Passer au contenu

E-commerce : Cyber-Comm veut contrer SSL avec sa carte bancaire

Sans système d’authentification fort, la vente en ligne n’offre pas de garanties suffisantes au client et au marchand. Face au chiffrage SSL, Cyber-Comm propose en France une solution qui s’appuie sur la carte à puce.

Aujourd’hui encore, la sécurisation des paiements sur Internet est une question cruciale pour le commerce électronique. Pourtant, dans la grande majorité des cas, la technologie Secure Socket Layer (SSL) demeure la seule brique de sécurisation des paiements. Dans une telle situation, les cartes à puce pourraient bien avoir un rôle à jouer. Sans affirmer dès maintenant avec Hervé Sitruk, directeur général de Cyber-Comm, que “la carte à puce est l’avenir du commerce électronique”. Et que “sans carte, Internet sera sans aucun doute vecteur de fraudes. Il faut dire que Cyber-Comm est justement la société qui commercialise l’une des toutes premières solutions de paiement en ligne autorisant l’utilisation de la carte de crédit et fondée sur le protocole de sécurisation SET (Secure Electronic Transaction).
Faute de système d’authentification fort, les paiements en ligne ne sont pas signés, et le marchand ne peut rien contre un client qui répudie son achat. Pour cette raison, la signature enfouie dans la carte doit assurer que le payeur est bien le possesseur du petit rectangle de plastique. Dans ce cadre, Cyber-Comm a choisi une infrastructure à clé publique (PKI, voir encadré ” La technologie clé”). Tout en prenant cependant quelques libertés avec le modèle. En effet, aucun type de carte bancaire (voir schéma EMV et B0′) ne contient de clé privée au sens strict du terme. Avec Cyber-Comm, celle-ci est générée dynamiquement au cours de chaque session de paiement. Concrètement, le lecteur connecté au PC du client récupère des clés propres à la carte et calcule lui-même une clé privée. Associée à la clé publique envoyée par le commerçant lors de la connexion, elle donnera lieu à un échange sécurisé des données avec le client. La carte à puce ne joue ensuite plus aucun rôle dans le processus de paiement, qui se poursuit au ni-veau du lecteur. Celui-ci contient une sorte de boîte noire – hautement protégée par la banque émettrice -, qui déchiffre la signature, la contrôle et valide le paiement. Mais c’est le terminal qui se charge du reste. Il constitue d’ailleurs la brique fondamentale du système en jouant à la fois le rôle de lecteur et de transmetteur de la signature, qu’il chiffre au passage.
Mais il reste de nombreux obstacles. Ainsi, même si Compaq doit sortir des PC avec terminal de paiement à carte intégré dès juillet, la démarche reste rare. Et si Cyber-Comm promeut la mise en place de lecteurs, deux mois après le lancement de son système, il n’en a même pas distribué vingt mille, alors qu’il tablait sur dix fois plus avant la fin de l’année.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Marie Varandat