Verified by Visa, la securité en 3D

Verified by Visa, la securité en 3D

Logo verified by visa Si vous regardez régulièrement les journaux télévisés (JT), vous avez peut-être suivi le récent reportage consacré au Britannique Ross Anderson, chercheur en sécurité informatique à l'université de Cambridge. En effet, ce dernier dit avoir trouvé un moyen de contourner la sécurité des cartes bancaires à puce. Quoiqu'il en soit, cette possible faille dans les systèmes de cartes bancaires à puce est prise très au sérieux par les banques Européennes, dont les françaises. La France où le nombre de cartes de paiement à puce est estimé à 60 millions.

A propos de la faille et pour faire court, sur votre carte de paiement sont renseignées des informations sensibles. Cela inclus, des données relatives au propriétaire, le code confidentiel de la carte - sous forme chiffrée - et une valeur signature. C'est la valeur signature qui authentifie la carte et sa particularité est qu'elle peut être calculée à partir des autres informations contenues dans la carte et ce directement par le terminal présent chez le commerçant. Dit autrement, pour authentifier votre carte bancaire et pour peu que la transaction ne dépasse pas un certain montant, le terminal du commerçant n'a pas besoin de contacter votre banque. Dans l'écrasante majorité des cas, ce système est fiable, le chercheur Britannique a cependant découvert qu'en plaçant judicieusement un leurre sur la carte à puce, il était capable de corrompre le dialogue entre la carte et le terminal et faire croire au terminal qu'il a rentré le bon code. Ce reportage dans les JT n'est ni le premier, ni le dernier sur le sujet. Néanmoins, il permet d'une part, d'entrevoir l'intérêt croissant des pirates et des chercheurs pour notre bonne vielle carte à puce, d'autre part, il me donne l'opportunité de rédiger un billet sur 3D Secure Code : Le dernier système de sécurisation des achats par carte bancaire sur Internet, déjà en vigueur chez ma banque et peut-être chez la votre aussi ?

Avec le développement des nouvelles technologies et du e-commerce, nous avons de plus en plus l'occasion d'effectuer des achats sur le web. Sur Internet, vous pouvez acheter ou louer de tout : Les mêmes biens et services déjà vendus in vivo (exemple : jouets, vêtements, électroménager) mais aussi des services qui n'ont de sens que sur le web, c'est le cas des noms de domaines. En effet, les noms de domaines se louent à l'année, auprès d'un registrar dont la boutique se résume généralement à un site Internet. Par exemple, le nom de domaine dotmyself.net a été créé en février 2005, par votre serviteur, chez le registrar Gandi. Et ainsi depuis cette date, un peu avant le jour anniversaire, je m'acquitte du loyer. Cette année les choses ont un peu évolué, je vous refais le film :

Je commence par m'identifier auprès de Gandi afin d'accéder à l'espace sécurisé et dédié au renouvellement des noms de domaines. Là, j'entre les 16 chiffres qui composent le numéro de ma carte bancaire, je précise à quelle date expire cette dernière, je renseigne les 3 chiffres qui constituent le cryptogramme visuel de ma carte et je valide. D'habitude l'inquisition s'arrête là, la banque de Gandi me présente une page dans laquelle elle m'indique que tout s'est bien déroulé, nous nous disons « bye bye » et nous nous promettons la même « joie de donner et plaisir de recevoir », pour l'année prochaine. Non, cette année j'ai vu apparaître une nouvelle fenêtre provenant non pas de Gandi mais de ma banque et qui me demandait un code confidentiel. Oui mais lequel ? Sachant qu'il ne faut jamais transmettre le code confidentiel de sa carte bancaire et surtout pas sur Internet. Je le sais maintenant, c'était le fameux 3D Secure Code qui m'était demandé. Avant d'entrer dans les détails de 3D Secure Code, autorisez-moi, la petite digression qui suit.

