La carte VISA biométrique débarque en France

La CNIL (Commission nationale informatique et libertés) a annoncé hier ce qui ne relève en aucun cas d'un poisson d'avril: la mise en place d'un dispositif de paiement biométrique. En pratique, l'opération exigera seulement que le client pose son doigt sur le lecteur biométrique du magasin, et la transaction sera faite sans qu'il n'ait à sortir la carte de son portefeuille. 

La technique elle-même n'a rien d'inédit, mais la généralisation de l'usage de la biométrie, dans les actes les plus quotidiens (payer à la caisse), marque sans aucun doute la banalisation pour tous de l'identification biométrique, même pour ceux qui refusent de prendre l'avion. En analysant la délibération de la CNIL, nous montrons ici que cette innovation favorise en premier lieu les banques, les assureurs et les grands magasins, ne profitant qu'à la marge au consommateur lui-même. On souligne aussi à quel point ce dispositif, prétendu "infaillible", repose en grande partie sur l'imposition du passeport biométrique et, en général, des papiers d'identité.

"Payer avec son doigt", "paiement d'un geste", ou le marketing biométrique

Sous le titre euphorique "Payer avec son doigt, c'est possible!", la CNIL publicise son accord donné, le 17 décembre 2009, à une "expérimentation" de la Banque Accord,  filiale d'Auchan, qui fait passer la carte VISA à une nouvelle étape: désormais, celle-ci sera associée avec le réseau veineux de deux doigts et à une puce RFID. Le dispositif en question a été nommé Paiement d'un geste (P1G), ce qui devrait tous nous ravir, en particulier les magasins qui pourront accélérer le passage aux caisses.

La technologie biométrique elle-même n'est pas nouvelle, la reconnaissance du réseau veineux des doigts étant autorisée dans le cadre du contrôle d'accès; elle est même préférée à la reconnaissance des empreintes digitales, dans la mesure où celles-ci sont qualifiées de "technologie à trace" contrairement à celles-là. En d'autres termes, rien de plus facile que de recueillir l'empreinte digitale de untel en posant un scotch sur le verre qu'il a bu; c'est plus difficile pour le réseau veineux - la CNIL considère, qu'en l'état des connaissances actuelles, c'est impossible.

En revanche, dans sa délibération du 17 décembre, la CNIL

souligne que c’est la première fois qu’elle est appelée à se prononcer sur le recours à une technologie biométrique dans le cadre d’une application potentiellement de masse. 

Le dispositif biométrique a, en effet, vocation à être utilisé dans le cadre de ce traitement:

- non pas par une population restreinte, à l’intérieur de locaux placés sous la responsabilité du seul responsable du traitement, mais par le grand public, dans de multiples lieux, pour partie placés sous la responsabilité de tiers ;

- pour la réalisation d’opérations très courantes : effectuer des paiements chez des commerçants, à l’exclusion, à ce stade expérimental, de tout autre type d’opérations.

Une opération simple pour l'utilisateur, très complexe dans sa réalité 

L'opération est, en fait, beaucoup plus complexe que ce qu'elle semble être pour l'utilisateur. Non seulement en raison de la technologie utilisée, mais aussi et surtout en raison des précautions techniques et juridiques instaurées par la CNIL afin d'éviter, à tous les stades du processus, l'usurpation d'identité, l'enregistrement à l'insu de la personne du réseau veineux des doigts lors de la communication à distance, la surveillance massive de la population qui aurait pu être instaurée à partir de ce dispositif, etc. Le caractère rassurant du communiqué de la CNIL tranche ainsi avec les détails techniques de l'opération, décrite dans sa délibération.

