Des paiements, celui sur Internet est sans conteste le plus impacté par la fraude. Et cela est logique ; pour payer, il suffit de connaître le numéro de carte, la date d’expiration et le cryptogramme visuel, tous trois directement accessibles à quiconque ayant une carte bancaire entre les mains. Autrement dit, le paiement sur Internet à partir de la carte n’est pas protégé contre le vol. Ce constat et l’inquiétude des acheteurs sont à l’origine de la création de la carte virtuelle dynamique et du cryptogramme virtuelle dynamique (Motion Code). Mais, une nouvelle solution, beaucoup plus simple à mettre en place, plus économique pourrait émerger. Elle s’appelle iDCOD (hidden code : code caché). Lisez la suite si vous voulez en savoir plus.
iDCOD est un projet, breveté, et appartenant à la famille Lazzari. L’idée sous-jacente est l’impression de plusieurs cryptogrammes visuels (CVx2) au dos de la carte. Une application mobile indique ensuite la position du cryptogramme à utiliser.
Présentation
Une carte multi-cryptogramme
Une carte bancaire classique, et même la Motion Code, ne possède qu’un cryptogramme affiché en permanence. Ainsi en cas de vol de celle-ci, le fraudeur peut payer avec. Pour y remédier , l’iDCOD possède plusieurs codes (par exemple 8 cryptogrammes). Impossible pour le fraudeur de connaître le numéro du cryptogramme à utiliser en ne disposant que de la carte.
Dos de la carte
L’application mobile
L’application mobile révèle la position du cryptogramme à utiliser, pas le cryptogramme lui-même. Ainsi, l’utilisateur doit être en possession de sa carte et de son téléphone pour effectuer un achat sur Internet.
Application mobile iDCOD
Pertinence
Pour évaluer la pertinence du produit, nous allons le comparer par rapport au Motion Code et à la carte virtuelle dynamique, concurrents directs de l’iDCOD.
Il va sans dire que le prix de fabrication de l’iDCOD est bien moins cher que la carte Motion Code. Son coût est même quasiment identique à celui d’une carte traditionnelle.
Perte / Vol de la carte
Carte virtuelle dynamique : le vol de la carte bancaire ne permet pas à l’utilisateur de payer sur Internet (à condition que la banque ait bien désactivé le paiement sur Internet avec partir de la carte).
Motion Code : en cas de perte ou de vol, la Motion Code n’offre aucune protection. En revanche la carte avec cryptogramme dynamique et clavier protégerait bien l’utilisateur, bien que le prix soit encore plus cher.
iDCOD : en cas de perte ou de vol, l’iDCOD empêche le fraudeur de payer puisqu’il ne connaît pas la position du cryptogramme à utiliser. Néanmoins, il aura 12.5 % de chance (si 8 cryptogrammes sont imprimés) de trouver le bon code du premier coup.
Note : en cas de mauvaise saisie d’un cryptogramme, l’iDCOD prévoit l’envoi d’un SMS sur le portable du titulaire de la carte afin qu’il indique en retour s’il est ou non à l’origine de la transaction.
Note 2 : en cas de perte ou de vol, le porteur ne pourra plus payer sur Internet. En effet, même si l’application bancaire derrière la « carte virtuelle dynamique » continuera toujours de générer les informations de paiement, la transaction sera refusée puisque vous aurez mis la carte en opposition.
Capture des secrets (par exemple, malware sur ordinateur, espionnage, …)
Carte virtuelle dynamique : le numéro de carte, la date d’expiration et le cryptogramme sont valables pour une transaction d’un montant maximum prédéfini. Ainsi, un vol de ces 3 informations ne permettra pas à un fraudeur de payer. En revanche, en cas de vol du nom d’utilisateur et du mot de passe pour accéder au service CVD, le fraudeur aura tous les droits. Une bonne hygiène information est alors primordiale afin de bien protéger ces secrets.
