires. Elles sont enregistrées sur un site, une application servant de « porte-monnaie en ligne » Ainsi, les coordonnées bancaires ne sont pas partagées avec le vendeur.

Le paiement mobile, quant à lui, est au cœur de la révolution des moyens de paiement. Il est maintenant possible de transférer de l’argent de mobile à mobile (Lydia, Pumpkin …) mais aussi, grâce à la technologie NFC (Near Field Communication), de payer directement avec son mobile en magasin. Ces nouveaux de moyens de paiement, s’ils offrent une expérience nouvelle et enrichie, posent encore et toujours la question fondamentale de la sécurité des données clients. Ils ont amenés à la naissance de solutions intéressantes en termes de sécurité.

Ces nouvelles solutions sont-elles vraiment sécurisées ?

La technologie NFC (Near Field Communication) est un protocole de communication permettant à des devices distants de communiquer. Cette technologie est notamment utilisée pour le paiement sans contact et permet de régler tous types de paiements inférieurs à 20 euros, en posant sa carte ou son mobile sur un terminal de paiement sans avoir à saisir son code secret. En tant que tel, la NFC est une technologie piratable, requérant donc le chiffrement des données, lorsqu’elle est utilisée dans le domaine du paiement.

Dans le cas du paiement mobile, la sécurité des données est assurée par un élément physique, appelé le « Secure Element ». De manière simplifiée, le Secure Element est une puce permettant de stocker les données bancaires sensibles de manière sécurisée et cryptée, et autorisant les échanges et paiements lors d’une transaction de proximité. Le SE peut être stocké dans le hardware du mobile (embedded SE) ; sur la carte SD ou carte sim.

La technologie HCE (Host Card Emulation) propose quant à elle, de stocker les données bancaires dans le cloud, d’où l’appellation « Cloud Based SE » (sécurisation de la transaction via le cloud).  De façon simplifiée, le smartphone sollicite le « SE in the cloud » pour obtenir les données bancaires (stockées sur les serveurs du fournisseur de l’application de paiement et non sur le mobile).
Ces mêmes données sensibles sont transformées en « tokens » ou « jetons »(avant communication au mobile) : c’est la tokenisation. Il s’agit d’un procédé qui consiste à remplacer le numéro de carte bancaire (PAN) par un token (jeton) à usage unique c’est-à-dire un numéro de carte jetable ne pouvant être réutilisé. Le plus souvent, ce procédé est associé au HCE.

Apple a réussi à associer SE physique et tokenization (interrogation en amont des paiements du serveur de tokenization et stockage de plusieurs jetons sur le SE) ce qui offre une nouvelle solution en termes de sécurité.

hce

 

La biométrie, quant à elle, rend possible le paiement via ses empreintes digitales. Il suffit de poser son doigt sur un lecteur biométrique qui permet la réalisation de la transaction. En Italie, le groupe bancaire, UniCredit a mis en place un dispositif qui permet à l’utilisateur de payer uniquement avec sa paume de main. La fraude devient alors quasiment impossible.

A terme il est difficile de savoir quelle solution va s’imposer

La sécurité des moyens de paiement digitaux étant un enjeu majeur pour les consommateurs, de nombreux acteurs se penchent sur cette question comme Visa, MasterCard ou encore Apple et son « Apple Pay » afin de gagner la confiance des utilisateurs et ainsi supplanter les banques.

Mais la sécurité des données, si elle est incontournable, n’est pas suffisante. Pour s’imposer, deux prérequis supplémentaires semblent indispensables : la continuité et fluidité de l’expérience client ; et pour s’imposer durablement, la capacité à obtenir rapidement un nombre suffisant d’utilisateurs (consommateurs et commerçants) pour créer un écosystème pérenne. Les utilisateurs ont l’habitude des moyens de paiement universels.

Apple Pay, arrivé en France le 19 Juillet, semble bien parti pour séduire bon nombre de consommateurs d’Apple au cours des prochaines années : service de paiement simple d’utilisation (accessible sur son iPhone, son iPad ou son Apple Watch), associant la présence d’un Secure Element, la tokenization et la biométrie. Apple Pay ne collecte aucune donnée de transaction qui permettrait d’identifier l’utilisateur.

Il y a donc une véritable démocratisation des nouveaux moyens de paiements digitaux mais « Personne ne peut forcer un mode de paiement et on ne sait pas qui va gagner. Il faut faciliter les expériences et ne pas oublier que les nouvelles technologies doivent apporter de la praticité, sans oublier la sécurité et des solutions ouvertes qui fonctionnent sur toutes les plates-formes. » La philosophie de Bart Willaert, directeur général de MasterCard en France, confirme qu’il reste difficile de parier sur un moyen de paiement digital unique qui s’imposerait à tous.

* Pour en savoir plus sur le paiement mobile, le fonctionnement du NFC et HCE : https://monetiques.wordpress.com/2015/01/05/hce-host-card-emulation/