Techniquement, l'opération se poursuivra ainsi:

1. Le titulaire de la carte VISA se rend dans son agence bancaire ACCORD, où on enregistre le gabarit du réseau veineux de deux de ses doigts dans sa carte, "après vérification de son identité". Les données biométriques ne sont conservées que sur celle-ci. Cette opération se fait sous "haute sécurité": les agents de la banque seront "authentifiés" (seront-ils aussi soumis à un dispositif biométrique?) et un dispositif de traçabilité des enregistrements sera mis en place. En cas de problème, on aura donc tous les enregistrements de cette première phase, primordiale dans la mesure où si l'identité est usurpée à ce stade, l'usurpateur obtient par la suite une "vraie-fausse carte VISA biométrique". Par ailleurs, le client devra faire la preuve de son identité civile, c'est-à-dire en présentant une carte d'identité (pas encore biométrisée) ou son passeport biométrique.
2. Arrivé à la caisse d'un magasin participant à l'"expérimentation", le client pose son doigt sur le terminal de paiement électronique (TPE) du magasin.
3. Le TPE recherche automatiquement, dans un rayon d'un à un mètre cinquante si des cartes P1G (Paiement d'un geste) sont présentes.
4. Phase de la "reconnaissance mutuelle": le TPE s'assure de l'intégrité de la puce des cartes P1G à proximité, tandis que chaque puce identifie le TPE. Ceci vise à empêcher un hacker d'essayer de recueillir le gabarit biométrique d'une personne à son insu en s'installant, innocemment, à côté de la caisse, avec un dispositif électronique de son cru. La CNIL note qu'à cette phase, la transmission de "l’identifiant propre à chaque support P1G au TPE" se fait de façon non chiffrée. Pour cette raison, un identifiant dynamique (qui change à chaque transaction) est utilisé, "pour éviter que le porteur puisse être tracé à son insu sur la base de l’identifiant de sa carte".
5. Le TPE ouvre un canal de communication sécurisée avec chaque puce P1G, répondant aux normes bancaires de sécurité EMV/PCI, et leur transmet sous forme chiffrée le gabarit biométrique (dans un dispositif classique de lecteur de carte VISA sans fil, c'est le code qui est transmis).
6. La carte reconnaissant le gabarit envoie un certificat au TPE: c'est payé. En revanche, les cartes d'autres porteurs, n'ayant pas reconnu le gabarit, ne conservent pas "la moindre trace des demandes de comparaison infructueuses et des gabarits reçus par erreur. De même, le TPE ne conserve aucune trace des gabarits biométriques qu’il a lus. Enfin, le certificat du TPE est automatiquement effacé en cas d’ouverture intempestive du terminal de paiement, afin d’empêcher toute nouvelle transaction."

Sur les finalités: entre confidentialité des échanges commerciaux et automatisation des caisses

Quel est le lien entre la carte VISA biométrique, le passeport biométrique, le scanner corporel, et le mur de Berlin? Ce sont tous des "check-points", selon L'histoire politique du barbelé d'Olivier Razac (Flammarion, 2009). En effet, il s'agit à chaque fois de "fluidifier" le passage tout en sélectionnant les individus autorisés à passer, sélection qui passe notamment par leur identification. Et la carte VISA biométrique relève bien, rappelle la CNIL, du « contrôle de l’identité des personnes » (art. 25 loi du 6 janvier 1978).

Ainsi, parmi les finalités décrites par la CNIL de ce nouveau dispositif, figurent bien entendu la "sécurité". Le remplacement du code par l'identifiant biométrique "devrait se traduire par une réduction substantielle de la fraude". Sans doute. Une dose de scepticisme s'impose toutefois: la fraude à la carte bancaire prend plusieurs formes.

Cas n°1: votre enfant, ou un individu hirsute et malintentionné, ne pourra prendre connaissance de votre code en regardant au-dessus de votre épaule quand vous le tapez. Mais pour cela, nul besoin de technologie biométrique: il suffit, comme le font certains magasins, d'améliorer les terminaux de paiements, en isolant la main qui tape le code du regard des autres. Une simple barrière physique suffit.

Cas n°2: un affreux blouson noir vous met un poignard sous le visage en criant "le code ou la vie!". N'ayant guère l'âme d'un héros, vous lui donnez votre code ce qui lui permet de vider votre compte bancaire. Cependant, le droit en vigueur limite à un plafond de 150 euros le montant qui peut vous être imputé sur le total des sommes prélevées avant opposition. Ce plafond ne peut être dépassé que si la banque prouve que vous avez commis une faute lourde (la Cour de cassation a rejeté en 2007 un pourvoi de la Banque postale, qui se refusait à rembourser plus de 2 000 euros prélevés avant la mise en opposition, prétendant que le fait d'avoir "divulgué son code" constituait une négligence). En d'autres termes, l'usage de la biométrie avantage ici les banques et les assurances, qui n'auront pas à rembourser le client des sommes actuellement prélevées en cas de vol de la carte. Pour le client, à 150 euros près, cela ne change rien.

En d'autres termes, la finalité de sécurité ici invoquée concerne avant tout les banques et les assureurs, et ne justifie la mise en place d'un dispositif biométrique que pour contrer le vol des cartes, certainement pas pour empêcher les indiscrétions à la caisse (ce que la CNIL appelle se faire "capturer son code secret"), qui pourraient être bloquées par de simples parois physiques mettant la main qui tape le code à l'abri des regards.

Les banques ont donc tout à y gagner. Les magasins aussi, sous couvert de "simplification des conditions d’utilisation des cartes bancaires": l'avantage essentiel, en effet, ne tient pas tant dans le dispositif de reconnaissance du réseau veineux que dans la puce RFID, qui permet de payer sans sortir la carte de sa poche, ce qui implique un "gain de temps pour chaque transaction". La CNIL critiquait naguère une telle "biométrie de confort": l'usage du réseau veineux, plutôt que de l'empreinte digitale, et le stockage des données biométriques sur la carte, plutôt que sur une base centralisée, lui permet de passer outre toute réticence.

En d'autres termes, à l'automatisation des frontières répond l'automatisation des caisses, afin d'accélérer les flux et réduire la part des salaires, en réduisant le nombre de caissiers. Il ne s'agit pas tant, ici, de sécurité, que de gestion des flux. A terme, on peut facilement imaginer un magasin où l'on paierait sans même passer par une caisse: un dispositif de reconnaissance faciale (pour l'instant peu fiables) permettrait immédiatement de vous faire payer par le simple fait de sortir du magasin ("Paiement zéro geste?").

Par ailleurs, on peut s'interroger sur "l’impossibilité d’usurper le gabarit biométrique d’un réseau veineux" mis en avant par la CNIL. Cette dénégation n'est en effet valide qu'à deux conditions: d'abord, le respect de toutes les garanties, techniques et juridiques, décrites dans le processus complexe, et en plusieurs phases, de ce dispositif. Ensuite - et surtout - ce risque, qui est en fait l'équivalent biométrique de la "capture du code secret" n'existe que dans la mesure où aucun hacker n'aura démontré le contraire. L'épisode récent de l'assassinat d'un membre du Hamas à Dubaï montre que même les passeports européens sont falsifiables, pour qui en a les moyens (cf. ici et là). Il s'agit là d'une constante du discours, non seulement des fabricants, mais de la CNIL, lorsqu'il s'agit de biométrie: il s'agirait, nous dit-on, d'un dispositif "infalsifiable", rendant "impossible" toute usurpation, etc. Bref, après quelques milliers d'année de tâtonnement, l'humanité serait arrivée au stade de l'identification scientifique, sûre et certaine à 100%. Il y a pourtant un gouffre entre affirmer la "difficulté d'usurper le gabarit biométrique" et son "impossibilité", franchi sans souci par la très rassurante CNIL. 

Les autres traits de ce dispositifs sont tous temporaires et appelés à disparaître: il s'agit de la possibilité, quand bien même on aura accepté cette carte (laquelle repose évidemment, pour l'instant, sur le principe du volontariat), d'effacer ses identifiants biométriques et de revenir à "l'archaïsme" du code secret - mais alors, pourquoi utiliser une telle carte?

Ou encore, comme à chaque fois lorsqu'il s'agit d'introduire une innovation, la CNIL se contente d'autoriser "une expérimentation" d'une durée de six mois, qui sera mise en œuvre en 2011-2012. Cette expérimentation est censée permettre à la CNIL d'examiner la validité et l'efficacité du dispositif; tout comme le dispositif PEGASE d'automatisation des frontières, devenu PARAFES, on peut parier sur le fait qu'elle passera rapidement au stade de la généralisation à tous, volontaire ou non (les phobiques de la biométrie et autres paranos devront aller chercher du cash à la banque pour s'y soustraire, du moins jusqu'à ce que les banques n'imposent pas la vérification d'un papier d'identité biométrique avant de transférer des fonds).

