Réflexions sur l’évolution des moyens de paiements électroniques Jacques SCHUHMACHER Sorbonne Novembre 2007

Plan de la présentation Considérations générales sur l’évolution de la relation clients /entreprises Focus sur le cas des banques Etude de cas avec l’évolution des moyens de paiement en proximité et à distance

QUESTION Les nouvelles technologies amènent-elles de nouveaux comportements ou est-ce l’inverse? Les NT s’adaptent-elles à nos besoins ou nous adaptons nous aux nouvelles technologies ?

LE CONTEXTE : Une mutation exceptionnelle Des changements fondamentaux et rapides dans : Les modes de vie La diversité culturelle, des attentes différentes L’économie Les aptitudes face aux technologies, les langages La géopolitique Génèrent de nouvelles attentes

Les nouveaux chantiers pour tous types d’entreprises Le développement durable L’Europe et la mondialisation Une nouvelle déontologie qui entraine un nouveau marketing Des nouvelles approches clients par de nouveaux canaux Des nouveaux produits en permanence De nouveaux modes de partenariats

Un exemple : GOOGLE Notoriété mondiale fulgurante Sans publicité Modèle économique spécifique Une stratégie qui reste audacieuse IBM puis Microsoft était des offres techniques Google a construit son empire sur une offre de services déjà existante (Yahoo, Lycos, Voilà,..) mais mieux adaptée aux attentes Qu’en déduire pour le futur ?

Vers le « prosuming » Selon Alvin Toffler ( consultant américain ) La richesse n’est plus seulement une question d’argent, mais avant tout une affaire de savoir Linux et le Web sont des services initialement gratuits qui ont engendré des milliers d’emplois Le producteur et le consommateur ne sont plus face à face mais côte à côte : le prosuming

Une mutation Technologique

Pour les banques : Une mutation y compris dans les risques…. les nouvelles technologies sont le terrain d’une nouvelle délinquance

LE CONTEXTE POUR LE METIER DE LA BANQUE De nouvelles façons de vivre… Plus de mobilité Eclatement des familles et dispersion dans le monde Précarité non synonyme d’exclusion  usage universel des moyens de paiement modernes Plus d’expertise technologique dans le monde citoyen, professionnel et privé MP3, Internet, SMS, déclaration impôts on line… Une relation participative (Forum, wikis, Web 2.0 …) Des diversités culturelles fortes Délinquance «  high tech »

LE CONTEXTE POUR LE METIER DE LA BANQUE De nouvelles façons de vivre… …Vont changer le métier bancaire Adapter nos services à ces nouvelles attentes Nouveau canaux de distribution ( mobile, PDA, Internet,…) Nouvelle vision du consommateur Offres plus diversifiées ( l’interbancarité va évoluer) adaptées à des conditions de vie différentes ( exemple : + de 60 types de carte VISA) Extensions à un panel d’usages beaucoup plus importants ( aide à la personnes, fidélité, …) La dématérialisation Prendre une dimension européenne, intégrer les évolutions du SEPA Tout en conservant un niveau de sécurité optimum ( les nouvelles technologies sont le terrain d’une nouvelle délinquance )

Impact sur les moyens de paiement Modernisation de l’offre bancaire Classicisme ACTIVITE BANCAIRE Captation Qui, quoi, combien ? Effervescence VIE COURANTE Maîtrise de ces plates-formes Suivi Transformation En Débit/crédit Convoité

Comment faire évoluer les usages ? Gérez le changement Comment faire évoluer les usages ? Certains secteurs savent faire évoluer rapidement leur clientèle La musique et la vidéo : Supports et les lecteurs Les transports : vers le sans contact Administration : Les déclarations d’impôts Les telcos : Le Minitel vers l’Internet Plus difficile pour les banques Exemple : Le chèque versus le paiement électronique

Gérez le changement Les banques sont confrontées des problèmes spécifiques L’interopérabilité La dimension mondiale Les garanties La sécurité La fiabilité La sensibilité Peu d’activité combinent toutes ces contraintes !!

Un exemple avec VISA

La transaction à distance

La base de l’action des banques : la loi sur la sécurité quotidienne Article 1er: la sécurité est un droit fondamental (Loi n° 2001-1062 du 15 novembre 2001 art. 34 Journal Officiel du 16 novembre 2001)

Un droit très protecteur pour les internautes: La loi sur la sécurité quotidienne Article L132-2   (Loi n° 2001-1062 du 15 novembre 2001 art. 34 Journal Officiel du 16 novembre 2001) La responsabilité du titulaire d'une carte n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte…        => Importance de sécuriser et d’authentifier les clients

L’EVOLUTION DE L’INTERNET Piratages Risques Méfiances fraudes,... Payant Citoyen Participatif Moyens de paiement et Systèmes d'authentification adaptés Gratuit Impersonnel

Les attentes Les e-acheteurs veulent se protéger Suis-je sûr du commerçant ? Qui va être en possession de mon numéro de CB ? Les non e-acheteurs également Personne d’autre que moi doit pouvoir utiliser ma carte en proximité et sur Internet ? Les commerçants aussi Eviter les impayés Disposer de souplesse Temps réel Et les Banques….

AUJOURD’HUI LE COMMERCANT EST « + OU – » VULNERABLE FACE A Les types de fraudeurs Les resquilleurs Les justiciers Les usurpateurs Les trafiquants Les gangs Les destructeurs AUJOURD’HUI LE COMMERCANT EST « + OU – » VULNERABLE FACE A TOUTES CES FRAUDES

Diversité = Adéquation à la demande Confiance + Confort = Usage Bases des offres Diversité = Adéquation à la demande Sécurité = Confiance Confiance + Confort = Usage

Le vrai challenge sur Internet Lutte contre la fraude à « l’ identité numérique » Fraude à l’Identité aux USA en 2004; # 47,8 Md US $ (FTC, FBI, ITRC) 27 M américains concernés 600 h par incident 5 Md $ de perte pour les individus Estimation en UK: 1 Md £ sur la seule fraude à l’identité régalienne Pas de statistique consolidée en France mais en développement constant aussi bien sur le secteur public que marchand Permettre le développement efficace des nouveaux services basés sur l’identité numérique Services publics et gouvernementaux, marchands Services inter-domaines Mutualisation des services de sécurité/authentification/paiement Donner à l’utilisateur final un confort et une facilité d’utilisation pour les systèmes transactionnels Multiplicité des « mots de passe », inconfort des formulaires Hésitations à présenter en confiance ses moyens de paiement Dualité Sécurité/Respect de la vie privée

Les Typologies de paiement Trois catégories : Les petits montants (identification) Les montants moyens ( authentification) Les gros montants (signature)

3 niveaux de sécurité selon les besoins et les enjeux FONCTIONS USAGES CIBLES Identification : Ce que je possède ou ce que je sais prouve que je suis Mr X. Opérations de petits montants ou de faibles enjeux Particuliers Authentification « forte » : Ce que je possède et ce que je sais prouvent que je suis Mr X. Transactions de montants moyens. Vente et/ou opérations dans des processus de gré à gré ( ex. bon de cde, bon de livr.) Professionnels Associations Entreprises Notarisation (Signature électronique) : Par un processus homologué reconnu, je prouve que je suis Monsieur X auprès d’un tiers de confiance et je signe des documents contractuels. Opérations de gros montants ou à fort enjeux. Processus ou opérations où GCE est tiers de confiance. Contractualisation en ligne. Collectivités Entreprises

Les Typologies de moyens de paiement Deux catégories : Les moyens de paiement existants éventuellement adaptés Les nouveaux moyens de paiement

Les acteurs 4 catégories : Les acheteurs Les vendeurs Les acquéreurs ( banques ou autre) Les Banques Chacun induit son niveau de risque sécuritaire

Comment réagir à la fraude ? PRECAUTION CONTROLE REPRESSION HONNETES

Comment contrôler à distance ? 2 IMPERATIFS Disposer d’un système d’authentification tous canaux Etre averti lorsque qu’un porteur utilise sa carte Par nos propres systèmes Par des dispositifs de surveillance

