Où va la monétique ?

Tout le monde connait le « cryptogramme » à trois chiffres qui figure au dos de sa carte bancaire. Il s'agit d'un dispositif de sécurité pour lutter contre la fraude. Ces trois chiffres prouvent que vous avez la carte entre les mains (et pas seulement le numéro de la carte qui peut facilement être généré par un logiciel). Mais ce système n'est pas infaillible car il est toujours possible qu'un caissier mal intentionné prenne le temps de recopier le numéro de la carte bleue ainsi que le fameux cryptogramme. Il pourra ensuite effectuer des paiements sur internet comme bon lui semble. C'est pour cette raison que vous ne devez en aucun cas rester un seul instant sans avoir votre carte bancaire sous les yeux. On serait parfois tenté de le faire quand on se sert en carburant dans une station service la nuit. Le pompiste vous demande de plus en plus souvent un pré-paiement ou au minimum de lui confier votre mode de paiement pendant que vous vous servez. Il ne faut jamais lui laisser votre carte bleue ni votre carnet de chèques (un chèque peut facilement disparaître et lorsque vous vous rendrez compte en arrivant aux derniers chèques qu'il ne reste qu'une souche vierge et plus de chèque il sera trop tard). La carte de crédit doit rester dans votre portefeuille jusqu'au moment du règlement et si vous la confiez au vendeur il ne doit sous aucun prétexte s'éloigner avec elle. Vous devez avoir en permanence un œil dessus.

Malgré le système du cryptogramme à trois chiffres il faut savoir que 840 000 personnes ont été victimes de fraude à la carte bancaire en 2014. C'est énorme ! Ce sont les réseaux bancaires qui prennent en charge le dédommagement des sommes dérobées mais cette charge se rapporte au final sur le coût des services bancaires et tout le monde en pâtit.

L'invention du cryptogramme variable

Beaucoup de systèmes d'authentification dans les secteurs sensibles utilisent déjà des dispositifs électroniques beaucoup plus forts qu'un simple mot de passe. Certaines banques utilisent des boitiers électroniques qui génèrent un code numérique utilisable qu'une seule fois. Pour faire fonctionner le boitier il est nécessaire d'en posséder son code secret et donc bien sur de l'avoir sur soi.

Un autre dispositif est beaucoup plus simple d'utilisation : l'utilisateur connait, secrètement, la moitié du code et le reste du code est fourni par l'instrument pas plus gros qu'une clé USB. Toutes les trente secondes le code affiché sur le petit écran de la clé change aléatoirement. Le mot de passe complet est composé de la souche fixe et du code donné par la clé. C'est le principe du chiffrement RSA découvert en 1973 par une agence d’espionnage britannique et gardé TOP SECRET plusieurs années. La société EMC² produit ce genre de clés RSA SecurID.

Plusieurs banques ont eut l'idée d'intégrer ce système de chiffrement dans une carte bleue. La souche fixe du code complet est constituée par le numéro de la carte. Les trois chiffres correspondant au cryptogramme seraient quant à eux rendus variables par l'intermédiaire d'un petit écran qui afficherait un numéro différent toutes les 20 minutes. L'illustration ci-dessous représente le dos d'une carte bancaire munie d'un tel dispositif anti-fraude.


Pour en savoir plus vous pouvez consulter l'article paru aujourd'hui dans l'édition internet de 20 minutes.

La compensation en temps réel

De plus en plus la circulation de sommes d'argent à besoin d'être effectuée en temps réel. Avec l'arrivée du SEPA les virements se font déjà beaucoup plus rapidement mais ça sera bientôt à la monétique de passer à l'« Instant Payment ». Actuellement le processus est long lorsque vous effectuez un règlement par carte bancaire. Il est tout d'abord nécessaire d'obtenir l'autorisation de sa banque. C'est l'histoire de quelques secondes. Mais une fois que le terminal de paiement vous affiche « paiement accepté » tout un processus s'enclenche avant que votre compte ne soit débité et que le commerçant soit crédité. C'est ce qu'on appelle dans le jargon de la monétique la compensation.

En 2008 la France se modernisait en remplaçant son ancien organisme de compensation par la STET, société détenue par BNPP, BPCE, le Crédit Agricole, le Crédit Mutuel et Société Générale. La compensation interbancaire est effectuée à partir du logiciel CORE (COmpensation REtail). Mais la France est très attachée à son système de fonctionnement des cartes bancaires, très lucratif pour les banques. L'arrivée de nouveaux systèmes de paiement n'est pas perçu d'un bon oeil par les banques françaises. Mais pendant que la France modernisait son ancien système le monde continuait à tourner et c'est à la même époque, en 2008, que l'Angleterre investissait très gros pour développer « Faster Payments » (275 millions d'euros auxquels s'ajoute un investissement d'environ 70 millions pour chacune des 12 banques adhérentes). La Chine et l'Inde développent leurs propres solutions en 2010. Au tour du Nigéria et de la Pologne en 2012 et du Danemark et de Singapour en 2014.

Les opérations sont en général traitées par vacations, c'est à dire par lot, en batch. Mais la STET a commencé des travaux pour traiter les opérations unitairement et offrir une disponibilité de 24h sur 24, 7j sur 7.

Les futures plates-formes vont sans doute voir apparaître de nouveaux acteurs sur le marché. Il existe déjà Vocalink qui gère le Faster Payments anglais. EBA Clearing est dore et déjà en train de concevoir une solution. Swift est également de la partie, avec un gros avantage : toutes les banques utilisent déjà SWIFT. A noter que SWIFT a également été retenu pour construire le système australien qui sera opérationnel dès 2017.

Le système de règlement choisi par la STET sera très certainement celui des virements SCT SEPA. La STET annonce que son système de compensation en temps réel sera prêt courant 2017, c'est à dire dans quelques mois seulement. Ce sont sans doute les banques qui ne seront pas prêtes à temps. Beaucoup de travail en perspective, en tous cas. La monétique est un secteur bancaire très porteur d'emplois.

La lutte contre la fraude en temps réel

Ce qui va découler de la compensation en temps réel est certainement la mise en place de systèmes de protection contre la fraude qui seront eux-mêmes temps réel. C'est là qu'intervient la technologie blockchain qui était le sujet de mon précédent billet.

Avec blockchain, la sécurité des transactions monétique ne sera plus centralisée mais répartie entre tous les acteurs sous forme de blocs d'informations qui forment une chaine d'authentification quand on les met bout à bout. C'est cette technologie qui est déjà utilisée dans la finance pour gérer les transactions effectuées en Bitcoins.

Mais ce ne sont encore là que des suppositions. Nous verrons dans les mois à venir ce que les décideurs nous réservent. Affaire à suivre donc...