Jean-Pierre, cadre des Banques Populaires, faisait partie du groupe informel de Cergy. Il réunissait des personnes à la recherche d'un produit permettant de pallier les faiblesses sécuritaires de la Carte Bleue qui avaient connu un pic inquiétant en 1975. À cette date, le groupement Carte Bleue avait décidé de nommer un responsable de la sécurité : Jean-Marc Bornet, l'actuel Président du groupement des Cartes Bancaires "CB".
Nous vivions dans les années du " 22 à Asnières ". On commandait une ligne téléphonique que l'on obtenait plusieurs mois, voire années, plus tard. En 1974, le président Valéry Giscard d'Estaing décide de doter la France d'une infrastructure de télécommunications en adéquation avec un pays industrialisé et à l'avant-garde de la technologie.

La Carte Bleue est née en novembre 1967. Le paiement était validé chez le commerçant à l'aide " d'imprimante à pression ", mieux connue sous le nom de " sabot " ou " fer à repasser ". Pas de demande d'autorisation téléphonique, les commerçants n'étaient pas tous équipés. On se souvient de ce fraudeur qui a commencé son périple à la frontière italienne et qui n'a été arrêté qu'en Bretagne après avoir écumé bon nombre de magasins et de restaurants.

Le groupe de Cergy se met alors à la recherche d'un produit qui pouvait s'auto-contrôler en mode off line. Un responsable marketing rencontre Roland Moreno qui lui parle de son projet de produit portable. Il présentait son projet sous la forme d'une plaque de bois où il avait bricolé des circuits électroniques. Le principe de fonctionnement était simple : le client porte une bague à son doigt sur laquelle était implanté un circuit électronique. Les broches de ce circuit étaient insérées dans un dispositif (un premier lecteur). Le client actionnait une mollette faisant apparaître deux chiffres (Roland Moreno disait qu'il était trop fainéant pour en créer quatre) le futur code confidentiel. Si le code était bon, le voyant vert s'allumait ; dans le cas contraire c'était le rouge.

Le groupe de Cergy, avec Jean-Pierre Gervais, avait compris qu'il tenait là, après adaptation, une idée qui leur permettrait d'aboutir à une carte dotée d'un microcircuit auto-contrôlable. Soutenu fortement par Alain Le Corre, directeur-général de la Chambre Syndicale des Banque Populaires, ainsi que par la Direction Générale des Télécommunications sous la houlette de Victoire Chaumont, le groupe de Cergy travaille sur le projet.

L'industrie prend le relais. Une équipe de Bull, dirigée par Michel Ugon, opte d'emblée pour l'adoption d'un microprocesseur qui pourrait non seulement s'auto-contrôler, mais aussi s'autoprogrammer. C'est l'invention du MAM (Microprocesseur Autoprogrammable Monolithique) baptisé SPOM en anglais (Self autoprogrammable one-chip Memory). Autrement dit : l'actuelle carte à puce.

Les premiers prototypes ont été mis au point par Bull sur la base de microprocesseur mis au point par Motorola dans une usine dirigée par... Marc Lassus, le président charismatique du futur Gemplus. Il avait réalisé le " micro boîtier " dans l'usine de Toulouse et, ensuite, la puce Microcalculateur en Écosse.

Bravo Jean-Pierre. En rédigeant ces quelques lignes, je souhaitais te rendre un peu de justice.

L'expression " informatique en nuage " ou " Cloud computing " désigne le déport vers " le nuage Internet "* de données et d'applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le modèle économique associé s'apparente à la location de ressources informatiques avec une facturation en fonction de la consommation.

La gamme d'offres correspondantes a connu un fort développement ces quatre dernières années, notamment au travers du stockage et de l'édition en ligne de documents ou même des réseaux sociaux par exemple.

De nombreuses offres de services de Cloud computing sont désormais disponibles sur le marché, que ce soit pour l'hébergement d'infrastructures (IaaS – Infrastructure as a Service), la fourniture de plateformes de développement (PaaS – Platform as a Service) ou celle de logiciels en ligne (SaaS – Software as a Service). Ces offres sont proposées dans des Clouds publics (service partagé et mutualisé entre de nombreux clients), privés (Cloud dédié à un client) ou hybrides (combinaison des modèles public et privé).

Une nécessaire clarification du cadre juridique

Le Cloud computing représente pour les entreprises une évolution majeure de leurs services informatiques et propose de nombreux avantages, notamment celui de mutualiser les coûts d'hébergement et d'opérations.

Les questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données sont particulièrement délicates dans le cadre du Cloud computing. Les entreprises souhaitant recourir à ces services ont donc besoin d'une clarification des responsabilités y afférant qui leur est applicable.

La standardisation des offres et le recours par les prestataires de Cloud à des contrats d'adhésion pour formaliser leurs relations contractuelles avec leurs clients laissent peu de marge de négociation à ces derniers. De plus, il apparaît que les prestataires fournissent généralement peu d'informations à leurs clients quant aux mesures techniques et organisationnelles mises en oeuvre permettant de garantir la sécurité et la confidentialité des données traitées pour le compte des clients. Cette insuffisance de transparence de la part des prestataires fait défaut aux clients, puisqu'ils ne disposent pas de toutes les informations nécessaires leur permettant de remplir leurs obligations en tant que responsables de traitement.

Sur la base des 49 réponses à sa consultation publique, la CNIL précise aujourd'hui son analyse du cadre juridique du Cloud computing, Elle accompagne les entreprises qui souhaitent avoir recours à des prestations de Cloud et notamment les PME, en leur proposant des recommandations pratiques. Elle met aussi à leur disposition des modèles de clauses contractuelles qui peuvent être insérés dans les contrats de services de Cloud computing.

* Bien avant qu'apparaisse l'expression " Cloud Computing ", les architectes réseau schématisaient Internet par un nuage. En anglais, le terme " the Cloud " était couramment utilisé pour désigner Internet.

SINGAPOUR, 28 Juin, 2012 - SCCP Payment Services vient d'annoncer son entrée stratégique dans 4G SECURE SAS, une société spécialisée dans le développement d'un des plate-formes d'authentification breveté et applications de téléphonie mobile. (voir

L'acquisition de 4G Secure est la dernière étape de SCCP dans son expansion sur le marché du commerce mobile. " Dans le cadre de notre stratégie de croissance, nous avons cherché à étendre notre emprise sur l'espace de paiement mobile à travers l'accès aux technologies nouvelles qui complètent ce que nous avons déjà sous la forme de notre offre Swiff* ", a déclaré Jérôme Cle, fondateur et PDG de SCCP. Et d'ajouter : " 4G SECURE est un choix naturel, car ses technologies d'authentification brevetés et éprouvées vont de paier avec nos solutions de paiement. La synergie permet à nos clients des solutions hautement sécurisés des transactions mobiles dans un monde où le piratage et la cybercriminalité sont de plus en plus élaborés. "

4G SECURE fournit une gamme de services d'authentification forte sur le marché en forte croissance du couponing, des jeux sur l'Internet, de la billetterie et du e-commerce. La société compte parmi ses clients Chèque Déjeuner, ProwebCE, Ubiqus et Oberthur Technologies. Avant cette acquisition, 4G SECURE a travaillé avec SCCP avec des solutions en matière de sécurité mobile qui comprend la signature électronique et l'authentification à deux facteurs.

Benoît Delestre, président de 4G SECURE, qui prendra les fonctions de PDG de SCCP Francerelève : " La force des SCCP dans les solutions de paiement fournira à 4G SECURE une incursion dans le secteur bancaire et financier, et va créer des opportunités pour l'introduction de nos solutions entre les deux entreprises. Notre solution de portefeuille mobile permettra également de créer une nouvelle voie pour le développement de services de e-commerce. "

SCCP a racheté plus de 70% de 4G SECURE SAS (Europe) en Juin. CSPC contrôle actuellement plus de 60 % de la la société. Une intégration complète de tout le personnel et de l'équipe de gestion sera mise en œuvres.

*Swiff est une application de paiement concue pour les commerçants pour accepter les paiements par téléphone mobile.

3M Solutions d'identification et d'authentification

Cette division fournit la chaîne de solutions de sécurité carte d'identité, passeport, Polycarbonate et Laminât ; des étiquettes pour la protection des marques et des emballages et un étui de protection pour la carte de paiement sans contact. Cet étui empêche un éventuel fraudeur de capter les informations inscrites dans la puce de la carte. La division est équipée de matériels de personnalisation et de système d'émission dans une architecture IT.

Forte de son rachat de Cogent, 3M disposent de matériels d'enrôlement biométrique (empreintes, reconnaissance faciale...) et des lecteurs mobile d'empreintes digitales ainsi qu'une gamme de lecteurs de documents d'identité.

Du côté logiciel les solutions 3M proposent :
- des kits de développement sous Windows 7, Linux OS, C++ et Java ;
- Un logiciel de reconnaissance optique et de lecture de Code 2D ;
- Une plate-forme d'authentification automatique de documents sécurisées.

AriadNEXT : la preuve par la dématérialisation

C'est à partir des solutions de 3M qu'AriadNext a développé S<CUBE, sa propre solution de dématérialisation offrant un système d'authentification forte et une gestion sécurisée et conviviale de l'enrôlement du client, explique Guillaume Despagne, son président.

AriadNEXT a été créée le 5 mars 2010 après trois années de recherche et développement passées à mettre au point les matériels et logiciels qui forment l'offre de l'entreprise. Au 31 décembre 2011, la société comptait un effectif de dix-neuf personnes.

S<CUBE est le packaging d'un ensemble composé du scanner 3M, d'un PAD de signature WaveCom et d'un écran permettant aux deux parties de visualiser le contrat. Le tout géré par un logiciel dédié agréé par l'ANSSI (Agence Nationale des Systèmes d'Information) donnant à l'ensemble un haut degré de confiance. L'authentification forte comprend deux étapes :
- Une analyse du risque client avec la lecture de documents d'identité, de moyens de paiement et leur numérisation par le scanner et le contrôle des éléments sécuritaires. De plus, le système analyse les cohérences entre chaque document (même nom, adresse...) ;
- la signature d'un contrat entre le client et l'opérateur.

