Risques et opportunités sécuritaires dans la tokenisation des paiements

La tokenisation est un concept de la sécurité informatique qui consiste à remplacer les données sensibles par des symboles d'identification uniques "non sensibles" appelés tokens, qui conservent toutes les informations essentielles sur les données sans compromettre leur sécurité.

En monétique, elle consiste à remplacer les données de cartes bancaires par des données "non sensibles" afin de réduire les risques liés à l'utilisation des cartes lors des transactions électroniques. La sécurité de cette technologie vient du fait qu'elle est basée sur un algorithme de hachage. Par conséquent, il est quasi impossible de reconstituer les vraies données à partir des tokens.

Dans cet article, nous ferons un tour d'horizon sur ce concept et parlerons des opportunités et risques sécuritaires qui y sont liés.

ÉCOSYSTÈME D'UN SYSTÈME DE PAIEMENT AVEC TOKEN

Faisons d'abord un rappel sur les principaux acteurs intervenant dans une transaction interbancaire avec leurs rôles. Il s'agit de :

• L'accepteur : toute personne morale (commerçant, artisan, entreprises, restaurant…) acceptant l'utilisation des moyens de paiement électronique pour le paiement d'un produit ou d'un service.
• Le porteur : c'est le client d'un établissement financier qui souscrit à un contrat porteur carte bancaire et à qui l'on remet la carte bancaire.
• L'émetteur : il s'agit de l'institution financière qui met à disposition de son client un moyen de paiement et qui dispose de l'infrastructure nécessaire pour traiter les transactions qui lui sont destinées.
• L'acquéreur : c'est l'organisme financier qui met à la disposition de son client des moyens d'acceptation des paiements électroniques. C'est la banque qui accepte la transaction d'un porteur sur ses DAB/GAB ou d'un marchand qui reçoit des paiements.
• Le réseau : c'est l'organisme au sein duquel on retrouve plusieurs établissements financiers interconnectés et qui assure le routage des transactions entre les membres. On distingue des réseaux nationaux (CMI au Maroc, CB en France…), régionaux (GIM-UEMOA pour la l'Afrique de l'Ouest, GIMAC pour l'Afrique Centrale…) et internationaux (VISA, MasterCard, Union Pay International…).

En dehors de ces rôles classiques, deux autres sont à mentionner lorsqu'il s'agit d'une transaction électronique basée sur la tokenisation :

• Token Requestor (TR) : c'est un acteur de la chaine de paiement qui souhaite digitaliser la carte de paiement pour un cas d'usage. Il peut s'agir d'un émetteur qui souhaite offrir le service de tokenisation à ses clients ou d'un e-commerçant qui souhaite stocker les données de carte de ses clients. Le TR fait une demande de création de token auprès d'un fournisseur.
• Token Service Provider (TSP) : C'est le fournisseur de token. Il joue un rôle primordial dans une transaction électronique utilisant la tokenisation. Le TSP est chargé de la création des tokens et détient la base de données (Token Vault) qui contient les tokens et les données de cartes sensibles associés aux tokens. Il assure la correspondance entre les tokens et les données de cartes, par ricochet, intervient même en amont de l'émetteur dans le circuit d'une transaction. N'importe quel acteur du domaine peut jouer le rôle de TSP. Mais dans la pratique, ce sont les réseaux internationaux qui proposent, en premier lieu, ce service aux TR. Nous pouvons citer la solution Token ID de VISA ou encore la solution de paiement avec tokenisation de MasterCard.

DIFFÉRENTS CAS D'UTILISATION DE LA TOKENISATION DES PAIEMENTS

On distingue deux techniques d'utilisation de la tokenisation des paiements :

• Card-On-File : une transaction card-on-file permet à un e-commerçant de sauvegarder de manière sécurisée les informations sensibles des cartes des clients pour des opérations futures. En effet, la norme PCI-DSS interdit à une entité du domaine d'acquisition (l'acquéreur, le commerçant ou le fournisseur de services d'un commerçant) de sauvegarder ces données. Cependant, si elle souhaite les réutiliser plus tard, elle peut proposer une digitalisation de la carte du client en faisant une demande de token de sécurité auprès d'un TSP. Ainsi, le token pourra être sauvegardé dans le système d'information du e-marchand.

• Transaction NFC : une transaction NFC (Near Field Communication) est une transaction initiée par un terminal (portefeuille numérique, montre intelligente…). Lors de la transaction, la carte est substituée par un token de paiement qui sera utilisé tout au long du circuit de paiement. En effet, lorsque le client d'une banque souhaite digitaliser sa carte, la banque (si elle fournit le service de tokenisation) fait une demande de token de paiement auprès d'un TSP pour ce client et l'insère dans son application mobile du type wallet ou dans le terminal cible. Le porteur utilisera ses terminaux au lieu de la carte pour effectuer ses transactions. Le recours aux tokens de paiement consiste donc à substituer à un numéro de carte bancaire un alias qui présente les mêmes caractéristiques.