Les solutions sur le marché Les systèmes basés sur des mots de passe statiques Les lecteurs de cartes (Cybercomm) Le cryptogramme visuel (CVx2) L’E Carte Bleue Les assureurs Les puces intégrées dans les PC («Trust Computing Group »)

Les facteurs-clés de succès RESTER SIMPLE POUR L’USAGER Pas de logiciel ni de matériel spécifique à installer, rapide, rassurant COUT RAISONNABLE POUR LES 3 ACTEURS (COMMERCANT, CLIENT, BANQUE) GARANTIE DE PAIEMENT POUR LES COMMERCANTS SECURITE PAR MOT DE PASSE DYNAMIQUE (Recommandation BDF/MEN) CONFORMITE AUX STANDARDS INTERNATIONAUX

3DSecure (Verified by VISA) La confiance passe par l’émergence de systèmes internationaux : VbV et Mastercard Secure Code Les principes de la vérification par VISA: La banque émetteur devient responsable du contrôle des paiements Le paiement est garanti Comment ça marche ? Le commerçant appelle un annuaire VISA Grâce au numéro de la carte,VISA appelle la banque de l’internaute La banque de l’internaute demande à son client de s’authentifier Chaque banque reste libre de son système d’authentification Id-tronic est notre système d’authentification forte des internautes

? VERIFICATION VISA (VbV-3D SECURE) PAYE OK OK OK Commerçant Banque Site Marchand PAYE LE CLIENT CONFIRME PAR UNE METHODE PROPRE A CHAQUE BANQUE EMETTEUR OK ? OK Banque Client Client

DEMONSTRATION PAIEMENT A DISTANCE SECURISE PAR AUTHENTIFICATION FORTE D’UN CLIENT PAR SA BANQUE

Une approche collaborative pour : Evolution possible Les cercles de confiance Une approche collaborative pour : Des plates-formes interopérables d’authentification

Une organisation au service de l’internaute… et du business Services financiers Services Publics IDP Identity Provider Attribute Provider URM SP Service Provider(s) IDP Identity Provider Attribute Provider SP Service Provider(s) URM identifiers identifiers SSO Partage d’attributs & IDP Identity Provider identifiers SP Service Provider(s) DS Directory Server Attribute Provider URM Opérateurs

La route est longue… Problème de choix des techniques d’authentification Support, usage preuve Responsabilité de l’internaute Conformité avec la CNIL Equiper les clients Faire évoluer les réflexes

La transaction en proximité

LA CARTE BANCAIRE SANS CONTACT

La Carte de PAIEMENT sans CONTACT Déjà opérationnelle dans certains pays) avec VISA et MASTERCARD pour les transactions de « petits » montants (parkings, fastfood, journaux,…) dont les USA avec 20 millions de cartes -10 millions actives - et 200.000 terminaux Les pays d’Asie En France très bientôt

La Carte de PAIEMENT sans CONTACT Principe de fonctionnement : Coté carte : Dans sa version européenne, la carte fonctionne avec une antenne encartée et pilotée par la puce EMV Coté lecteur : Les transactions sans contact se font sur un lecteur connecté au TPE ou tout autre dispositif de concentration ( exemple : sur un parcmètre) Les transactions sont validées par un BIP et/ou un affichage d’accusé réception sur un écran Les transactions sont traitées une par une, comme s’il s’agissait d’une transaction carte classique( c’est-à-dire avec mise en compensation pour chaque paiement sans agrégation).