Le parcours client implique trois acteurs : le client, le vendeur, l'entreprise ou l'organisation. En réalité toute entreprise ou organisation impliquée dans une relation contractuelle avec une personne.
- Le client présente ses documents exigés par l'entreprise, puis signe le contrat ;
- le vendeur copie les pièces, enregistre le client, imprime le contrat et l'envoie à l'entreprise ;
- l'entreprise analyse le contrat et l'archive si tout est conforme.

Prenant l'exemple d'un opérateur de télécommunications dans le schéma actuel, le temps entre l'entrée du client dans la boutique et l'archivage du contrat en bout de chaîne prend actuellement une quinzaine de jours. C'est un processus long, une logistique coûteuse (entre 3 € et 6 € par contrat de téléphonie). Par ailleurs, la fraude affecte 2% à 5% des nouveaux contrats télécoms. Les coûts de la fraude à la souscription entraîne une perte de 20 millions d'euros par an. Quant aux coûts du process de souscription, ils atteignent quelque 6 millions d'euros par an.

La solution AriadNext se déploie actuellement dans 900 espaces SFR et expérimentée chez plusieurs opérateurs comme Virgin Mobile, The Phone House, Bouygues Telecom et Auchan.

4G Secure
Créée en 2010 par des experts du paiement, du mobile et du sans-contact, 4G Secure est basé à Paris, et déjà à Genève et à Singapour. La société commercialise des plates-formes en mode SaaS et Cloud offrant une authentification forte, un enrôlement dématérialisé, avec un mode de paiement et un portefeuille de coupons mobile sécurisé et de carte cadeau. Parmi ses clients, la société compte le groupe chèque déjeuner, Ubiqus, Visa Ma Ville... et des partenaires comme Oberthur, Capgemini, Sopra Group, Paybox...

Dans sa présentation, Benoît Delestre, président de 4G Secure, a présenté les deux marchés qu'il compte développer : l'enrôlement au point de vente et l'enrôlement en ligne. Ce dernier point est aujourd'hui à développer fortement dans la mesure où il est très facile d'ouvrir des comptes sur l'Internet, mais sans grande sécurité tant pour l'internaute que pour le gestionnaire du site web.

" L'enrôlement est un processus long et contraignant pour le client " affirme Benoît Delestre. Un internaute doit photocopier des documents d'identité, les expédier par courrier et attendre la réponse du site qui doit vérifier un certain nombre d'éléments avant d'accorder le droit de jouer en ligne ou de contracter un crédit à la consommation. Résultat : une confiance émoussée par les nombreux cas de piratages décrits par les médias et des solutions lourdes à mettre en place. Un décalage réel entre le souhait de l'internaute demandant un enrôlement rapide, la dématérialisation des échanges, la sécurité de l'authentification dans un univers sécurisé et aux procédures simplifiées et la réalité de l'offre actuelle.

Pour pallier cette situation, 4G Secure considère que la "plate-forme idéale d'enrôlement" est un " système clé en main de souscription 100 % dématérialisé et sécurisé ". Et de préciser que ce système ne demande aucun équipement spécifique supplémentaire, entendez par là : aucun token, carte, lecteur ou autre authentificateur hardware. Tout se passe à partir d'équipements largement détenus par les internautes : smartphones, tablettes, PC.

Comment ça marche ?
À l'aide la webcam de son PC ou de sa tablette ou à l'aide de la caméra de son smartphone, l'internaute photographie un ou plusieurs de ses documents d'identité. Puis l'internaute l'envoie au site web de l'entreprise qui va vérifier la cohérence dans les documents. Sur la carte d'identité les informations codées dans la piste MRZ (Machine Readable Zone) située au bas de la carte doivent correspondre à celles figurant en clair sur le document officiel. Autre exemple, la lecture du code barres 2D apposée par les fournisseurs d'énergie sur leur facture, attribuant une valeur de certification du document.

Une fois la personne enrôlée, il faut lui fournir un système d'authentification sûr et rapide. C'est le deuxième volet du système 4G Secure qui mise sur le smartphone, un matériel détenu par une majorité d'internaute. Pour appuyer sa démonstration Benoît Delestre cite le témoignage de LegiGame, une société qui offre une solution de conversion des comptes provisoires en comptes définitifs des joueurs en ligne. La solution de 4G Secure consiste, après validation de l'identité de l'internaute, d'envoyer sur le smartphone de ce dernier un code 2D qui va contenir une chaîne de sécurité qui permettra d'obtenir une signature électronique à valeur légale. Lorsque l'internaute se connecte sur un site, il tape son code confidentiel sur son smartphone qui fera apparaître le code 2D. Il lui suffira de présenter ce code à la webcam de son ordinateur pour être immédiatement identifié et authentifié. Un mix de technologies qui renforce très sérieusement la sécurité de la transaction électronique.