Georges Liberman
CFO-news : Georges Liberman, bonjour. Vous êtes le fondateur et PDG de XIRING. Pourriez-vous nous présenter votre société et ses services ?
Georges Liberman : XIRING est un éditeur de solutions de sécurité pour les transactions à distance. La société propose des solutions logicielles embarquées sur lecteurs de cartes à puce pour l'authentification forte et la signature électronique. Ses solutions visent aujourd'hui deux principaux marchés : la banque et la santé. Créée en 1998, XIRING a réalisé en 2006 un chiffre d'affaires de 12.8 M€. XIRING est cotée sur Alternext d'Euronext Paris depuis le 18 septembre 2006.
Quel est, selon vous, le principal frein à l'utilisation des services bancaires en ligne ?
L'utilisation des services bancaires en ligne va croissante : en Europe, le nombre estimé d'utilisateurs de banque en ligne devrait atteindre 130 millions fin 2007, en hausse de 75 millions par rapport à 2005 (source Forrester Research). Le nombre utilisateurs de services de banque en ligne au Royaume-Uni est estimé à 16.9 millions fin 2006 (source APACS).
Le pendant de cet engouement est l'augmentation parallèle de la fraude en ligne, avec des techniques toujours plus sophistiquées de fraude comme le 'phishing', notamment lorsque la transaction se fait sans carte (Card Not Present ou CNP). Les dernières statistiques de l'APACS (l'association inter bancaire du Royaume-Uni) montrent une augmentation du coût de la fraude bancaire en ligne de 44% entre 2005 et 2006. Les grandes banques doivent désormais prendre en compte la problématique de la fraude en ligne et proposer à leurs clients un environnement de confiance.
Quel type de solution est aujourd'hui disponible, voire déjà utilisé par les banques européennes ?
Il existe aujourd'hui diverses solutions d'authentification forte dont les lecteurs de cartes à puce qui génèrent des mots de passe à usage unique (" one-time password " - OTP). L'adoption d'un système d'authentification basé sur la carte bancaire EMV, permet aux banques de rentabiliser les investissements réalisés dans la migration vers le standard EMV pour le système de paiement. La solution est donc très économique et garantit un niveau de sécurité optimal pour l'authentification des utilisateurs. En augmentant la confiance des consommateurs dans la banque en ligne et en encourageant le développement des transactions à distance, les banques peuvent réduire nettement leurs coûts de fonctionnement. De plus, en adoptant une solution basée sur des produits portables indépendants elles peuvent facilement l'adapter à tous leurs canaux (banque par téléphone, …) ce qui renforce la compétitivité de leur offre.
L'utilisation de cette solution est très simple : les banques fournissent à leurs clients des lecteurs de carte à puce, non connecté au PC, équipé d'un écran et d'un clavier de la taille d'une calculette. Le client qui souhaite se connecter à sa banque en ligne doit insérer sa carte bancaire dans le lecteur et valider son code PIN. Un mot de passe unique, généré exclusivement pour la transaction concernée, est calculé et affiché sur le lecteur. Ce mot de passe dynamique à 8 chiffres permet à l'utilisateur de s'authentifier sur le site bancaire.
Cette solution permet de valider la présence de la carte et de confirmer que son détenteur a autorisé la poursuite de la transaction via la vérification de son code PIN par la carte.
La saisie du code sur un lecteur dédié non connecté, tel que le Xi-Sign, ne donne aucune prise aux fraudeurs. Le mot de passe à usage unique ne vaut que pour la transaction en cours. Cette solution permet d'offrir aux utilisateurs le meilleur niveau de sécurité pour réaliser leurs opérations bancaires en toute confiance.
Quels sont les critères qui permettent aux banques de choisir leur solution d'authentification ?
Le choix d'une solution d'authentification repose sur un mix de critères, dont le niveau de sécurité, la faisabilité, le temps de mise en œuvre ou encore la facilité d'adoption par les utilisateurs, et bien entendu le budget global et la pérennité de l'investissement. Sur ce dernier point, le choix d'une solution qui utilise l'infrastructure EMV en place permet le meilleur calcul économique à court, moyen et long terme. C'est aussi une solution qui permet de se préparer au e-commerce sécurisé (selon le standard 3-D Secure).
Avez-vous connaissance de projets d'équipement des banques françaises et/ou en Europe pour ce type de solution ?
Plusieurs pays Européens ont défini leur propre standard d'authentification national, le plus souvent basé sur les spécifications CAP de MasterCard et Dynamic Passcode Authentication de VISA :
Comment cela fonctionne-t-il ?
Le client qui souhaite se connecter à sa banque en ligne insère sa carte bancaire dans le lecteur et valider son code PIN. Un mot de passe unique, généré exclusivement pour la transaction concernée, est calculé et affiché sur le lecteur. Ce mot de passe dynamique à 8 chiffres permet à l'utilisateur de s'authentifier sur le site bancaire.
Cette solution permet à la banque d'être absolument certaine que le client est présent au moment de la transaction et est habilité à faire cette transaction.
Georges Liberman : XIRING est un éditeur de solutions de sécurité pour les transactions à distance. La société propose des solutions logicielles embarquées sur lecteurs de cartes à puce pour l'authentification forte et la signature électronique. Ses solutions visent aujourd'hui deux principaux marchés : la banque et la santé. Créée en 1998, XIRING a réalisé en 2006 un chiffre d'affaires de 12.8 M€. XIRING est cotée sur Alternext d'Euronext Paris depuis le 18 septembre 2006.
