Salon Cartes : Safenet sécurise la transmission des codes PIN

Anne Daubrée,

Transmettre un code pin de manière sécurisée : c’est ce que propose la solution ViewPin+, utilisée par la banque Egg depuis quatre ans. Entretien avec René Bastien, responsable produits de paiement chez Safenet, spécialiste de la sécurisation des données

En quoi consiste le produit View Pin+, que vous lancez à l’occasion du salon Cartes ?

C’est une solution qui permet de transmettre au porteur de la carte son code pin par internet, de manière très sécurisée, par un processus entièrement automatisé. Pour le détenteur de la carte, la démarche est très simple. Il s’identifie normalement sur le site de la banque, et choisit l’applicatif Viewpin+. On lui demande alors de confirmer son identité en donnant les trois chiffres inscrits au dos de sa carte. Au bout de quelques secondes, le code pin s’affiche à l’écran. Nous avons jugé que le protocole de cryptage SSl n’était pas suffisant. Nous avons donc adopté le système de codage RSA. Lorsque le porteur de carte choisit l’applicatif Viewpin+, des clés de session établissent un lien entre la session de l’utilisateur et la demande de code pin, effectuée dans la base de données de codes pin de l’émetteur de cartes. Ainsi, seul celui qui est à l’origine de la cession pourra déchiffrer la carte.

Combien va-t-il coûter ?

Nous allons proposer différentes tarifications, en fonction du volume d’activité de nos clients. Pour ceux qui délivrent peu de cartes, nous proposerons un prix à la carte. Pour ceux qui gèrent un volume plus important, un prix fixe mensuel, et, pour les gros volumes, un forfait. Par ailleurs, nous ne sommes pas fermés à une éventuelle solution en mode asp. Cela ne nous pose pas de souci en termes de sécurité.

Quelles garanties apportez vous sur son efficacité ?

Cela fait quatre ans que la banque en ligne Egg utilise cette solution, et nous n’avons jamais constaté d’arrêt de service ou de fraude. A la base, nous avions conçu ce produit pour Egg. La banque était confrontée à une problématique simple : comme établissement en ligne, elle ne disposait pas de guichet physique pour livrer les cartes. La carte et le code pin transitaient donc par le même canal, à savoir la Poste. Or, le taux de colis interceptés lors de l’envoi était tellement élevé, qu’il a représenté jusqu’au tiers des fraudes subies par la banque ! A la recherche d’une nouvelle solution, nous avons choisi de passer par Internet.

De manière générale, le contexte de crise est il favorable aux solutions de sécurités que vous proposez ?

Oui, tout à fait. Tout d’abord, nous nous sommes aperçus que cette solution intéressait des entreprises soucieuses de protéger leurs données lors des transmissions, comme une société pétrolière. Des banques, en Europe, ont déjà montré leur intérêt. Et des fournisseurs de carte sont également intéressés à fournir cette solution.

Plus largement, il y a une accélération des investissements des entreprises confrontées aux normes, comme celles de Bâle II. Aujourd’hui, en effet, on voit que trop de risques ont été pris, que des investissements ont été effectués sans que la couverture ne soit assurée.