Moyen de paiement

« La carte bancaire doit trouver les bons axes de développement pour ne pas se disperser »

À l’aube du 27e salon Cartes, alors que les initiatives de paiement, mais également les attaques contre la sécurité des cartes bancaires, se multiplient, Jean-Marc Bornet fait un point sur l’évolution de ce secteur en pleine ébullition.

L'auteur

Revue de l'article

Cet article est extrait de
Revue Banque n°752

Shadow Banking : pas si obscur…

La carte bancaire est bien implantée en France. Comment voyez-vous évoluer ce marché ?

La carte bancaire continue à croître, aussi bien en activité qu’en nombre d’autorisations, et ce marché va continuer à évoluer alors que consommation a tendance à marquer le pas. Cela veut dire que la carte bancaire prend des parts de marché sur ses concurrents que sont le chèque, les espèces et les autres moyens de paiement. L’expansion du système ne se dément pas, malgré la crise économique. La tendance est bonne, les initiatives sont nombreuses, foisonnantes. Le problème pour la carte bancaire est de trouver les bons axes de développement, pour ne pas se disperser. Nous voyons l’avenir avec confiance.

Parmi les expérimentations actuelles, lesquelles vous semblent les plus intéressantes ?

Il y a tout d'abord le sans contact, qui est un très gros progrès dans le paiement par carte puisqu’il apporte une facilité ergonomique, tous les progrès actuels étant tournés vers l’ergonomie et la simplicité d’utilisation. Dans le paiement de proximité, le progrès, c’est le sans contact et dans le paiement à distance, c’est le wallet [1], qui permet de ne pas avoir à saisir son numéro de carte et de payer d’un simple clic. Ce sont des progrès de développement, qui doivent s’accompagner de progrès de sécurité [2]. En effet, avec le développement arrivent les fraudeurs : il faut donc à la fois satisfaire le client et bloquer le fraudeur. C’est l’équation que nous devons résoudre sur tous les secteurs. Au titre des progrès à venir, il y a également le paiement par mobile, qui va se développer à mon avis peut-être plus lentement que ce qu’on peut imaginer, tant les habitudes dans le paiement sont longues à prendre. Mais il reste prometteur, tant le mobile est devenu l’outil incontournable de la vie quotidienne.

Sans contact, wallet et paiement mobile

Pour vous, le paiement par mobile passe forcément par le NFC ou peut-on imaginer d’autres systèmes ?

On peut imaginer d’autres systèmes : il y a le paiement NFC, mais aussi le paiement sur internet via un mobile, c’est-à-dire le paiement à distance. Le mobile est un ordinateur, grâce aux améliorations d’ergonomie apportée par le wallet, on pourra l'utiliser simplement. Donc ça fait partie des améliorations. Quand on le dit comme ça, c’est très simple et quand on soulève le capot, c’est très compliqué ! On peut dire la même chose de tous les moyens de paiement modernes.

À propos du wallet, où en est-on en France ?

Différentes initiatives sont prises ou en passe de l'être. Nous regarderons toutes les initiatives qui vont dans le bon sens puisqu’elles permettront de développer le paiement par carte bancaire CB.

Que pensez-vous des applications, pas obligatoirement dédiées au paiement, qui prévoient un enregistrement de carte bancaire à l’inscription au service ?

Nous sommes intéressés par tous les services que rendent les mobiles modernes, si cela déclenche des paiements par carte bancaire. Nous veillons simplement aux grands fondamentaux juridiques et sécuritaires : par exemple, le stockage du cryptogramme visuel est strictement prohibé, le stockage des numéros de carte contrôlé… Il y a en outre un certain nombre de précautions qui doivent être prises, parmi lesquelles la conformité aux normes PCI DSS [3].

Où en est cette mise en conformité ?

Elle progresse partout et tout le monde connaît PCI DSS, ce qui est un grand progrès. Nous avons toujours dit que PCI était vertueux, même si quelquefois ces normes ont été contestées : venant des États-Unis, elles ne sont pas complètement adaptées au marché français – par exemple, ce sont des standards qui ne prenaient pas en compte l’existence de la carte à puce. Mais nous avons toujours dit que c’était au final vertueux : les menaces d’aujourd’hui et de demain portent sur les données. La conformité PCI représente un très gros travail pour tous les secteurs de l’industrie qui interviennent sur la carte. Que ce soit les banques, les sociétés de services, les industriels, les commerçants ou les prestataires des commerçants, cela représente un gros investissement. Il y a une mise à niveau progressive de tous ces secteurs à PCI DSS pour bien protéger les données des clients.

Où en est-on concrètement ?