Je le disais tantôt, la sécurité des moyens de paiement est un sujet très sensible et pris très au sérieux par les banques. En France, le code confidentiel associé à la carte à puce constitue probablement l'un des systèmes les moins prenables au monde. Comment ça marche ? Les cartes bancaires sont fabriquées dans des locaux très sécurisés, un code confidentiel est automatiquement généré pour chaque carte. Puis, ce code est enregistré dans la puce et envoyé au titulaire de la carte dans un pli scellé. De fait, ni votre agence, ni votre conseiller, ni personne à part vous ne devrait connaître les 4 chiffres qui composent le code confidentiel de votre carte. Contrairement à une idée très répandue, le code confidentiel ne sert pas à autoriser une transaction. Pour preuve, vous pouvez acheter des biens par téléphone, avec le numéro de votre carte de paiement mais sans avoir à donner votre code confidentiel. Non, le code confidentiel sert à vous identifier, vous. Dit autrement, en cas d'utilisation frauduleuse de votre carte bancaire pour un achat nécessitant votre code confidentiel, vous êtes responsable des opérations effectuées avant la date de votre opposition. Et il peut y avoir des franchises. C'est une situation particulièrement commode pour votre banque, puisque c'est à vous de prouver que vous êtes innocent.

Retour sur Internet. Traditionnellement, afin de valider un achat chez un cybermarchand, vous devez indiquer : votre numéro de carte bancaire, sa date d'expiration et le cryptogramme visuel associé. Bref, aucune de ces informations ne vous identifie et toutes ces informations sont lisibles directement sur votre carte à puce par quiconque aurait eu votre carte entre les mains plus de 30 secondes. C'est pourquoi, en cas d'utilisation frauduleuse de votre carte bancaire dans ce contexte, la loi est très claire, la banque doit vous restituer toutes les sommes qui ont débitées. Vous l'aurez compris, cette situation est assez inconfortable pour votre banque. En effet, dans ce cas de figure, vous êtes présumé innocent et c'est à votre banque de prouver que vous êtes coupable.

C'est là qu'intervient 3D Secure Code. 3D Secure Code est l'astuce technique qui permet de renverser le rapport de force en faveur de la banque. Grâce à 3D Secure Code, les banques vont pouvoir aligner la responsabilité du client chez un cybermarchand sur ce qui se fait chez un marchand in vivo. Comment cela fonctionne ? Lorsque vous vous connectez à un site arborant les logos « Verified by Visa » ou « MasterCard Secure Code » après authentification de votre carte bancaire, vous serez redirigé vers le site de votre banque. Là, selon la solution retenue par votre banquier, cette page vous demandera un code confidentiel ou un code unique limité à la session. Si la banque vous authentifie, elle acceptera la transaction. En cas d'échec ou à défaut de code, le paiement sera refusé. Pour connaître la politique en vigueur dans votre établissement bancaire, je vous suggère de vous connecter au site de ce dernier. Notez que le 3D Secure Code n'est pas le code confidentiel de votre carte bancaire, il s'agit d'un autre code qu'il faut récupérer auprès de sa banque.

A travers mon anecdote puis les explications sur le pourquoi et le comment de 3D Secure Code qui ont suivis, vous avez mesuré que cette astuce technique sert en priorité à sécuriser le business des banques. Mais pour nous, consommateur ou marchand en ligne, qu'est-ce que cela change ?

  • Pour les marchands en ligne : Les choses sont équilibrées. En effet, si les achats évoluent vers plus de fiabilité ils deviennent, à contrario, plus anxiogènes. Je m'explique, à chaque paiement, la carte bancaire est authentifiée auprès de la banque, c'est déjà comme ça aujourd'hui. Avec 3D Secure Code, le client lui aussi sera authentifié ce qui limitera les possibilités de contestation de ce dernier. C'est le point positif. Le point négatif, c'est que, faute de communication des banques, ce nouvel écran peut en effrayer plus d'un et provoquer des annulations.
  • Pour les consommateurs : Là l'évolution est pour le moins négative. Au demeurant, nous passons d'une situation confortable dans laquelle c'est à la banque de prouver que le consommateur est coupable, à un système où c'est au consommateur de prouver qu'il est innocent. Vive l'inversion de la charge de la preuve!

0 commentaire