La tokenization, le nouveau standard de sécurisation du paiement mobile

 

L’accélération de l’innovation dans les systèmes de e-paiement montre que l’industrie est prête à répondre aux attentes des utilisateurs de dispositifs portables. L’apparition de nouveaux types de prestataires de services, tels que les « Token Service Providers », sous-entend que le champ d’application de la tokenization ira bien au delà du paiement.

Du 17 au 19 novembre prochain, 3 sessions de conférences sur le thème « Naviguer dans le paysage du paiement mobile sans contact » seront consacrées à ce procédé de sécurisation en pleine expansion, à ses enjeux stratégiques, à sa percée actuelle dans le champ d’application du paiement et à son avenir potentiel dans d’autres secteurs. De nombreux exposants présenteront pendant 3 jours leurs innovations en matière de tokenization.

La tokenization, l’évolution naturelle du paiement sécurisé

Pour comprendre l’arrivée de la tokenization comme solution de sécurisation des paiements électroniques, un bref rappel historique s’impose. Longtemps, le paiement n’a été pratiqué que lors

de transactions « physiques », effectuées en magasin par l’insertion de la carte dans un terminal (« card-present » transactions).

L’apparition de deux phénomènes est venue bousculer ce modèle.

– D’abord, le paiement « sans-contact », effectué directement via une carte ou par l’intermédiaire d’un téléphone mobile. Objectif : faciliter le paiement et augmenter la vitesse de transaction, tout en garantissant un haut niveau de sécurité.

– Le second phénomène, l’arrivée d’Internet et du commerce en ligne, a nécessité la mise en place de systèmes de paiement virtuels (« card-not-present » transactions). Ces systèmes présentent potentiellement des risques plus importants : souvent, la simple utilisation du numéro de la carte (PAN) et de sa date d’expiration suffisent pour effectuer une transaction sur Internet. Face à un volume de transactions virtuelles en très forte progression, les nouvelles technologies – NFC, Bluetooth LowEnergy, QR codes, HCE,… – ont dû relever un certain nombre de défis, en particulier sur le plan de la sécurité.

Le procédé de tokenization qui s’inscrit dans cette évolution des systèmes de paiement consiste à remplacer des données sensibles par des données de substitution, en vue de sécuriser les transactions électroniques. L’exemple le plus emblématique est l’utilisation d’un token en lieu et place du numéro d’une carte bancaire (PAN – Primary Account Number). Ainsi, en cas de brèche dans la sécurité du système et de divulgation des données liées au paiement, l’utilisation du token limite le dommage en comparaison avec celle du PAN original.

Dans les années à venir, il est probable que l’utilisateur ne fasse plus guère de différence entre les transactions de type « card-present » et « card-not-present » et que les identifiants utilisés soient divers et variés, selon le type de terminal ou de réseau utilisé et selon ses préférences (consommateur ou commerçant).

Le token, rempart infaillible contre les hackers

Le token est utilisé en lieu et place de la donnée sensible. Il n’a aucun rapport avec les éléments qu’il remplace et les « hackers » ne peuvent pas tirer parti de ces données de substitution. Le procédé de tokenization permet ainsi de réduire le risque lié à l’utilisation en ligne de données sensibles, par exemple en cas de vol ou d’usurpation de ces dernières. C’est dans ce contexte que la tokenization prend toute sa dimension.

Les prescripteurs et utilisateurs de systèmes de paiement recherchent les bénéfices sécurité suivants :

– Les données sensibles liées à la carte de paiement et à son porteur doivent rester sous le contrôle exclusif de la banque et du commerçant. A aucun moment, ces données ne sont accessibles à des systèmes tiers ;

– Les tokens sont créés sur la base de nombres et de caractères aléatoires et ne sont pas liés aux données auxquelles ils se substituent ;

– Les tokens peuvent être produits selon le même format, la même taille et les mêmes caractéristiques que les données originales.

EMV a fait la preuve de son efficacité pour combattre la fraude dans le cadre des transactions « card-present » : au-delà du « chip & PIN », le numéro de la carte (PAN) ne peut être utilisé qu’avec une présence physique du support.

Pour les transactions « card-not-present », la situation est toute différente et la fraude a une forte tendance à migrer vers ce type d’utilisation. De ce fait, et malgré une batterie de mesures destinées à sécuriser ce type de transactions, la meilleure façon de lutter contre la fraude est de tenir le PAN secret.

Dans un contexte où les transactions sont effectuées sur un mode « cross-channel », indifféremment en magasin ou en ligne, les données de la carte obtenues de façon frauduleuse, via un terminal de paiement défaillant, peuvent être utilisées pour des paiements « card-not-present » sur Internet. C’est là que le token joue un rôle important : même en cas de brèche dans la sécurité du système et si les données liées au paiement sont dévoilées, le dommage reste limité par la valeur même du token, en comparaison avec celle du PAN original qu’il remplace.

C’est donc avant tout dans le cas des transactions « card-not-present » que la tokenization présente le maximum d’atouts de sécurisation. En revanche, d’autres mesures de sécurisation comme celle du lecteur ou du terminal utilisé doivent également être mises en oeuvre, la tokenization ne pouvant à elle seule assurer la sécurité à 100%.

Du paiement à de nouveaux champs d’application : le token omniprésent

Le lancement d’Apple Pay en septembre 2014 a fortement impacté l’écosystème du paiement mobile. Trois éléments principaux caractérisaient cette offre :

– Le NFC comme protocole de communication avec le terminal de paiement ;

– Le recours au SE comme plate-forme de sécurité ;

– Le recours à l’utilisation de tokens pour protéger le N° de la carte.

L’annonce d’Apple a été concomitante à celles de Visa et MasterCard, qui ont validé la tokenization

comme solution de sécurisation des transactions, en particulier celles « card-not-present ». De son côté, EMVCo avait émis quelques mois auparavant – en mars 2014 – un document intitulé « EMV Payment Tokenization Specification – Technical Framework » qui a inspiré la solution Apple Pay.

Cette accélération de l’innovation dans les systèmes de paiement est sans précédent. Elle montre que l’industrie est prête à répondre rapidement aux attentes des utilisateurs de dispositifs portables – au premier rang desquels le Smartphone – qui estiment que cet instrument est tout-à-fait adapté aux transactions effectuées en ligne ou en magasin. De nouveaux types de prestataires de services apparaissent, tels que les « Token Service Providers », qui viennent compléter une gamme déjà riche de fournisseurs de composants et d’applications.

D’autant que le champ d’application de la tokenization va bien au-delà du paiement. Celui de la santé, comme celui du paiement, repose sur une identification forte des personnes via des dispositifs d’accès sécurisés. Il représente un candidat sérieux pour les tokens de nouvelle génération…