En ligne comme en magasin, il faut pouvoir s’assurer que le client est bien celui qu’il prétend et que la carte de paiement qu’il présente est bien la sienne. La solution : multiplier les facteurs d’authentification.
Le désir d’accélérer la conclusion des transactions, en particulier celles de faibles montants, se fait aux dépens d’un élément de base de la sécurité : vérifier l’identité du client. Plus on exige de preuves pour autoriser une transaction, plus celle-ci est sécuritaire… et lente.
José M. Fernandez, professeur adjoint à l’École Polytechnique de Montréal, scinde les facteurs d’authentification en quatre groupes :
• Quelque chose que je sais (par exemple, un mot de passe) ;
• Quelque chose que j’ai (un NIP, un code envoyé par SMS, etc.) ;
• Quelque chose que je fais (la bonne vieille signature !) ;
• Quelque chose que je suis (empreinte digitale, iris, etc.).
« L’idéal est de combiner ces facteurs d’authentification, explique José Fernandez. Il y a plusieurs solutions pour les utiliser, que ce soit en magasin ou en ligne. »
Des solutions à portée de tous
Les émetteurs de solutions de paiement offrent de plus en plus de possibilités pour y arriver. Chez Visa, par exemple, on propose cinq niveaux de sécurité. La carte à puce avec NIP est la solution la plus couramment utilisée. Mais si la transaction se fait en ligne, le marchand peut utiliser le programme Vérifié par Visa®, un service qui vérifie l’identité du titulaire de la carte en temps réel, ainsi que le CVV2, ce code de trois chiffres inscrit derrière la carte pour démontrer que le client a réellement sa carte en main, plutôt qu’un simple numéro de carte volé.
Pour aller plus loin, le commerçant peut recourir au Service de vérification d’adresse, lequel compare l’adresse de livraison avec celle du titulaire de la carte. Enfin, l’Autorisation préalable Visa décerne, en temps réel, une cote de risque à une transaction, ce qui donne l’opportunité de refuser les plus douteuses.
MasterCard offre des services similaires, dont le MasterCardMD SecureCodeMC, un système de sécurité 3D basé sur un code confidentiel connu seulement du client et de son institution financière. Lorsque le client veut payer un achat en ligne, une fenêtre s’ouvre automatiquement, dans laquelle il doit entrer son code.
Se protéger… de ses clients !
Ces méthodes de protection sont d’autant plus importantes que lorsqu’il est question du commerce en ligne, une grande partie du risque provient des ordinateurs des clients, très souvent infectés par des virus.
Le professeur José Fernandez rappelle qu’une étude qu’il a menée en observant les ordinateurs d’un groupe de sujets pendant quatre mois révélait que 38 % avaient été exposés à un virus, et 20 % avaient été infectés. Or, certains de ces logiciels malveillants sont élaborés pour enregistrer les informations tapées au clavier (dont les noms d’usager et les mots de passe) et les envoyer sur l’ordinateur du fraudeur.
« C'est pour cela qu’il faut multiplier les facteurs d’authentification, conclut José Fernandez. Si le client a tapé son numéro de carte, sa date d’expiration et son CVV2, mais qu’un fraudeur a intercepté l’information, il pourrait les utiliser. Plus vous avez de types d’authentification différents, moins vous courrez de risques. »
