L’adoption rapide du paiement sans contact

Il est de bon ton pour les Européens d’arborer un sourire entendu lorsqu’il s’agit d’évoquer le déploiement des applications de la carte à puce aux Etats-Unis. Ce serait l’histoire d’un “serpent de mer“ qui s’achève invariablement sur un “Not Invented Here“. Cette image d’Epinal a beaucoup vieilli. Les banques américaines n’ont certes toujours pas indiqué clairement qu’elles adopteraient un jour la puce EMV, mais elles sont les premières au monde à avoir adopté, il y a deux ou trois ans, le paiement sans contact grâce à une puce capable d’émuler la piste magnétique de leurs cartes bancaires traditionnelles.

Le marché américain est le premier marché mondial de la carte de paiement, surtout de paiement par crédit. Il capte plus de 56% des transactions de paiement réalisées en 2007, soient 40,7 milliards. La part des cartes sans contact était encore modeste dans ce tableau en 2006, puisqu’elle ne représentait que 777 millions de transactions (27 millions de cartes). Les prévisions tablent toutefois sur une croissance importante à l’horizon 2011 : 2,2 millions de transactions et 109 millions de cartes.

Ce marché est tiré par le confort d’utilisation et la rapidité que procurent le sans contact pour le consommateur, mais aussi pour le commerçant. Ainsi, JP Morgan a déjà émis plus de 10 millions de cartes “Blink“ et Washington Mutual Inc. vient d’annoncer l’émission de 25 millions de cartes. Toutes les grandes banques comme Wells Fargo & Co., HSBC Holdings PLC, Citigroup Inc. ont des programmes de cartes sans contact. Bank of America, Citi Cards, SunTrust, Wachovia et BancorSouth ont également lancé des applications de banque en ligne utilisant le téléphone portable grâce à des accords avec des opérateurs comme Verizon ou AT&T Wireless, des sociétés éditrices de logiciels sécurisés comme Firethorn ou mFoundry, et de grands “processeurs“ comme First Data ou Metavante. On prévoit 34 millions de téléphones portables utilisés pour des applications de banque en ligne en 2012. 8 à 30 millions de téléphones seront équipés d’une interface NFC pour des applications de paiements de proximité sans contact[1].

L’usage de la carte dans les applications de sécurité gouvernementales

Les créateurs de la Common Access Card (CAC)
Dans le domaine de la sécurité gouvernementale et fédérale, les Etats-Unis ont été le premier pays au monde à avoir mobilisé des experts (dont certains recrutés parmi les pionniers de la carte à puce en Europe). Ceux-ci ont conduit un programme national “smartcard“ au sein du NIST (National Institute of Standards and Technology) et du GSA (General Services Administration). Ce programme a permis d’établir les spécifications et d’assurer dès 2000 le déploiement d’une carte à puce (la CAC pour Common Access Card) utilisée aujourd’hui dans toutes les administrations sensibles du DoD (Department of Defense). Plus récemment, ce programme a également permis de développer une carte d’identité fédérale à puce intégrant des données biométriques, la PIV (Personal Identity Verification).

La multiplication des cartes CAC

Depuis son lancement en 2000, 13 millions de cartes CAC ont été émises. Ces cartes permettent de contrôler les accès aux postes de travail des employés du DoD, de chiffrer les emails, d’accéder à des sites Web. Une nouvelle génération a vu le jour en 2006, en conformité avec la directive de 2004 baptisée HSPD-12 (Homeland Security Presidential Directive), à l’origine de la carte PIV. Ces deux cartes offrent désormais des fonctions sans contact pour le contrôle d’accès aux bâtiments fédéraux et bénéficient d’une infrastructure de déploiement et d’utilisation à clés publiques (PKI). