Avec Wega, le paiement se fait acoustique
Une nouvelle solution de paiement sécurisé, s’appuyant sur une authentification acoustique, est mise en œuvre depuis le Luxembourg, grâce aux compétences et infrastructures de EBRC et d’InTech.
May 5, 2015
Wega met en œuvre une nouvelle technologie de sécurisation des transactions électroniques. Avec elle, les cartes bancaires de demain intégreront un système d’authentification acoustique. Ce nouveau dispositif, qui répond aux standards internationaux EMV, va se propager en s’appuyant sur les compétences de l’ICT luxembourgeois pour les infrastructures et les services avec EBRC et InTech.
Sécuriser les paiements par carte est un enjeu crucial pour les institutions bancaires comme pour les acteurs du commerce en ligne. Aujourd’hui, en Europe, on évalue à plus de 794 millions d’euros les coûts annuels inhérents à la fraude à la carte « CNP Fraud » ou « Card-not- present fraud ». Un chiffre qui, ces dernières années, a connu une croissance à deux chiffres. « Nous avons voulu répondre à cette problématique de fraude et de vol d’identité, commente Patrice Sambou, directeur du projet Wega/3DSA, porté par Truxtun Capital. A l’heure actuelle, il est possible de procéder à des transactions à partir des seules données imprimées sur une carte. Ces données ne sont pas sécurisées.
Wega, notre produit basé sur la technologie 3DSA, est un dispositif de sécurisation acoustique des paiements. La technologie intègre des cartes standard. Elles présentent la traditionnelle puce, une bande magnétique, un dispositif HCE et, désormais, une batterie, un haut-parleur, un bouton et un dispositif cryptographique acoustique. »
Emettre un son unique pour chaque transaction
D’une simple pression sur le bouton, la carte émet un son. Cette information dynamique unique sera identifiée à distance, par le biais d’une large diversité de terminaux : ordinateur, laptop, device mobile ou encore téléphone RTC. « La carte émet un son unique par transaction. Reconnu au moyen de serveurs d’authentification, sur le principe du HCE (Hosted Card Emulation) et de tokenization, il permet de s’assurer qu’il s’agit bien du porteur de la carte qui entend procéder à une transaction.
Grâce à ce dispositif, il n’est désormais plus possible de procéder à des paiements sans disposer de la carte. On s’assure, par une action volontaire, en l’occurrence par la pression sur le bouton, que la transaction n’est pas initiée à partir de données usurpées. Après cette authentification sonore, le détenteur de la carte est systématiquement invité à entrer un code à quatre chiffres personnalisable pour valider la transaction. L’authentification sonore et la saisie du code personnel permettent d’assurer une authentification forte du détenteur de la carte qui effectue une opération et répond totalement à la problématique des réseaux d’acceptation du “Card Not Present” », poursuit Patrice Sambou.
Une solution unique quel que soit le canal utilisé
La technologie est aujourd’hui brevetée. Le brevet est exploité par Truxtun Capital, société suisse active dans le développement de solutions de confiance dans le domaine de la carte bancaire, des solutions mobiles de sécurité et du portefeuille électronique de nouvelle génération, luttant contre le cyber-crime. Les cartes intégrant cette technologie répondent au standard international EMV. La solution a été validée par Mastercard et devrait se déployer à l’échelle internationale dans les mois à venir.
« Nous sommes parvenus à rassembler sur un même support de paiement les avantages de toutes les solutions d’authentification existantes, que ce soit le token ou encore les moyens d’identification mobiles. La carte, en outre, reste le moyen de paiement le plus utilisé à l’heure actuelle, ajoute Patrice Sambou. Notre solution permet de sécuriser tous les paiements, quel que soit le canal utilisé, sans devoir recourir à un nouveau support. Cette technologie, si elle permet
de répondre aux enjeux de la lutte contre la fraude dans le monde du paiement, peut aussi trouver de nombreux cas d’usage en matière d’authentification forte, de souscription en ligne, de signature électronique à valeur probante et de paiement eSEPA. »
Une solution mise en œuvre depuis le Luxembourg
Pour la mise en œuvre, Truxtun Capital a eu recours à l’écosystème ICT luxembourgeois, et plus particulièrement à l’expertise et aux compétences d’InTech, expert en technologies etsystèmes d’information ainsi que celles d’d’EBRC, acteur spécialisé dans le cloud, les services full managed et la résilience opérationnelle. Ensemble, les deux acteurs luxembourgeois ont rendu la technologie possible en un temps record. « Toute l’intégration technique de l’infrastructure d’authentification a eu lieu au Luxembourg. Nous avons trouvé ici un écosystème d’acteurs en capacité de répondre aux défis d’intégration technique de notre solution, des compétences poussées dans l’univers de la FinTech, un cadre réglementaire et des compétences répondant aux enjeux à venir, notamment en matière de protection des données personnelles, de sécurisation des moyens de paiement, d’archivage ou de signature électronique à valeur légale, mais aussi une maîtrise des canaux web et mobile », poursuit Patrice Sambou. InTech a développé la couche applicative métier permettant à la technologie de fonctionner. Wega/3DSA s’appuie sur les infrastructures et les services opérationnels, en full managed, d’EBRC. Les serveurs d’authentification fonctionnent depuis les infrastructures hyper-sécurisées et certifiées d’EBRC.
« Aujourd’hui, nous défendons sans crainte notre choix du Luxembourg auprès de nos partenaires et prospects internationaux du monde bancaire. Nous avons trouvé ici les meilleures garanties. Elles se traduisent notamment à travers les certifications – PCI DSS ou encore Tier IV Fault Tolerant Constructed Facility – dont disposent EBRC », précise Patrice Sambou.
Et le paiement électronique devint… sonnant
Les équipes luxembourgeoises ont commencé à travailler sur le projet en décembre dernier. La technologie a été mise en œuvre avec un premier pilote à la mi-janvier. Courant avril, une quinzaine de « use cases » étaient pilotés en étroite association avec une demi-douzaine de partenaires et des clients du monde bancaire. « Un élément crucial du succès du projet réside dans la capacité des équipes, au sein de l’écosystème luxembourgeois, à gérer l’ensemble du dispositif et son déploiement, depuis les enjeux de la télécommunication jusqu’aux aspects inhérents à la sécurité, en passant par l’intégration, l’hébergement, la gestion opérationnelle. Cette maîtrise nous a permis de nous concentrer sur les besoins et les attentes des utilisateurs, de travailler à la propagation de la technologie », commente encore le directeur de projet.
Aujourd’hui, pouvant compter sur les Trusted Managed Services d’EBRC, nous pouvons entrer dans une étape d’industrialisation de la technologie, de mise en production et de développement de nouvelles applications en fonction des besoins et attentes de nos partenaires. Nous disposons, à Luxembourg, d’un partenaire capable de supporter le déploiement de la technologie à l’échelle européenne. Avec InTech, nous bénéficions d’une réelle agilité nous permettant, d’évoluer entre le mode prototype pour divers cas d’usage et la mise en œuvre industrielle de certains d’entre eux. » Il y a fort à parier que, grâce à cette technologie prometteuse, le paiement électronique, à défaut d’être trébuchant, devienne effectivement sonnant… mais surtout plus sécurisant.
Un enjeu de sécurité : Aujourd’hui, pour procéder à de nombreuses transactions en ligne, les données présentes et visibles sur la carte suffisent. Dans la mesure où elles peuvent être facilement subtilisées, la carte peut être aisément dupliquée, l’identité du porteur dupliquée. Wega veut répondre à ces enjeux de sécurité.
Des infrastructures en fonction des besoins : Wega a trouvé au Luxembourg des compétences lui permettant de déployer sa technologie rapidement. EBRC et InTech se sont alliés pour mettre en œuvre la solution. Les serveurs d’authentification de Wega sont hébergés chez EBRC, au cœur d’une infrastructure ultra- sécurisée. L’infrastructure nécessaire pourra être déployée en fonction des besoins grandissant de Wega.
En photo: Sébastien Larose – InTech, Patrice Sambou – Wega, Michel Ackerman – EBRC
[toggle title=”Lire les précédents articles”]
- « Il nous faut révolutionner l’expérience client » – Avis d’expert – Marc Aguilar, BGL BNP Paribas
- Devenir un hub FinTech aux ambitions internationales – Avis d’expert – Michel Rodriguez, EBRC
- La Spuerkeess facilite l’usage du mobile banking – Case Study – Jean Hilger, BCEE
- FinTech, empowering financial players – Carte Blanche – Grégory Weber, PwC
- Le Luxembourg : la future Sillicon Valley des FinTech – Carte Blanche – Alexandre Rochegude, KPMG
- Le Luxembourg ne peut pas se permettre de rater le train des FinTech – Grand entretien – Nicolas Mackel, Luxembourg For Finance
[/toggle]