La Banque Postale optimise la sécurité de vos paiements à distance avec LBP Pay
Sécuriser ses achats à distance via des données de paiement à usage unique et une authentification forte, via biométrique vocale, le tout au sein d’une application mobile dédiée aux paiements, simple et ergonomique…
Telle est la promesse de La Banque Postale avec son nouveau moyen de paiement LBP Pay, qui a été intégré à l’app. mobile « le portefeuille Mes Paiements » ce mardi 24 novembre 2015.
Tout a commencé en septembre 2013 lorsque La Banque Postale, en partenariat avec PW Consultants, lance une expérimentation nommée Talk-to-Pay. Elle durera 2 ans et concernera plus de 600 testeurs !
L’objectif est clair : sécuriser les achats en ligne.
Pour cela, le cryptogramme visuel (nommé CVV) inscrit au dos de la carte bancaire dédiée à l’expérimentation était désactivé et le système Talk-to-Pay fournissait, pour chaque transaction, un CVV à usage unique. En plus de cette ‘tokenisation’ (1) du CVV, Talk-to-Pay se déclenchait grâce à une authentification forte (2) du client : un appel sur son mobile durant lequel il s’identifiait par sa voix.
Le parcours client sur ordinateur était assez satisfaisant : lors de l’accès à un formulaire de paiement, un plug-in installé sur l’ordinateur du testeur s’ouvrait et proposait de lancer l’authentification. Une fois le testeur identifié par le système, le plug-in se chargeait de remplir automatiquement le formulaire de paiement avec un CVV à usage unique et cela, quel que soit le site commerçant sur lequel le testeur effectuait son achat !
Quelques chiffres sur l’expérimentation Talk-to-Pay, communiqués par La Banque Postale :
- Plus de 5.000 paiements sur plus de 1.000 sites différents ont été effectués
- 12.000 authentifications vocales totalisées, avec un taux de succès de 97% (malgré les nombreux cas non passants volontairement provoqués pour l’expérimentation)
- 90% des procédures de paiements validées
- Un taux de réutilisation du service de 84% auprès des testeurs
- Une satisfaction globale de 83% (supérieure à celle du Google Wallet aux US!)
Suite à ce succès, le service a été renommé LBP Pay et intégré à la version 2 du portefeuille Mes Paiements, lancée le 24 novembre 2015. Le portefeuille Mes Paiements est le wallet La Banque postale dédié aux moyens de paiement digitaux, qui comprend un espace sur la banque en ligne ainsi qu’une app. mobile. LBP Pay est donc intégré à l’app. mobile de tous les clients, mais seuls ses « early adopters » (3), identifiés sur son LAB client, peuvent y souscrire.
Dans un premier temps, les utilisateurs pourront uniquement générer des données de paiement à usage unique. LBP Pay pourra être adossé à la majorité des cartes bancaires émises par la Banque et permettra aux utilisateurs de générer, au moment du paiement et via le portefeuille Mes Paiements, un CVV à usage unique. Le CVV inscrit au dos de la carte bancaire devient inutilisable, ainsi que le service 3D-Secure. Cette première version du service permettra de générer des CVV grâce au code personnel portefeuille à 5 chiffres définit par chaque client et transverse à tous les services du wallet.
L’authentification forte par biométrie vocale sera seulement disponible courant 2016. Pour s’identifier, le client devra répéter une phrase générique : « bonjour, je m’authentifie par ma voix pour valider mon paiement ». Cette authentification biométrique vocale se base sur différentes caractéristiques : timbre de la voix, rythme, prononciation… La précision de l’analyse permet une identification de l’utilisateur même si la voix de celui-ci est temporairement enrouée ! Les clients pourront toujours choisir de s’authentifier par leur code personnel.
Le lancement ‘dégradé’ des fonctionnalités du service LBP Pay est lié au processus pointilleux de validation de la méthode d’authentification par biométrie vocale de la CNIL. En effet, l’identification vocale nécessite l’enregistrement d’échantillons de voix des clients, donc une validation par la CNIL.
En adoptant le service LBP Pay, La Banque Postale se différentie fortement des autres grandes banques françaises qui ont choisi d’expérimenter les cartes à CVV dynamique fournies par Oberthur (BPCE, BNP Paribas et Société Générale) ou Gemalto.
L’ensemble des clients La Banque Postale enrôlés au portefeuille Mes Paiements pourront souscrire au service LBP Pay début 2016. La digitalisation des paiements à La Banque Postale est en bonne « voix »…
(1) Processus de substitution de données bancaires (numéro de cartes, …) par des données jetables appelées « jeton » (token en anglais).
(2) Utilisation conjointe d’au moins deux facteurs d’authentification : un authentificateur (quelque chose que nous possédons), un secret (quelque chose que nous connaissons), la biométrie (quelque chose qui nous identifie).
(3) Expression anglo-saxonne qui désigne les utilisateurs les plus aptes à adopter des produits/services innovants.