PRINCIPE DE FONCTIONNEMENT

Création de Token

La création d'un Token obéit à une procédure bien définie comme le montre la figure ci-dessus. Une entité qui souhaite faire une digitalisation des données de cartes bancaires pour ses clients doit faire une demande de token auprès d'un TSP en lui fournissant les données suivantes :

• Le PAN (le numéro de carte du porteur)
• la date d'expiration
• token Requestor ID (un identifiant obtenu après enregistrement auprès du TSP)

Le TSP, dans un premier temps, génère le token à partir de son BIN (Bank Identification Number) qu'il reçoit auprès d'un switch monétique. Ensuite, il enregistre dans son coffre-fort la correspondance entre les données sensibles et les tokens associés. Enfin, il renvoie au TR les données relatives aux tokens :

• le numéro du token ;
• la date d'expiration du token ;
• le cryptogramme du token.

Utilisation du Token

Le schéma ci-dessus décrit parfaitement comment les tokens sont utilisés tout au long de la chaine de paiement.

En effet, lors d'une transaction électronique sans token, le commerçant envoie les données reçues (numéro de carte, date d'expiration et CVV2) à l'acquéreur qui effectue une demande d'autorisation auprès de l'émetteur. Le réseau assure l'acheminement de la demande. Par contre lorsqu'une transaction utilisant la tokenisation est déclenchée, le commerçant reçoit plutôt les données relatives aux tokens et les envoie au réseau qui doit l'acheminer vers l'émetteur pour la demande d'autorisation. Et comme l'émetteur ne peut pas effectuer ses vérifications et contrôles avec les tokens (parce que son système contient les informations de la carte et non les tokens), le TSP doit obligatoirement intervenir dans le circuit de paiement avant l'acheminement vers l'émetteur. Il procède à la détokenisation qui est le processus de récupération des données d'origine à partir d'un jeton crypté, basé sur le mappage jeton-PAN stocké dans le coffre-fort.

Après contrôle, l'émetteur retourne une réponse au réseau qui l'achemine vers l'acquéreur. Notons que les informations de cartes sont supprimées avant le routage vers l'acquéreur.

LES OPPORTUNITÉS DE LA TOKENISATION DES PAIEMENTS

La tokenisation des données de paiement offre de nombreux bénéfices pour les acteurs intervenants dans la transaction. Voici quelques opportunités d'une transaction électronique basée sur du token :

• Paiement récurrent : il s'agit d'un prélèvement répétitif effectué par l'e-commerçant. En effet, lorsque le commerçant désire prélever automatiquement le client lors des transactions futures, dans le cadre d'un abonnement par exemple, il "tokenise" les données du porteur et sauvegarde le token dans son système. Dans ce cas, le client saisit ses données une seule fois et se fait prélever régulièrement selon les modalités configurées sur le site. De nos jours, cette technique est utilisée par de nombreux grands commerçants sur internet tels que Netflix, Amazone…
• Conformité à la norme PCI-DSS : la norme PCI-DSS définit les exigences de sécurité pour toute entité qui sauvegarde, traite et transmet les données de cartes bancaires. Le recours aux tokens de sécurité par un commerçant est un moyen de faciliter sa conformité à la norme PCI-DSS.
• Meilleure sécurité : remplacer les informations de la carte du client par les tokens tout au long de la transaction, assure une grande sécurité et permet au client d'effectuer ses achats en toute quiétude. Les tokens sont uniques et n'ont pas de liens directs avec les données sensibles. Il est donc impossible de retrouver les vraies données à partir des tokens.

LES RISQUES SÉCURITAIRES LIES A LA TOKENISATION DES PAIEMENTS

Nous avons parlé de l'aspect sécuritaire de la tokenisation tout au long de cet article. Cette sécurité est essentiellement due au fait que les données sensibles sont remplacées par les tokens et sont stockées dans le coffre-fort du TSP. Nous avons aussi constaté que TSP joue un rôle primordial dans le circuit d'une transaction avec token. Le risque sécuritaire lié à la tokenisation des paiements concerne le choix du TSP. Choisir un TSP, c'est choisir l'entité à laquelle l'on veut confier la gestion des données de ses clients/porteurs.

Le TSP doit être une entité de confiance. Plusieurs structures proposent aujourd'hui le service de fournisseur de Token. Mais les fournisseurs les plus connus sont les grands réseaux tels que Visa, MasterCard. Le choix du TSP doit donc être basé sur des raisons stratégiques.

À cet égard, les autorités de régulations ou les réseaux domestiques doivent penser à mettre en place des solutions efficaces de fournitures de tokens pour garantir une maîtrise et un contrôle des données dans leur périmètre. Par exemple, dans l'espace UEMOA, le réseau GIM-UEMOA devrait songer à mettre en place un service TSP afin de conserver les données dans l'espace UEMOA pour une indépendance vis-à-vis des réseaux internationaux.

En somme, la substitution de données de cartes bancaires permet aux acteurs d'échanger les données sans pour autant les exposer. La tokenisation assure une meilleure sécurité et une confidentialité des données de paiement lors des transactions électroniques. Elle doit être implémentée par les entités pour protéger les clients et instaurer une relation de confiance avec ces derniers.