Commerce électronique :
les effets d'annonce masquent les avancées réelles

Avant de parler de paiement sécurisé sur réseau ouvert, il convient de faire un distinguo. Sécuriser un paiement sur Internet n'est pas une chose compliquée en soit. Ce qui l'est plus, c'est de sécuriser un achat, ce qui revient à proposer au client final une suite d'outils qui lui permettent d'être certain qu'il achète effectivement le bien qui l'intéresse, chez le bon marchand et que son paiement sera bien du montant souhaité. Il existe toute une série de solutions de sécurisation (SSL ou argent électronique par exemple) qui permettent de réaliser des paiements. N'importe quel débutant sur le World Wide Web peut acheter des disques ou quoi que ce soit d'autre aux Etats-Unis ou au Japon. Mais rien ne lui garantit qu'il recevra bien ce qu'il a commandé.

Au jour d'aujourd'hui, trois chantiers dignes d'attention sont en route. La finalisation de SET, les spécifications techniques de Visa et Mastercard, C-SET, la solution du GIE Cartes Bancaires et celle du consortium e-Comm qui regroupe la BNP, la Société Générale, le Crédit Lyonnais, Visa, Gemplus et France Telecom. Il convient de noter que SET n'est pas finalisé. La date de publication des spécifications définitives est régulièrement repoussée. Ce qui n'empêche pas tous les acteurs, de Visa à e-Comm en passant par le GIE de procéder régulièrement à des effets d'annonce dont l'intérêt n'est sans doute perçu que par leurs dirigeants... Il est en effet clair pour les utilisateurs finaux - qui attendent depuis deux ans de pouvoir réaliser leurs achats sur Internet - que les lancements de pilotes ou les effets d'annonce n'ont aucune traduction concrète.

La version 1.0 de SET sera rendue publique le 31 mai prochain. Si tout va bien. En effet, une équipe française aurait, semble-t-il, détecté une nouvelle série de problèmes liés de sécurité. Le temps de vérification et correction (si nécessaire) pourrait repousser encore cette date.

En attendant, nombreux sont ceux qui testent, réalisent ou prévoient des pilotes. Rappelons toutefois qu'au jour d'aujourd'hui, personne n'a encore émis et traité un message "SET compliant" de bout en bout. C'est à dire, impliquant, le protocole SET, des applications (ou interfaces) utilisant SET, un acheteur, un vendeur, deux banques et un "gateway".

Par ailleurs, les banques impliquées dans tous ces projets, comme les organisations de paiement restent très discrètes sur un point crucial : comment seront répartis les rôles. Qui touche quelles commissions, qui assume quels risques ? Le manque de communication sur ce sujet précis est fâcheux.

Les deux chantiers français qui s'étendent à la Belgique avec les accords du GIE et de Banksys sont intéressants à plusieurs titres. Premièrement, ils cristallisent à nouveau les tensions autour de la spécificité française qu'est l'interbancarité. La BNP aurait trouvé dans e-Comm un nouveau moyen de tester la résistance de l'interbancarité, estiment certains. Deuxièmement, ils peuvent devenir la base de la réflexion sur SET version 2.0. En effet, tout le monde est d'accord pour dire que SET en soit n'est pas suffisant en matière de sécurité. La généralisation à l'échelle de la planète de la carte à puce offre de bien meilleures perspectives dans ce domaine. Dès lors, qui mieux que la France peut se prévaloir d'une expérience ? Peut-être évitera-t-on cette fois les embûches de la mise en place de EMV et les décisions plus ou moins unilatérales des organisations de paiement ?

KITETOA

• SET : permet de sécuriser un achat sur Internet qui s'appuie sur une carte bancaire de base (bande magnétique).

• e-Comm : sécurise le paiement sur la base de SET pour les cartes classiques et sur une base propre pour les cartes à puces françaises en utilisant un champ non utilisé des messages SET. Le marchand peut utiliser un logiciel "SET compliant" standard, le client a besoin d'un logiciel particulier et il faut un "gateway" conforme e-Comm. On utilise, pour les paiements franco-français deux moyens de sécurisation, l'un se trouvant dans la puce, l'autre dans le disque dur.

• C-SET : l'achat est sécurisé grâce à la carte à puce qui contient les moyens de sécurisation. Les messages émis et les protocoles sont fonctionnellement équivalents à SET, mais pour prendre en compte la sécurisation avec un traitement cryptographique carte plus lecteur de carte, il a fallu modifier légèrement chacun des messages. Le gateway traite les messages C-SET et traduit en "SET simple" les messages qui ont été émis sur la base d'une carte classique. Les logiciels du client et du marchand doivent être modifiés pour être C-SET compliant.
  

Lire également un article sur les paiements sécurisés de petits montants.