Quel est, selon vous, le principal frein à l'utilisation des services bancaires en ligne ?
L'utilisation des services bancaires en ligne va croissante : en Europe, le nombre estimé d'utilisateurs de banque en ligne devrait atteindre 130 millions fin 2007, en hausse de 75 millions par rapport à 2005 (source Forrester Research). Le nombre utilisateurs de services de banque en ligne au Royaume-Uni est estimé à 16.9 millions fin 2006 (source APACS).
Le pendant de cet engouement est l'augmentation parallèle de la fraude en ligne, avec des techniques toujours plus sophistiquées de fraude comme le 'phishing', notamment lorsque la transaction se fait sans carte (Card Not Present ou CNP). Les dernières statistiques de l'APACS (l'association inter bancaire du Royaume-Uni) montrent une augmentation du coût de la fraude bancaire en ligne de 44% entre 2005 et 2006. Les grandes banques doivent désormais prendre en compte la problématique de la fraude en ligne et proposer à leurs clients un environnement de confiance.
Quel type de solution est aujourd'hui disponible, voire déjà utilisé par les banques européennes ?
Il existe aujourd'hui diverses solutions d'authentification forte dont les lecteurs de cartes à puce qui génèrent des mots de passe à usage unique (" one-time password " - OTP). L'adoption d'un système d'authentification basé sur la carte bancaire EMV, permet aux banques de rentabiliser les investissements réalisés dans la migration vers le standard EMV pour le système de paiement. La solution est donc très économique et garantit un niveau de sécurité optimal pour l'authentification des utilisateurs. En augmentant la confiance des consommateurs dans la banque en ligne et en encourageant le développement des transactions à distance, les banques peuvent réduire nettement leurs coûts de fonctionnement. De plus, en adoptant une solution basée sur des produits portables indépendants elles peuvent facilement l'adapter à tous leurs canaux (banque par téléphone, …) ce qui renforce la compétitivité de leur offre.
L'utilisation de cette solution est très simple : les banques fournissent à leurs clients des lecteurs de carte à puce, non connecté au PC, équipé d'un écran et d'un clavier de la taille d'une calculette. Le client qui souhaite se connecter à sa banque en ligne doit insérer sa carte bancaire dans le lecteur et valider son code PIN. Un mot de passe unique, généré exclusivement pour la transaction concernée, est calculé et affiché sur le lecteur. Ce mot de passe dynamique à 8 chiffres permet à l'utilisateur de s'authentifier sur le site bancaire.
Cette solution permet de valider la présence de la carte et de confirmer que son détenteur a autorisé la poursuite de la transaction via la vérification de son code PIN par la carte.
La saisie du code sur un lecteur dédié non connecté, tel que le Xi-Sign, ne donne aucune prise aux fraudeurs. Le mot de passe à usage unique ne vaut que pour la transaction en cours. Cette solution permet d'offrir aux utilisateurs le meilleur niveau de sécurité pour réaliser leurs opérations bancaires en toute confiance.
Quels sont les critères qui permettent aux banques de choisir leur solution d'authentification ?
Le choix d'une solution d'authentification repose sur un mix de critères, dont le niveau de sécurité, la faisabilité, le temps de mise en œuvre ou encore la facilité d'adoption par les utilisateurs, et bien entendu le budget global et la pérennité de l'investissement. Sur ce dernier point, le choix d'une solution qui utilise l'infrastructure EMV en place permet le meilleur calcul économique à court, moyen et long terme. C'est aussi une solution qui permet de se préparer au e-commerce sécurisé (selon le standard 3-D Secure).
Avez-vous connaissance de projets d'équipement des banques françaises et/ou en Europe pour ce type de solution ?
Plusieurs pays Européens ont défini leur propre standard d'authentification national, le plus souvent basé sur les spécifications CAP de MasterCard et Dynamic Passcode Authentication de VISA :
- Le Royaume-Uni a développé le standard " APACS ", plusieurs banques sont en phase de pilote ou de premiers déploiements ;
- La Belgique a développé le standard " EPCI ", et plusieurs banques ont déployé des solutions d'authentification forte ;
- Le Portugal a développé le standard 'SIBS' et plusieurs grandes banques sont en phase de pilote.
- En Suisse, Scandinavie et Pays-Bas, les banques ont déployées ou rentrent en phase de déploiement ;
- En France, certaines banques sont en phase de pilote et d'autres testent la solution sur une partie seulement de leur clientèle.
- Plus à l'est, des pays comme la Slovénie ou la Croatie ont déployé ces solutions d'authentification.
Comment cela fonctionne-t-il ?
Le client qui souhaite se connecter à sa banque en ligne insère sa carte bancaire dans le lecteur et valider son code PIN. Un mot de passe unique, généré exclusivement pour la transaction concernée, est calculé et affiché sur le lecteur. Ce mot de passe dynamique à 8 chiffres permet à l'utilisateur de s'authentifier sur le site bancaire.
Cette solution permet à la banque d'être absolument certaine que le client est présent au moment de la transaction et est habilité à faire cette transaction.
1 : Insérer la carte dans le lecteur.
2 : Sélectionner le mode pour générer un mot de passe à usage unique.
3 : Saisir le code PIN à 4 chiffres sur le clavier du lecteur.
4 : Une série de 8 chiffres apparait à l'écran : ce code doit être saisi sur le clavier de l'ordinateur pour s'authentifier et accéder aux services de banque en ligne.
Monsieur Georges Liberman, je vous remercie et vous donne rendez-vous dans un prochain numéro.