Auchan expérimente le paiement sécurisé avec le bout du doigt

08/11/2012 à 00h00

Le groupe de distribution va tester, dans deux supermarchés, un système de paiement par reconnaissance biométrique. Objectif : réduire le temps de passage en caisse et mesurer le niveau d'acceptation des consommateurs pour cette technologie.

Le paiement biométrique va-t-il remplacer les usages naissants de règlement par smartphone ? La technologie NFC (communication en champ proche), les QR codes en 2D ou encore le service d'e-paiement Buyster vont-ils être détrônés par un dispositif fondé sur la simple reconnaissance d'une empreinte digitale ou du réseau veineux d'un doigt ? Les dirigeants de la start up lilloise Natural Security, qui a mis au point ce procédé, aimeraient bien le croire. Surtout depuis que leur innovation va être testée dans les magasins Auchan de Villeneuve-d'Ascq et d'Angoulême pendant six mois.

Un seul geste pour plusieurs usages

Ce système affiche de fait bien des atouts. D'abord, son usage est ultra-simple : au moment de payer, l'utilisateur appuie un doigt (l'index ou le majeur) quelques secondes sur un boîtier. L'empreinte, difficilement falsifiable, permet ainsi une authentification forte. Ensuite, les données personnelles sont protégées et restent en la seule possession de l'utilisateur. Enfin, ce seul geste valide de nombreux services requérant ce type d'authentification (retrait d'argent, paiement en ligne, signature électronique, accès à des locaux protégés…).L'expérimentation orchestrée par le groupe Auchan durera jusqu'au mois de mars 2013. Quelque 1 500 clients de Banque Accord, filiale du groupe Auchan, pourront ainsi régler leurs achats via ce système de reconnaissance biométrique. Et ce, non seulement dans les supermarchés Auchan concernés, mais aussi dans d'autres enseignes du groupe (Leroy Merlin, Decathlon, Flunch…) et chez des petits commerçants indépendants. Soit 200 points de vente intégrés dans ce test grandeur nature. Plusieurs banques sont également associées à l'opération dont BNP Paribas, Crédit agricole, et Crédit mutuel Arkéa. A Villeneuve-d'Ascq, dans la banlieue de Lille ? où se trouve également le siège d'Auchan ?, c'est le système de reconnaissance du système veineux qui a été mis en place. A Angoulême, en Charente, le procédé fonctionnera seulement avec l'empreinte digitale.Le dispositif de Natural Security repose sur trois éléments techniques : une carte bancaire ; un support de communication sans contact sécurisé ; et un dispositif biométrique. L'utilisateur reçoit une carte bancaire spécifique, vierge de toute donnée biométrique, et un étui pour l'insérer. C'est par l'intermédiaire de ce dernier que s'établit la communication sans fil (avec Zigbee, comparable au Bluetooth 4) entre la carte et le lecteur d'empreinte jusqu'à un mètre cinquante de distance. L'activation du service se fait dans l'agence bancaire. Là, les données biométriques sont enregistrées sur la carte du porteur. “ A aucun moment, il n'y a constitution d'une base de données de ses informations biométriques, même temporaire. C'était une des exigences de la Cnil (Commission nationale de l'informatique et des libertés) ”, insiste André Delaforge, directeur marketing de Natural Security. Autrement dit, la carte bancaire est le seul endroit où ces données sont stockées.“ Il s'agit bien d'un système d'authentification, et non pas d'identification, puisqu'il n'est pas possible de faire le lien entre les données biométriques et l'identité d'une personne ”, précise encore André Delaforge. En cas de perte ou de vol de la carte, la mise en opposition permettrait de détruire ces données sensibles. De son côté, le commerçant s'équipe d'un lecteur d'empreinte digitale ou du réseau veineux du doigt, connecté à son terminal de paiement électronique, puis il fait une mise à jour de son système informatique. Au moment de régler ses achats, quand le client pose son doigt sur le lecteur biométrique, une communication chiffrée s'établit avec la carte bancaire via l'étui. L'empreinte lue est envoyée sur la carte à puce, où la comparaison avec l'empreinte de référence est réalisée. Dès lors, le paiement est accepté. A noter que si l'utilisateur n'a pas à manipuler sa carte même, il doit quand même toujours l'avoir sur lui.“ C'est une des solutions de paiement les plus intéressantes, car elle combine l'ergonomie client et la sécurité, deux éléments habituellement difficiles à concilier ”, explique Pierre Lahbabi responsable de l'innovation dans le paiement chez BNP Paribas Groupe, autre partenaire de l'expérimentation. Ce mode d'authentification forte pourrait être appliqué à d'autres usages, jusqu'ici pénalisés par des modes de sécurisation inadaptés. “ D'autres systèmes ne demandent qu'un identifiant et un mot de passe, que l'utilisateur ne change quasiment jamais. Ce n'est pas très sûr. A l'inverse, des procédés très sécurisés mais trop complexes, comme 3DSecure, dégradent l'expérience client ”, illustre Pierre Lahbabi.L'objectif de cette expérimentation est de valider les différents aspects techniques liés à la biométrie et la technologie sans contact à moyenne distance. Les entreprises impliquées souhaitent également recueillir la perception des consommateurs face à cette technique, ainsi que celle du personnel en magasin et dans les banques. Déjà une dizaine de commerçants et d'établissements bancaires, dont les actionnaires de Natural Security, participent au test. “ Pour l'instant, la solution ne sera pas déployée de façon massive, précise André Delaforge. Mais nous souhaitons qu'il y ait suffisamment de lieux proposant ce mode de paiement pour que le client puisse faire cinq à six transactions de paiement sans contact biométrique par mois. ” Pierre Lahbabi confirme : “ Avec plusieurs milliers de transactions réalisées par 1 500 porteurs, nous obtiendrons des résultats statistiques significatifs. Cette expérimentation sera une réussite si l'on a un bon retour des clients et des commerçants sur cet usage, ainsi que des indications sur ce qu'il reste à améliorer. ”

Évaluer la satisfaction de l'utilisateur… et ses réticences

De son côté, Auchan s'est fixé des objectifs portant, notamment, sur le niveau d'utilisation du paiement biométrique, c'est-à-dire sur le volume de transactions à partir duquel l'expérimentation sera considérée comme un succès. Aucune valeur n'a été divulguée par l'enseigne de grande distribution. En complément des résultats quantitatifs mesurés, celle-ci mènera, au fur et à mesure du test, des études qualitatives auprès d'un panel de clients pour comprendre leur appétence ou leurs réticences face à cette innovation. Parmi les bénéfices attendus, Auchan vise le confort apporté à ses clients. “ Le temps moyen de passage en caisse est de cinq minutes. Si nous gagnons trente secondes, nous répondrons alors à une attente forte de nos clients, explique Jérôme Zulian, le directeur de l'hypermarché de Villeneuve d'Ascq. De plus, ce système innovant nous permet de marquer notre différence par rapport à nos concurrents, donc renforce la possibilité de faire d'Auchan une enseigne préférée. ”Un tel système expérimental, peu industrialisé, a un coût. Dans le cadre de ce test, dont le but est surtout de valider des technologies et le ressenti consommateur, aucun retour sur investissement n'est attendu. Ensuite, Natural Security devra travailler avec des industriels pour intégrer sa technologie dans des badges, des smartphones, des tablettes, ou des automates. “ Il y aura alors deux coûts à prendre en compte : celui de l'acceptation bancaire, qui ira décroissant à mesure que le volume d'utilisateurs grandira, et celui du dispositif de paiement. Au final, c'est dernier qui devrait être le plus important ”, prédit André Delaforge.

Une généralisation de ce mode de paiement à d'autres usages

A l'issue de l'expérimentation, les dispositifs biométriques installés dans les magasins seront démontés, comme l'ont exigé la Cnil et la Banque de France. L'analyse des résultats déterminera l'avenir de ce mode de paiement. Si, aujourd'hui, ce test grandeur nature est réalisé en n'utilisant qu'un seul support, la carte bancaire, Natural Security a d'ores et déjà intégré ses standards d'authentification forte, ainsi que la technologie de communication à moyenne distance Zigbee, sur des cartes microSD, voire des cartes SIM, donc dans des téléphones mobiles. “ Une généralisation de ce mode de paiement à l'ensemble de la population française, pour d'autres usages et sur des supports différents, induira un travail supplémentaire d'analyse des risques, qui ne seront pas du même ordre que ceux définis pour cette expérimentation ”, projette Aurélie Banck, juriste au service des affaires juridiques de la Cnil.

L'avis de la Cnil : “ Nous souhaiterions que des centres de certification soient initiés au niveau européen ”

Les dispositifs de reconnaissance biométrique ne sont pas encore reconnus par l'Agence nationale de la sécurité des systèmes d'information, dont l'une des missions est de certifier la sécurité des systèmes bancaires. “ Nous souhaiterions que des centres de certification, garants de la sécurité de ces dispositifs, puissent être lancés. Les initiatives pourraient émerger au niveau européen ”, explique Franck Baudot, ingénieur expert au service de l'expertise informatique de la Cnil. Aujourd'hui, la Commission étudie elle-même ces dispositifs complexes. L'un d'entre eux, le relevé biométrique du réseau veineux de la main, est déjà utilisé au Japon, notamment pour le retrait d'argent auprès de distributeurs automatiques de billets. “ Mais il est très difficile de recueillir des informations sur ces technologies car elles sont protégées par de nombreux brevets ”, explique Aurélie Banck, juriste au service des affaires juridique de la Cnil. Sur ce marché naissant, Hitachi et Fujitsu sont les deux industriels dominants. “ En matière de biométrie, le risque de se retrouver dépendant d'un seul fournisseur est donc élevé ”, précise Franck Baudot.

L'avis du banquier : Pierre Lahbabi (BNP Paribas Groupe) : “ il n'y aura pas de généralisation du paiement biométrique avant 2014 ”

Plusieurs banques, qui sont actionnaires de Natural Security, sont associées à ce projet de paiement biométrique. Ce fait est une condition nécessaire pour que cette expérimentation débouche sur un déploiement à grande échelle. On ne peut pas imaginer que chaque banque travaille de son côté pour pousser son propre système. Nous avons besoin d'interopérabilité bancaire pour que la technologie soit adoptée par le plus grand nombre.

Toutefois, si elle est effective, il ne faut pas s'attendre à une généralisation de ce mode de paiement avant 2014. Lors d'une première étape, qui courra sur l'année 2013, les banques devront tirer les leçons de cette expérimentation, qui reste un vrai défi technologique. Puis nous devrons travailler avec Visa, Mastercard et le GIE des cartes bancaires, afin de mettre en place des processus adaptés. Il y aura un énorme travail préparatoire à faire.

Eddye Dibar