L’économie mondiale bascule peu à peu dans un univers où les échanges commerciaux sous la forme traditionnelle disparaissent. Le courrier, le téléphone, le fax ou les rencontres en face à face cèdent la place aux transactions électroniques acheminées à travers Internet. Sous pression, l’ensemble des entreprises et des institutions financières remet en cause ses processus métiers afin de les adapter aux services en ligne.Mais qui dit Internet dit danger. Premier concerné, l’internaute qui se risque à payer sur le Web. Dans ce domaine, nous en sommes encore au Moyen ?’ge. “Tous les sites marchands utilisent les mêmes sécurités techniques pour les paiements des particuliers “, résume Jérôme Wirth, p.-d.g. de BeWeB, prestataire spécialisé en e-paiement. Et le constat est plutôt désolant. Il n’existe aucune infrastructure de confiance sur Internet. Personne ne s’identifie de façon sûre : ni le marchand, ni l’acheteur, ni le prestataire de paiement ! Les technologies mobilisées souffrent des mêmes faiblesses depuis des années.En l’occurrence, l’identification du site Web auquel on est connecté est minimale. Elle repose sur l’usage d’un certificat numérique. Celui-ci est transmis par le site, marchand ou de paiement, au navigateur de l’internaute. Le navigateur se contente de vérifier l’identité de l’autorité qui a émis le certificat ?” à partir d’une liste qu’il possède lors de son installation sur le disque dur du PC. Puis, le site Web distant propose à l’internaute d’établir une session sécurisée. Un canal chiffré est ainsi créé grâce au protocole SSL (Secure socket layer). Il ne reste plus à l’acheteur qu’à confier son précieux numéro de carte bancaire, suivi de la date d’expiration, pour que l’achat s’enclenche, … à ses risques et périls. Car, une fois stocké dans les serveurs du prestataire de paiement ou chez le site marchand, ce numéro de carte bancaire devient une proie tentante pour des pirates.Si le site de paiement s’authentifie à peine, l’identification de l’internaute est nulle. “L’envoi de certificat par le poste client n’est pas utilisé aujourd’hui, dans le cadre du commerce B to C. En revanche, il l’est en B to B “, explique Jean-Claude Barbezange, responsable des projets pour le commerce électronique chez Atos Origin. Dès lors, “identifier un particulier avec certitude réclame un moyen d’authentification forte “, souligne Emmanuel Michaud, p.-d.g. du groupe MCO, spécialisé dans le développement de solutions de paiement sur Internet. En clair, il faut absolument un support matériel de l’identité de l’internaute, qu’il s’agisse d’une calculette, d’un token à brancher au port USB d’un PC ou d’une carte à puce complétée d’un terminal de lecture.
Les banques hésitent sur la stratégie à employer
Face à cette problématique cruciale de l’authentification en ligne, les banques sont perplexes. Habituées depuis des années à la relation de visu avec leurs clients, elles hésitent sur la stratégie à employer. Au-delà de la solution traditionnelle du mot de passe associé à un identifiant, elles doivent dresser des barrières à la hauteur des risques qu’elles courent en ouvrant des services en ligne. Elles réagissent pour l’instant en ordre dispersé.BNP Paribas a lancé, en juillet dernier, un portail de services bancaires à destination des entreprises, mais disponible uniquement pour des comptes gérés en Asie. Ce service est l’un des premiers de ce type à être ouvert à Singapour. Baptisé Connexis, il permet aux entreprises d’optimiser la gestion de leur trésorerie (suivi en temps réel des mouvements de tous les comptes inscrits dans les livres de BNP Paribas en Asie), et d’initier des ordres de paiement vis-à-vis de tiers. Afin d’accéder au serveur bancaire, BNP Paribas a retenu une solution à base d’authentification forte. L’utilisateur (le trésorier d’une entreprise) entre un code d’identification sur une calculette. Celle-ci génère un mot de passe, valide pour quelques secondes. Une fois entrée cette série de caractères, l’utilisateur doit la compléter par son identifiant et le mot de passe associé afin d’accéder au service.