La Carte de PAIEMENT sans CONTACT ( sécurité) La sécurité des transactions sans contact Elle est basée sur le risque maximum par client que la banque peut prendre sur une transaction non authentifiée, il s’agit pour la banque de définir le volume de transactions autorisés sans authentification forte du porteur. Cela bouscule les courants de pensée majoritaires dans les banques françaises, basé sur une généralisation de la frappe du code. On peut en effet considérer que c’est une régression par rapport à la CB actuelle, sans doute pas …

La Carte de PAIEMENT sans CONTACT ( sécurité) Principe du paiement VISA/MC sans contact : On part du principe que l’authentification du porteur ne se fait plus à chaque transaction La puce EMV tient un relevé des achats de petit montant et laisse les achats se faire tant que leur cumul n’atteint pas un certain montant (ex ; 50 €) Quand ce seuil est atteint, il faut que le porteur prouve à la puce EMV qu’il est toujours en possession de sa carte en frappant le code confidentiel, donc s’il veut effectuer une transaction sans contact qui dépasse la consommation autorisée, il doit insérer sa carte dans un TPE et frapper son code. Si bien sûr il utilise sa carte avec le code le compteur des consommations sans contact de la puce EMV est remis à zéro. On remplace la notion de rechargement par la notion de « checkpoint » sur des TPE classique qui valide périodiquement à la banque que le porteur est toujours en possession de sa carte On notera que ce système, même s’il est pertinent et cohérent, nécessitera une explication claire pour le grand public

La Carte sans contact CONCLUSION EN CONCLUSION La carte sans contact constitue une nouvelle approche de la sécurité qui : Augmente l’implication du porteur Calibre la sécurité en fonction du montant

LE TELEPHONE MOBILE SANS CONTACT

LE MOBILE SANS CONTACT Le mobile sans contact est opérationnel uniquement dans les pays asiatiques, mais l’Europe est en effervescence sur ce sujet emmené par les opérateurs historiques Les solutions japonaises ne sont pas transposables directement en Europe pour des questions de normes et de contexte, mais il reste intéressant d’en tirer des conclusions sur le plan fonctionnel Le début du déploiement de téléphone mobile sans contact en France devrait débuter fin 2007/2008

LE MOBILE SANS CONTACT Le support mobile dispose de spécificités offrant un potentiel applicatifs sans commune mesure avec la carte : Outil communiquant Autonomie énergétique Clavier, micro, haut parleur, écrans Géolocalisation Mais aussi de plus en plus souvent : Appareil photo Récepteur TV Capacité de traitement ( JAVA, capacité mémoire, etc…) Et de surcroît dispose d’une diffusion plus universelle ( jeunes, non bancarisés, etc…)

LE MOBILE SANS CONTACT Il faut se garder d’aborder le mobile de la même façon que la carte. Nous devons poser sur ce média un regard neuf et sans à priori pour avoir une chance d’en tirer la quintessence tout en recueillant l’adhésion de ses utilisateurs

Le mobile sans CONTACT ( sécurité) La sécurité et donc l’usage doivent être différents de celle d’une carte Le mobile est un outil personnel que le porteur devra avoir les moyens de protéger comme son coffre-fort. On libère la fonction quand on en a besoin. L’authentification du porteur au moment de l’acte de paiement lui-même n’est plus nécessaire. Le paradigme est donc très différent de la carte bancaire où le contrôle intervient au moment du paiement sur un outil autre que le support( TPE)

Le mobile sans CONTACT La sécurité intrinsèque du mobile le positionne comme un outil capable d’effectuer du petit et du gros montant puisque nous pouvons enchainer l’authentification sur le mobile et le paiement sur le lecteur . Cette fonction d’authentification forte permet D’éviter d’insérer les données sensibles du paiement dans le mobile De diversifier les moyens de paiement associé au mobile ( CB, comptes prépayés, points fidélité, etc…)

Le mobile sans contact CONCLUSION EN CONCLUSION La mobile sans contact peut révolutionner le paiement électronique : Capacité intrinsèque de l’outil Combine à la fois des fonctions de proximité et de distance Crée de nouveaux paradigmes autour du paiement

CONCLUSION Nous assisterons sans doute à une révolution dans le domaine du paiement : Création de nouveaux paradigmes autour du paiement Emergence des nouvelles approches donnant plus de liberté et plus de sécurité aux consommateurs tout en l’impliquant plus dans les processus Une gamme de paiement allant du paiement anonyme au paiement très documenté Suppression du papier sauf la monnaie fiduciaire Evolution des méthodes de contrôle et d’authentification