Motion Code : le cryptogramme visuel change régulièrement. Ainsi, un vol des informations (numéro de carte, date d’expiration et cryptogramme) ne permettra qu’un paiement dans une fenêtre de temps très réduite.
iDCOD : bien que cyclique, le cryptogramme visuel change à chaque transaction. Ainsi, un vol des informations de paiement ne permettra pas de réaliser un paiement.
Expérience utilisateur
Carte virtuelle dynamique : le paiement nécessite un accès à Internet (soit depuis une application mobile, soit sur un site Web) afin de s’authentifier auprès de sa banque et de générer les numéro de carte, date d’expiration et cryptogramme. Si la banque propose une application mobile, le porteur ne perdra quasiment pas en confort par rapport au paiement à l’aide d’une carte classique. En effet, il n’aura qu’à s’authentifier sur l’application pour lire les informations et les reporter sur le site marchand.
Motion Code : l’expérience utilisateur avec la carte Motion Code en matière de paiement sur Internet est la même que celle avec une carte traditionnelle.
iDCOD : l’iDCOD complexifie légèrement l’expérience utilisateur par rapport à une carte traditionnelle. En effet, le porteur doit utiliser son téléphone en plus de sa carte. Mais, c’est pratiquement négligeable puisque nous commençons à avoir l’habitude avec la saisie du code en 3D Secure.
Paiement en 3D Secure
Carte virtuelle dynamique : la génération des informations de paiement nécessite déjà l’authentification du porteur, le paiement 3D Secure ne réclame donc pas la saisie d’un code envoyé par SMS par la banque.
Motion Code : en cas de paiement 3D Secure, le porteur devra saisir le code envoyé par SMS par la banque comme avec sa carte bancaire traditionnelle.
iDCOD : en cas de paiement 3D Secure, le porteur devra saisir le code envoyé par SMS par la banque. Cela risque de rendre la solution lourde. Pour ne pas trop compliquer la vie à l’utilisateur (double utilisation du portable), deux solutions devront être envisagées rapidement par les banques :
- utilisation d’un mot de passe plutôt que d’un code envoyé par SMS : cela réduit la sécurité du paiement. Pas sûr que la banque accepte…
- l’iDCOD demande l’authentification du porteur avant de révéler la position du cryptogramme à utiliser. Ainsi, comme pour la carte virtuelle dynamique, le porteur n’aura pas à saisir le code envoyé par SMS.
Nous constatons que l’iDCOD présente beaucoup davantage, surtout si les banques simplifient la vie à l’utilisateur en l’authentifiant avant de lui révéler la bonne position du cryptogramme. Toutefois, la carte virtuelle dynamique utilisée depuis une application mobile semble toujours dans la course, dommage que les banques ne la proposent pas toutes. Reste à voir ce que feront les banques comme BPCE, la Société Générale et BNP Paribas qui ont déjà parié sur le Motion Code. Un retour arrière est-il envisageable ?
Monétique 
Intéressant. Mais à voir si la techno laisse la possibilité de se passer d’une appli pour récupérer la position du cryptogramme à utiliser. (un simple SMS avec un chiffre indiquant la position suffirait). En effet, il ne faut pas oublier les utilisateurs qui n’utilisent pas de smartphone (par choix ou par limitation financière comme c’est encore le cas dans beaucoup de pays émergeants).
Car si on part du principe qu’il est nécessaire de posséder un smartphone pour permettre d’utiliser une carte bancaire, on peut imaginer que la carte est finalement amenée à disparaitre, complètement remplacée par le smartphone. (Même si cela pose d’autres questions sécuritaires)
Bonjour François,
Il ne s’agit que d’un concept. Libre aux banques d’étoffer le produit et de l’adapter à l’ensemble de ses porteurs.
Techniquement, l’envoi du SMS est compatible avec ce concept et facilement réalisable.
Cdlt,
Kévin