La PKI, le nec plus ultra
Ce type de solution a fait ses preuves : l’Américain RSA Security a vendu 2,6 millions de calculettes en 2000, soit 36 % de plus qu’en 1999 ! Mais elle peut apparaître insuffisante à certains établissements, qui en appellent au nec plus ultra en la matière : une infrastructure à clés publiques (PKI). “Nous avons choisi la PKI pour nos services en ligne car, selon les experts, c’est le seul moyen d’assurer la non répudiation des transactions”, assure Slavenka Dosen, conseillère auprès de la banque Zagrebacka Banka, située à Zagreb en Croatie.La banque a choisi de déployer des services en ligne à destination de ses clients entreprises. La sécurité est adossée à une PKI délivrée à partir de la plate-forme UniCert du britannique Baltimore Technologies. Le support physique des certificats est une carte à puce, fournie par le français ActivCard. Slavenka Dosen ajoute : “Une PKI est similaire à un iceberg. Les 9/10e de la tâche ne sont pas visibles lorsqu’on prend la décision de la mise en ?”uvre. Toutefois, nous avons réussi à déployer l’infrastructure en cinq mois.”Un kit comprenant un terminal de lecture, des logiciels et les cartes à puce a été fourni gratuitement à chacune des entreprises clientes. Lancé en phase pilote en mai 2001, le service est désormais ouvert officiellement, et notamment cinq cents des plus grandes entreprises croates l’utilisent. “L’investissement représente entre 6 et 7 millions de dollars”, révèle Slavenka Dosen. À plus long terme, ce sont plus de quatre-vingt mille directeurs financiers qui pourraient traiter leurs opérations bancaires en ligne, sécurisées par chiffrement et grâce à la signature numérique autorisée par la clé privée enregistrée dans la carte à puce lors de sa création.
Deux canaux différents pour limiter les risques
Par ailleurs, la dématérialisation du commerce B to C a suscité l’émergence de nouveaux acteurs. Un prestataire tel que le néerlandais Bibit propose une plate-forme capable de gérer plusieurs dizaines de modes de paiement, adaptés aux différents contextes européens. “En France, l’usage du numéro de CB en ligne est très répandu ; en Allemagne, c’est l’ordre de virement qui a les faveurs du public”, explique Emmanuel Muzet, consultant chez Bibit. L’internaute d’outre-Rhin transmet ainsi son numéro de compte et le montant à débiter. “C’est potentiellement assez dangereux”, reconnaît Emmanuel Muzet.Il existe toutefois des moyens détournés pour renforcer cette identification, sans passer sous les fourches caudines du certificat numérique ou de l’authentification forte. “En Allemagne, après avoir passé commande sur le site Web, l’internaute peut valider son achat via son téléphone mobile.” L’usage de deux canaux différents pour accéder à la même personne réduit les risques. “L’internaute doit d’abord ouvrir un compte auprès de la société Paybox, tout comme le marchand. Et, lors de chaque transaction, Paybox lui transmettra une demande de confirmation de commande par un message SMS. Il acceptera via le même canal, détaille-t-il. Il est aussi nécessaire de rassurer le marchand quant à la crédibilité de l’acheteur.” Pour cela, Bibit ?” mais il n’est pas le seul ?” propose des services de scoring.Des tests vérifient, par exemple, la cohérence entre l’adresse IP du navigateur et la nationalité de la carte. “Une adresse IP venant de la CEI (ex-URSS) alors que le numéro de carte bancaire est américain incite à la prudence. De même, le marchand doit savoir que trois numéros différents de carte bancaire ont été essayés successivement avant de recevoir une acceptation du centre de traitement”, détaille Emmanuel Muzet. “Nous filtrons les numéros de cartes générés telles que les Yes cards”, ajoute Jérôme Wirth.