Je ne peux pas faire aujourd’hui un état détaillé, mais tout le monde s’y met, parce qu’un prestataire de service qui durablement ne serait pas « PCI-compliant » perdrait ses marchés.

Le sans contact garanti

En parlant de sécurité, lors de notre dernière rencontre, nous discutions de failles dans les cartes NFC [4]. Confirmez-vous que depuis, le nom du porteur n’apparaît plus dans une transaction sans contact ?

Oui, c’était la seule fenêtre qui avait été laissée ouverte : le nom et le prénom. Pour toutes les cartes émises à partir de cet été, ils ne sont plus accessibles.

Et pour ceux qui ont eu des cartes sans contact avant cette date ?

Ils peuvent voir avec leurs banques, mais nous estimons que le risque est quasiment nul et que le porteur est de toute façon protégé des utilisations de sa carte. Le sans contact est garanti.

Toujours en matière de sécurité, l’université de Cambridge a remis encore une fois en cause la sécurité de EMV. Vous êtes-vous déjà penché sur la question ?

Ces démonstrations sont d’une complexité extrême. C’est-à-dire qu’il faut une conjonction de faits, d’événements, d’initiatives extraordinairement complexes. Je vois ça avec beaucoup d’intérêt et une grande sérénité : pour nous, le fait que des chercheurs triturent le système dans tous les sens pour essayer de trouver le moyen de frauder est excellent. Nous les suivons, nous identifions la nature réelle du risque. Honnêtement, il est nul. Et s'il devait y avoir une brèche dans le système, grâce à tous ces chercheurs qui travaillent là-dessus, nous serions en mesure de la colmater.

Au départ les premiers virus informatiques étaient des exploits isolés, mais on s’aperçoit qu’il y a toute une industrie du malware

…et une industrie de l’antivirus.

À force de chercher les failles dans tous les sens, ne peut-on pas craindre une autre industrie de la cybercriminalité qui va se positionner sur la carte bancaire ?

Il y a 30 ans, nous aurions parlé de l’obus et la cuirasse. Quand j’ai commencé à travailler dans le secteur, en 1975, il y avait des fraudes dans les cabarets avec fabrication de facturettes avec de fausses dates. Le cabaret remettait à l’encaissement les transactions et il s’enrichissait grâce à ça, provoquant la panique chez tous les acteurs du monde de la carte. Nous avons trouvé la parade, qui était réglementaire.

Nous avons changé d’époque, mais les grands fondamentaux du système carte – attaque par des individus qui veulent s’enrichir illégalement et réponse de l’industrie de la carte, qui met en œuvre les parades, maintenant hautement technologiques – n'ont pas changé. Le niveau des attaques a monté, celui des défenses aussi. Donc vont-ils finir par trouver des brèches ? Bien entendu, et nous des « contre-brèches ».

Changement cryptographique en vue pour EMV

Confirmez-vous que la fraude à la carte bancaire est repartie à la hausse ?

Effectivement. Sur la carte EMV, dans les années qui viennent, on va passer du système actuel – le RSA, qui est une cryptographie à clef publique simple – à un nouveau système, les « elliptic curves » (courbes elliptiques). Ce ne sera pas une décision CB seulement, mais bien d’EMVCo, au niveau mondial.

Cela veut dire qu’il faudra aussi changer toutes les cartes en circulation ?

Oui, il y aura des plannings de migration. C’est une évolution à très long terme et il faudra aussi faire évoluer les terminaux, les serveurs des banques, les installations informatiques des commerçants. Cette migration se fera en quelques années.

Comment se passent vos relations avec les nouveaux acteurs du paiement : start-up, opérateurs mobiles, Google, etc.?

La plupart des initiatives prises sont remarquables : cela va faciliter la vie des gens et va donc dans le bon sens. Nous y sommes forcément favorables, à condition encore une fois que les grands fondamentaux soient respectés : la sécurité et la confiance, qui est la base de l’édifice. Si la confiance n’existe plus, c’est un danger mortel pour des moyens de paiement, et pour éviter la crise de confiance, il faut qu’un certain nombre de choses soient respectées. C’est la raison pour laquelle nous essayons toujours de convaincre  tous nos interlocuteurs que les moyens de paiement, ce n'est pas uniquement de la technique ou de l’informatique, mais que c’est également le respect d’un certain nombre de règles et des responsabilités partagées.

Propos recueillis par Stéphanie Chaptal.

[1] Portefeuille électronique : une application installée sur le PC ou le terminal mobile stocke les coordonnées bancaires.

[2] ire l'enquête  « , Revue Banque n° 750, juillet-août 2012 , pp. 42-43.

[3] Payment Card Industry Data Security Standard.

[4] Near Field Communication ; , op. cit.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet