Bien que la tokenisation soit une méthode de sécurité visant à protéger les informations sensibles en les remplaçant par des jetons, des fraudes peuvent survenir si ces jetons sont compromis ou mal gérés.
Qu’est-ce que la tokenisation des paiements ?
La tokenisation des paiements est une technique de sécurité qui remplace les informations de paiement sensibles, telles que les numéros de carte bancaire, par un ensemble de caractères aléatoires uniques appelé « token » (jeton). Cette méthode préserve la sécurité des données de paiement lors des transactions, car il évite l’utilisation et/ou le stockage des informations originales des cartes bancaires.
En ayant recours aux tokens plutôt qu’aux informations de carte réelles, les commerçants peuvent proposer à leurs clients une expérience de paiement sécurisée et transparente, tout en réduisant les risques de fuites de données et de fraude. La tokenisation permet d’associer les données de paiement carte avec une authentification forte 3D Secure. Cette méthode est donc particulièrement adaptée pour les commerçants en ligne, les services sur abonnement, les plateformes et places de marché.
Avantages de la tokenisation des paiements
La tokenisation des paiements offre de nombreux avantages : le premier d’entre eux est l’expérience utilisateur : car comme les données de paiements sont enregistrées via le token, le client peut valider son panier en un seul clic. Il ne lui est plus nécessaire de saisir ses coordonnées cartes, ni de valider chaque transaction par un protocole 3D Secure. Cette fluidité permet donc d’augmenter le taux de conversion de chaque panier et in fine d’augmenter les ventes.
L’utilisation de la tokenisation des paiements permet donc de renforcer la sécurité en remplaçant les données de paiement sensibles par des tokens qui eux ne sont pas sensibles. Cela permet aux commerçant de se conformer à la norme PCS DSS (Payment Card Industry Data Security Standard), qui est un gage de sérieux et de sécurité pour les clients, les fournisseurs et l’ensemble des partenaires.
Sur les smartphones avec ApplePay / AndroidPay & co, la possibilité de payer en sans-contact correspond également à une tokenisation. L’activation du paiement est autorisée via des données biométrique et un code d’activation. A ce stade, la biométrie est une protection réputée inviolable du token dans une transaction de paiement.
Que représente un token ?
Le token en lui-même n’a aucune valeur, s’il n’est pas associé à un profil utilisateur, donc en théorie, si une tierce personne parvenait à accéder au token, elle ne pourrait en aucun cas exploiter celui-ci pour effectuer des achats frauduleux puisqu’il ne contient aucune information de paiement valide.
Qu’est-ce que fraude à la tokenisation ?
Alors que la tokenisation est conçue pour sécuriser les paiements, il existe pourtant des cas de fraudes. Ceux-ci se produisent quand un fraudeur prend possession du compte d’un utilisateur inscrit sur un site, ou une plateforme marchande. Il lui est donc possible d’utiliser le token pour payer des services de manière frauduleuse. Si ce fraudeur détient également les clés d’authentification forte (à la suite d’un SIM – swapping par exemple), il pourra contourner les règles de sécurité de la plateforme et se faire livrer à une adresse tierce.
Sur le seul réseau Visa, le coût mondial de la fraude aux tokens était estimé à 450 M EUR en 2022.
Il est donc important de limiter les clés de tokenisation aux seuls sites marchands fréquemment utilisés pour un utilisateur donné.
Il existe certains outils qui préviennent de la fraude par token, à l’instar du dispositif de sécurité de Visa faisant appel à l’intelligence artificielle, le Visa Provisioning Intelligence (VPI)[1].
Comment Heptalytics protège de la fraude à la tokenisation?
Heptalytics propose une protection native contre la fraude à la tokenisation. Il n’est donc pas nécessaire de souscrire à une protection supplémentaire, comme le proposeraient certains acteurs.
Comme pour un paiement standard, Heptalytics réalise une analyse complète d’une transaction, et relie les caractéristiques d’une transaction à un univers de caractéristiques digitales. L’utilisation frauduleuse d’un token est immédiatement identifiable par la solution Heptalytics.
