“Le concept de CVD existe depuis plus de deux ans sur le marché. Il fait partie des quelque cent quatre-vingts solutions de sécurisation sur Internet recensées par une étude de la Banque de France. Son principal intérêt est de savoir réutiliser l’existant informatique, tout en se fondant sur des technologies standards (carte bancaire, traitement du back-office bancaire, protocoles éprouvés, etc.)”, explique Ingrid Winter, responsable marketing finances de Schlumberger France.
Deux modes de fonctionnement
La CVD, ou carte virtuelle dynamique, fonctionne selon deux modes. Dans le premier cas, l’utilisateur qui veut réaliser un achat sur Internet possède un navigateur. Il doit alors souscrire auprès de sa banque (actuellement, la Société Générale, la Caisse d’Épargne Île-de-France et, à terme, La Poste et le Crédit Lyonnais) un abonnement à la CVD, puis se connecter au site bancaire sur lequel il s’authentifiera via un login-mot de passe. Cela permet de générer les e-numéros de carte à utiliser grâce au logiciel O’Card, de France Télécom, fondé sur le protocole 3D-Secure. Une fois l’utilisateur authentifié, le site bancaire lui communique un numéro à seize chiffres plus une date d’expiration à quatre chiffres. Ces données récupérées sont validées pour une transaction ou une période (jusqu’à 24 mois) et/ou une somme données (le montant de l’achat constitue un plafond, avec une marge d’erreur de 20 %).Dans le second cas, la situation est plus complexe. “L’utilisateur doit installer une partie client sur son poste. Il faut qu’il possède Internet Explorer 4x ou supérieur sur une plate-forme Windows, avec un plug-in Shockwave Flash 4.0 ?” ce qui exclut Macintosh et Linux”, relève Frédéric Nakhlé, responsable du pôle Consultants de Risc Technology. “Au lieu de se connecter au site de sa banque pour bénéficier d’un numéro de carte virtuelle, il se connecte directement en SSL 128 bits au portail bancaire service.e-cartebleue.com, qui retourne automatiquement l’ensemble des données récupérées et injectées vers le site d’achat en ligne”, poursuit Laurent Charvériat, directeur général de Cyber Networks.
Base de données : le maillon faible
Le logiciel O’Card permet aussi de consulter l’historique des transactions, de changer le mot de passe et de stocker les adresses de facturation et de livraison du porteur pour faciliter le remplissage du formulaire du commerçant. En revanche, le flux entre le client et le site d’e-commerce passe en clair, ou en SSL via HTTPS.Pour le site d’e-commerce, tout se déroule comme s’il recevait un paiement par Carte Bleue classique. Le numéro est stocké dans une base de données et conservé le temps de la transaction. Un pirate attaquant un site peut cependant rebondir sur cette base de données et en extraire les numéros des cartes, si elles ne sont pas chiffrées.Les numéros de carte virtuelle sont, eux, générés à la volée et stockés, le temps d’une transaction, sur un serveur ou sur le portail. “Sur ce point, les banques utilisant la CVD restent muettes”, note Frédéric Nakhlé. La transmission des numéros de carte entre le site marchand et la banque se fait en général en SSL, ou par connexion RAS via une ligne téléphonique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.