La Banque Postale est autorisée par la Cnil (Commission nationale de l’informatique et des libertés) à utiliser la biométrie vocale pour sécuriser les paiements de ses clients.
Lors d’un paiement sur internet avec sa carte bancaire, la banque vérifiera l’identité du client à partir d’une phrase type qu’il aura au préalable enregistrée et qui servira à son identification vocale. Le système sera effectif cet été. L’objectif est de combattre la fraude. Le système s’intitule Talk to Pay.
Il a été testé par 600 personnes dans la rue, au bureau, à voix basse, en criant, en cas d’extinction de voix, si on est enrhumé, se félicite Aurélien Lachaud, le directeur du développement des marchés de paiement à la Banque Postale, cité par France Info. Ce dispositif est une première en France et il aura pris énormément de temps de développement à la Banque Postale qui s’est obstinée à le faire marcher.
L’authentification vocale déclenchée depuis le navigateur Web
Lorsque l’utilisateur réalise un achat en ligne par carte bancaire, le formulaire de paiement en ligne s’affiche, l’extension LBP Pay (La Banque Postale Pay), préalablement installée par le client sur son navigateur internet, s’ouvre automatiquement.
Le client déclenche alors le mécanisme d’authentification vocale depuis cette extension. Un appel est émis sur son téléphone mobile. Le client prononce la phrase d’authentification.
Une fois le locuteur identifié comme étant le porteur de la carte, l’extension génère le cryptogramme à usage unique de la carte et remplit automatiquement le formulaire de paiement : le numéro de la carte, sa date de fin de validité et le CVV à usage unique sont renseignés. Le client valide son paiement en ligne.
4 ans pour parvenir au déploiement grand public à la Banque Postale
La Cnil vient de donner son feu vert à l’usage de la biométrie vocale pour la Banque Postale dans le paiement à distance. On peut saluer sur ce projet, l’opiniâtreté des dirigeants de la banque.
Cette obstination avait été saluée par Philippe Wahl, président de la Poste, fin 2015, montrant par son attitude que la mise sur le marché n’avait pas été un long fleuve tranquille, et qu’il avait fallu s’accrocher.
La Banque Postale travaille depuis 2012 sur ce projet, avec la société « Talk to pay, » filiale de PW Consultants. Talk To Pay a développé sa solution fondée sur la reconnaissance vocale, en partenariat avec l’Institut Mines Telecom.
L’accord de la Cnil consacre plusieurs années de travaux communs sur l’usage de la biométrie vocale en tant que moyen d’authentification pour effectuer les paiements à distance, pointe la banque.
La Banque Postale avait obtenu un premier accord de la CNIL pour débuter une phase d’expérimentation auprès de 650 collaborateurs et clients membres de son LAB Client. Cette première étape a validé la fiabilité de la technologie biométrique et l’intérêt porté à ce service de paiement par les utilisateurs.
En pratique, lors d’un paiement à distance, le client reçoit un appel automatique sur son téléphone mobile. Il prononce une phrase d’authentification, ce qui déclenche le remplissage automatique du formulaire de paiement par carte bancaire en générant un cryptogramme aléatoire.
Selon la Banque Postale, Talk to Pay présente l’avantage d’offrir un parcours d’achat optimisé et de fonctionner sur la totalité des sites marchands. La voix devient le mot de passe pour sécuriser tous les achats en ligne.
Le système de paiement par reconnaissance vocale, baptisé « Talk to Pay », est le fruit de trois années de Recherche & Développement et de multiples travaux sur la sécurisation des données biométriques.
La solution a reçu en juin 2015 l’agrément du GIE Cartes Bancaires. Talk to Pay cible le renforcement de la sécurité des achats à distance avec une carte bancaire en générant de façon dynamique un cryptogramme aléatoire à chaque opération de paiement afin de diminuer les risques de « phishing ».
Ce cryptogramme n’est communiqué qu’après authentification forte du client qui reçoit un appel automatique sur son téléphone mobile et prononce une phrase d’authentification. La solution apporte un niveau de sécurité fort en matière de paiements à distance conformément à la Directive des Services De Paiements 2 (DSP2), indique la banque.
Côté sites marchands, pour régler ses achats sur internet, le client ne doit plus renseigner les données de sa carte. L’extension de navigateur détecte et remplit automatiquement le formulaire de paiement du site.
Le service permet également de diminuer les risques d’utilisation frauduleuse de la carte suite à une perte ou à un vol du support, son cryptogramme visuel étant désactivé et le cryptogramme dynamique devant être généré après authentification du porteur légitime.
La solution Talk to Pay vient compléter le nouveau service de paiement sécurisé de La Banque Postale baptisé LBP Pay, intégré au sein du portefeuille électronique Mes paiements. A l’issue du pilote mené depuis 2013, La Banque Postale a décidé d’intégrer le nouveau service LBP Pay au Portefeuille Mes Paiements, qui contient déjà les solutions PayLib et 3D Secure. Le portefeuille Mes Paiements gère l’accès aux différents services de paiement qu’il regroupe via l’usage d’un code à 5 chiffres à saisir dans l’application mobile dédiée.
Quand un client règle son achat en ligne avec la solution de paiement Paylib, effectue un paiement sécurisé par le dispositif 3D-Secure ou, désormais, génère un cryptogramme dynamique avec LBP Pay, la cinématique d’authentification est la même.
Si le client n’utilise pas l’application Mes Paiements, il sécurise ses opérations par la saisie d’un code à usage unique transmis par SMS sur son téléphone mobile.