Signalons enfin que:

"la Commission, après avoir rappelé qu’il ne saurait être question pour elle de valider un nouveau mode de transaction bancaire, estime que le contrat signé avec les clients participant à l’expérimentation devra prévoir que le recours au dispositif d’authentification biométrique du payeur n’entraîne aucune modification des règles de preuve en vigueur."

Dans les faits, la CNIL valide évidemment un "nouveau mode de transaction bancaire", puisque ce n'est pas la même chose de payer ses achats en tapant un code ou en mettant son doigt sur un lecteur biométrique. En revanche, il est évident que la CNIL, pas plus que les banques, n'a en aucun cas le pouvoir de modifier les "règles de preuve en vigueur", privilège réservé au législateur. Celui-ci devra pourtant s'adapter à l'évolution technologique.

Du passeport biométrique à la carte VISA biométrique

L'autorisation donnée à ce nouvel usage, massif, de la biométrie, marque sans aucun doute un seuil nouveau dans l'usage de ces technologies. En vigueur au Japon depuis 2005, mais aussi à Singapour, où, en l'absence d'une CNIL "efficace", c'est l'empreinte digitale qui est utilisée, la France s'y met donc, après l'Allemagne dont les magasins, depuis 2007, proposent ce service. De la tentative avortée de la carte d'identité INES (Identité nationale électronique sécurisée), très critiquée par certains, au passeport biométrique, imposé par les Etats-Unis au reste du monde suite aux attentats du 11 septembre, on arrive enfin à l'usage quotidien du paiement biométrique.

Utilisations marchandes et étatiques, privées et publiques, ne se distinguent que par leur différence de traitement juridique. Dans les faits, et la Commission européenne l'avoue volontiers, l'imposition du passeport biométrique booste les firmes du secteur et permet d'habituer la population à ce dispositif. Elle est alors fine prête pour accepter, sans broncher, de voir le réseau veineux de sa main remplacer le code numérique qu'on tape sur la machine. Et comme le dit la CNIL, "ce projet devrait à terme favoriser le développement de nouveaux services d’authentification, par exemple pour la banque en ligne ou la signature de documents." De plus, l'identité du client doit bien être vérifiée au moment de l'enrôlement de ses caractéristiques biométriques à la banque: cette première phase, qui est la plus exposée à l'usurpation d'identité, repose sur la fiabilité des documents d'identité étatiques et sur le soin apporté par les services de la banque dans le contrôle de ceux-ci. En ce sens, passeport biométrique et carte de paiement biométrique appartiennent à la même "chaîne de l'identité".  

Or, sous couvert d'appellations iréniques ("payer avec un doigt" ou "en un seul geste") qui font miroiter aux consommateurs la "simplification" apportée par une carte VISA biométrique, il est évident que les grands bénéficiaires de celle-ci, outre les constructeurs eux-mêmes, sont les banques, les assurances, et les grands magasins qui pourront accélérer le passage aux caisses. Les petites épiceries de quartier n'auront que faire de cette technologie. Enfin, s'il est évident que cette carte rend certaines techniques de vol ou d'usurpation d'identité désuètes, prétendre qu'elle les rend impossible relève d'une affirmation idéologique: de même qu'en matière de fausse monnaie, la contrefaçon devient de plus en plus sophistiquée, le vol d'une carte bancaire, fût-elle biométrique, sera contraint de devenir, lui aussi, une science.

Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

 CNIL, Délibération n°2009-700 du 17 décembre 2009 autorisant banque ACCORD à mettre en place à titre expérimental un système de paiement sans contact avec authentification biométrique du payeur.

CNIL, Payer avec son doigt, c'est possible! communiqué du 1er avril 2010

Net Iris, La CNIL autorise le recours à la biométrie comme moyen de paiement, 1er avril 2010

Arnaud Devillard, Les veines du doigt pour payer avec une carte bancaire, 01 Net, 2 avril 2010


Payer rubis sur l'ongle, Le Figaro, 29 août 2007 (sur l'usage de la biométrie dans les magasins allemands)

Citibank Singapore Introduces the Biometric Credit Card, TMC Net, 10 novembre 2006