MacBidouille

Merci à Patrick, professionnel monétique de nous communiquer ces infos.

Je suis consultant en monétique et je lis chaque jour MacBidouille. Je viens apporter quelques éléments d'information concernant l'impossibilité de payer par carte VISA sur les sites de commerce électronique américains.
D'abord, rappelons que la carte VISA ne donne pas le droit d'acheter chez tous les commerçants mais uniquement ceux qui sont adhérents du réseau VISA. Ce qui signifie que VISA est tout de même libre de décider quel commerçant est honnête et quel commerçant est un escroc. Et, puisque ce sont les banques qui trinquent en cas de fraude, il est tout de même normal que les banques se protègent contre la fraude.
De toute évidence, lorsqu'elle est utilisée sans possibilité de saisir le code confidentiel, la carte bancaire offre un niveau de sécurité plutôt faible puisque seule la combinaison des éléments n°carte/date d'expiration/CVV authentifie la carte et donc l'utilisateur. Le CVV est ce code à 3 chiffres inscrit au dos de la carte. Il est confidentiel et ne doit pas être stocké lorsque la transaction est archivée (même par les banques).
Dans l'idéal, l'utilisateur devrait utiliser un lecteur de carte à puce connecté au PC. La saisie du code confidentiel serait possible et la puce pourrait calculer un cryptogramme qui assurerait la banque que l'acheteur possède bien physiquement la carte et qu'il s'est authentifié par la saisie du code confidentiel.
Cette solution a existé sous l'appellation "Cybercom". Elle était disponible dans le commerce. Seulement, peu de gens étaient prêt à dépenser de l'argent pour sécuriser leurs achats. D'une certaine manière, ils avaient raison puisque la sécurité des achats est l'affaire des banques et non des personnes. En somme, Cybercom aurait dû être gratuit pour être valable.
A la recherche d'une solution suffisamment simple pour qu'elle soit acceptée par les utilisateurs, les banques ont inventé le concept de la carte virtuelle dynamique appelée commercialement "e-carte bleue". L'idée est de fournir à l'acheteur un numéro de carte qui sert pour un seul achat.
Dans sa première incarnation, l'e-carte bleue n'a pas été un grand succès. Pour que le concept fonctionne bien, il faut en effet que toutes les conditions suivantes soit réalisées:
l'e-CB doit être acceptée partout où la CB VISA est acceptée
l'e-CB doit s'adapter aux conditions de paiement particulières comme l'abonnement, le paiement "one-clic"...
l'e-CB doit fonctionner aussi pour les utilisateurs de Mac et sans Internet Exploser
l'e-CB doit être gratuite pour les utilisateurs
Tous les autres moyens de paiement doivent être inutilisables !
Ainsi, les banques sont protégées contre la fraude car plus aucun numéro de carte réelle n'est utilisé dans le cas du commerce électronique, c'est-à-dire un mode de paiement populaire mais non sécurisé par la puce. Quant à l'utilisateur, il est satisfait dans la mesure où cette manière de payer ne lui coûte rien de plus et offre la même souplesse d'utilisation que la carte bancaire ordinaire.
En effet, l'e-carte bleue fonctionne selon deux modes:
Génération d'un numéro temporaire valable pour un seul achat;
Génération d'un numéro valable chez un commerçant unique pour plusieurs achats (pourquoi pas l'Apple Store ?)
En conclusion, il y a lieu de se réjouir de l'impossibilité d'utiliser un numéro de carte réelle pour les paiements de e-commerce. Cela protège tout le monde (et non la minorité qui utilisait déjà l'e-carte bleue) qu'un individu quelque part dans le monde génère aléatoirement votre numéro de carte.
Bien sûr, même si c'est une bonne mesure, cela n'excuse pas le manque de communication de la part du Crédit Lyonnais dont je m'empresse de dire que je ne suis pas l'employé ;o)