Décryptage

Payer avec son doigt, impensable?

Posté le 20 novembre 2012
par La rédaction
dans Informatique et Numérique

Non, vous n'êtes pas dans un film de science-fiction. Payer avec son doigt, ou plutôt avec son empreinte digitale, est désormais possible. Cela grâce à une invention de Natural Security.

En expérimentation depuis quelques jours en France, à Villeneuve-d’Ascq et à Angoulême plus précisément, ce nouveau système de paiement éviterait donc d’avoir à sortir sa carte bancaire. 1500 personnes se prêtent actuellement au test qui durera jusqu’en mars.

Pour effectuer leurs achats, il suffit aux testeurs d’apposer simplement un doigt sur un terminal de reconnaissance, appelé lecteur biométrique. Évidemment, au préalable, ils ont déjà saisi en agence bancaire leurs données biométriques dans leur carte bancaire. Une étape indispensable puisque c’est par la correspondance entre la fameuse carte et le lecteur biométrique que l’enseigne valide un achat en authentifiant l’utilisateur. En effet, un signal de validation est envoyé au terminal pour valider la transaction, lorsque la correspondance digitale a bien été vérifiée.

Il s’agit d’une première mondiale. À l’occasion de ce début d’expérimentation, Cédric Chozanne, le directeur général de Natural Sécurity, a accepté de répondre aux questions des Techniques de l’Ingénieur.

Techniques de l’Ingénieur : Pouvez-vous vous présenter brièvement ?

Cédric Chozanne : Je suis directeur général de Natural Security. J’ai un background d’informatique bancaire et de marketing lié aux moyens de paiement. Ingénieur en informatique et en électronique de formation initiale, j’ai complété ma formation par un DEA en instrumentation et analyse ainsi que par un troisième cycle en IAE à Lille en management d’entreprise.

Techniques de l’Ingénieur : Qu’est-ce que Natural Security ?  

Cédric Chozanne : C’est un projet qui est né fin 2006 au sein du pôle de compétitivité des industries du commerce et de la distribution (PICOM) à Lille. Nous avons rassemblé les besoins à la fois du commerce et de la banque qui souhaitaient trouver une solution d’authentification simple, rapide & sécurisée.

Une fois la solution d’authentification trouvée, nous avons créé la société mi 2008 pour porter les droits intellectuels, développer la solution et l’expérimenter en situation réelle. L’actionnariat de Natural Security est composé actuellement de banques telles que le Crédit Agricole, le Crédit Mutuel Arkéa, BNP Paribas et La banque Accord, de commerçants tels que Leroy Merlin, le Groupe Auchan et un industriel de la monétique : Ingenico.

Techniques de l’Ingénieur : Comment est venue l’idée du paiement par empreinte digitale ?

Cédric Chozanne : Le constat fait à l’origine du projet provenait d’une réflexion sur l’expérience client dans le domaine du paiement et plus généralement dans le domaine  de l’authentification. Actuellement, il existe diverses méthodes de paiement. On peut payer en insérant sa carte dans un lecteur et en tapant son code, on peut aussi bientôt payer sans taper son code pour des petits montants en approchant sa carte du terminal de paiement. On pourra aussi bientôt  payer avec son téléphone en saisissant son code directement sur le mobile. Enfin, sur internet, le paiement via 3D Secure engendre potentiellement autant de systèmes d’authentification qu’il n’y a de banques : réception d’un code par SMS, recopie d’un code généré par une clef électronique, ou encore des questions complémentaires sur vos données personnelles… Bref, cela devient compliqué pour le client lambda. Nos actionnaires nous ont donc demandé de réfléchir à un système qui permette de proposer la même ergonomie quel que soit le service et quel que soit l’endroit d’utilisation. Nous avons cherché à mettre en œuvre une ergonomie très simple, sécurisée et identique pour le paiement, le retrait, le contrôle d’accès physique ou le contrôle d’accès logique : ouvrir une session d’ordinateur, remplacer des identifiants/mots de passe, se connecter à la banque à domicile, payer en ligne…

Pour y parvenir, nous avons assemblé différentes technologies existantes autour d’une architecture nouvelle. Nous avons basé notre concept sur un support personnel sécurisé que vous gardez sur vous et qui peut être, par exemple, une carte bancaire, un téléphone, un porte-clefs… La caractéristique originale de Natural Security tient au fait qu’il n’est plus nécessaire de manipuler le support personnel sécurisé en question. L’objet en poche peut alors désormais communiquer à moyenne distance, entre un mètre cinquante et deux mètres, avec le lecteur de paiement biométrique sur lequel l’utilisateur pose son doigt. Le support personnel sécurisé  compare ensuite la biométrie reçue du lecteur et celle qui est sauvegardée en son sein en vue d’accepter ou non le paiement.

L’expérimentation actuelle a été basée sur l’utilisation d’une carte bancaire mais lors du prochain salon Cartes début novembre à Villepinte, nous allons présenter d’autres facteurs de forme, qui seront des badges pour les entreprises et l’utilisation du téléphone mobile. Finalement, pour l’utilisateur peu importe la forme de l’objet puisqu’il ne le manipule plus. Toutefois, l’objet devra respecter nos spécifications techniques et normes de sécurité, basées notamment sur les dernières normes bancaires. De plus, Natural Security promeut d’autres règles d’implémentation afin que le système soit respectueux de la vie privée de l’utilisateur : Aucune constitution de base de données biométriques et un support personnel sécurisé non traçable et anonyme.

Techniques de l’Ingénieur : Qu’est-ce que la biométrie ?

Cédric Chozanne : C’est un élément qui vous caractérise. Typiquement, l’empreinte digitale est une représentation des bifurcations, des croisements, des lignes de la peau du doigt dont il est possible d’extraire des représentations que l’on appelle « minuties », qu’il est possible de stocker. Ces minuties peuvent être utilisées par la Police dans le cadre d’une recherche d’identité à partir d’une base de données. En revanche Natural Security n’utilise pas la biométrie dans le domaine de l’identification mais uniquement comme moyen d’authentification. Mon support personnel sécurisé Natural Security permet de confirmer ou non que j’en suis le titulaire par comparaison entre la biométrie ma biométrie qu’il est seul à posséder et la biométrie qu’il reçoit lorsque je pose le doigt sur le lecteur biométrique.

L’intérêt de ce concept est l’absence de base de données. Ainsi nous respectons les réglementations en la matière dans les différents pays, notamment en France ou la CNIL est très vigilante quant à l’utilisation qui est faite des données biométriques. Egalement, le fait que l’utilisateur porte sur lui son propre système d’authentification permet de concevoir des systèmes interopérables. In fine, il sera alors donc possible de voyager et de payer partout dans le monde grâce à son support personnel sécurisé qui réalisera l’authentification de manière autonome, sans aucune base de données tout en respectant les données et la vie privée de l’utilisateur.

Techniques de l’Ingénieur : Quels sont les objectifs de cette expérimentation ?

Cédric Chozanne : Aujourd’hui nous avons mis en place deux sites, à Villeneuve d’Ascq et Angoulême, avec 1500 clients appartenant aux banques actionnaires et 200 terminaux de paiement répartis à la fois dans des grandes enseignes comme Auchan, Leroy Merlin, Décathlon, Flunch, et des petits commerçants de galerie marchandes ou de centre-ville.

Nous avons souhaité qu’il y ait un nombre de porteurs suffisamment significatif de manière à pouvoir obtenir un nombre de retours significatifs concernant l’utilisabilité et l’ergonomie des biométries utilisées. Cela reste une technologie nouvelle que  le client soit s’approprier.

Nous expérimentons deux biométries différentes. Sur Lille, nous expérimentons le réseau veineux du doigt, et sur Angoulême, l’empreinte digitale. La manière de poser son doigt est complètement différente si l’on est face à un lecteur d’empreinte digitale où l’on pose simplement le doigt sur le capteur, alors que dans le cas du réseau veineux, il est nécessaire d’insérer le doigt à l’intérieur du lecteur. Nous souhaitons donc mesurer la perception du client quant à l’utilisation au quotidien de cette nouvelle technologie et la perception qu’il peut avoir au moment de l’enregistrement de ses données biométrique sur sa carte.

La propreté du lecteur fera également partie des informations que nous regarderons mais qui à ce jour ne nous semble pas problématique. Il faudra néanmoins le vérifier in situ.

Techniques de l’Ingénieur : Comment fonctionne le système de réseau veineux ?  

Cédric Chozanne : La cartographie des veines de la deuxième phalange est lue, en insérant le doigt dans le capteur grâce à une lumière proche de l’infrarouge.

Techniques de l’Ingénieur : Natural Security développe donc avant tout un concept…

Cédric Chozanne : Nous ne vendons pas de matériel, ni de service. Notre modèle a été adapté de sorte que l’on puisse répondre aux besoins de nos actionnaires bancaires et commerçants ; qui est de promouvoir la technologie afin qu’elle soit déployée in fine à très large échelle. Pour y arriver, nous appliquons un modèle de licence du concept permettant aux industriels intéressés d’utiliser nos brevets et surtout nos spécifications. Toutefois, nous ne vendons pas de matériel pour éviter d’être concurrent de ces mêmes industriels. Nous sommes donc là pour les aider à créer de la valeur via de nouveaux produits basés sur la technologie Natural Security. Nous ne nous immisçons pas dans la chaîne de valeur ni ne souhaitons devenir leurs concurrents. Les commerçants continueront donc à acheter des terminaux de paiement aux industriels

Techniques de l’Ingénieur : La confidentialité est-elle vraiment assurée ?

  Cédric Chozanne : En termes de confidentialité des données biométriques, il y a un point important à préciser. La biométrie ne sort jamais de l’enceinte sécurisée de la puce, une fois qu’on l’y a mise pour l’enregistrement.

Techniques de l’Ingénieur : Un déploiement national, et surtout international, est-il envisageable ?  

Cédric Chozanne : Pour le moment, l’expérimentation se fait avec des acteurs français. Mais l’utilisation de Natural Security apporte également de nombreux avantages sur d’autres marchés en France comme à l’international. C’est pourquoi, nous avons également des projets sur la zone Amérique du Nord où nous y avons une personne qui effectue la promotion. D’une manière générale nous visons les pays où la biométrie est déjà utilisée comme par exemple le Brésil, et où les besoins d’authentification se font de plus en plus croissants.

Par  Sébastien Tribot, journaliste scientifique


Pour aller plus loin