Des solutions tout-en-un
Quant au commerce électronique interentreprises, si les places de marché ont été les vedettes de l’année 2000, l’intérêt se porte désormais sur les solutions qui permettent de réaliser en ligne la totalité du processus consistant à conclure une vente, s’entendre sur les modalités du transport, effectuer les transferts de fonds entre les établissements bancaires de l’acheteur et du vendeur, le tout en souscrivant les assurances auprès des organismes ad hoc.En France, le traitement de la facture en ligne, l’e-billing, a également le vent en poupe. Les acteurs les plus connus sont Post@xess, une nouvelle filiale de La Poste, B-process et la place de marché Answork. Post@xess propose, depuis octobre, une solution de traitement dématérialisé des factures sur Internet. Les données sont accessibles au sein d’un dossier, dans un espace de travail partagé, par les partenaires concernés. Chacun vient enrichir ce dossier des différents statuts, de l’émission de la facture jusqu’à son solde. Seul souci : Post@xess exploite une architecture rigide, éloignée des standards du Web. La sécurité s’appuie sur des boîtiers de chiffrement symétrique à 128 bits, fournis par Thalès. Le tout est couplé à un module gérant les codes d’accès et la signature pour une non-répudiation. Enfin, l’architecture fonctionne en mode client-serveur et impose un logiciel client sur le poste de travail. La plate-forme technique devrait toutefois évoluer vers une technologie plus propice, puisque Post@xess vient de sélectionner un éditeur d’EAI, CrossWorlds, dans un souci d’intégration B to B avec les systèmes d’information de ses clients.B-process, pour sa part, a choisi d’emblée le mode ASP pour ses services accessibles via une interface Web. Les standards Internet sont aussi appelés à la rescousse en ce qui concerne la sécurité. Filiale de Natexis et des Banques Populaires, B-process s’avance sous couvert d’une toute jeune architecture PKI. Son offre est d’ailleurs intégrée à la place de marché AchatPro, qui sécurise les paiements en ligne via l’offre de certificats numériques Click & Trust de la Bred, qui appartient au même groupe que les Banques Populaires. Le troisième compétiteur, la place de marché Answork, s’appuie sur la solution Marketpay, de PeopleSoft, pour la partie facture et paiement.
Place à la confiance
Le basculement dans un univers totalement dématérialisé suscite aussi l’apparition de nouveaux intermédiaires. Ambitionnant de créer un cadre d’échanges sécurisés de flux XML, ils offrent d’orchestrer la mécanique des paiements B to B entre acheteurs, vendeurs et leurs banques. Ainsi, la société Vcheq (fondée à la fin 1999) entend déployer des services de paiement à l’échelle du Web. Fin 2000, elle annonçait le choix d’une infrastructure PKI fournie par Baltimore. Elle sélectionnait, en outre, les cartes à puce de technologie Gemplus comme support des clés.Un acteur comme CCEWeb offre, pour sa part, avec son service @GlobalTrade, un cadre électronique global afin de traiter, via Internet, l’ensemble des opérations entre un acheteur et un vendeur, incluant l’organisation du transport des marchandises ; et les règlements bancaires, une fois la vente conclue. De même, FinancialSettlementMatrix ou TradeCard proposent une infrastructure de paiement sécurisée à connecter aux places de marché.
Les banques investissent dans les nouveaux entrants
Dans cette nouvelle voie du B to B, les banques sont présentes avec Identrus ou Swift, mais elles investissent également fréquemment dans les nouveaux entrants. Pour Laurent Bellefin, responsable de l’activité sécurité de Solucom : “La sécurisation du commerce B to B passera nécessairement par une utilisation intensive de la technologie des PKI. Les éléments nécessaires à la reconnaissance juridique de la signature électronique, basée elle aussi sur les PKI, se mettent en place. Cette tendance inéluctable va toutefois mettre un peu de temps à se concrétiser. Les offres de service doivent s’installer, notamment dans le domaine de l’horodatage et de l’archivage des transactions, qui est l’un des problèmes techniques les plus délicats à traiter.”Un problème que cible précisément la jeune pousse Kotio, créée à la fin 2000, à l’initiative de deux anciens de la DCSSI (Direction centrale de la sécurité des systèmes d’information, de la Défense nationale). “Kotio est un service de preuves et de notarisation sur Internet. Il s’agit de conserver la preuve horodatée d’un envoi, d’une réception de document et d’un contenu”, explique Isabelle Angelo, présidente du directoire. Pour permettre à ses clients d’établir des signatures électroniques, Kotio assume le rôle d’autorité de certification (AC). La société génère, distribue et gère des certificats numériques. Elle mettra en ?”uvre une PKI basée sur la solution de RSA Security sur ses propres serveurs. Les services devraient être lancés en phase pilote en décembre et concurrenceront une offre comme celle de Cashware, vieille d’à peine plus d’un an. Lentement, les espaces de confiance se mettent en place sur le Web.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
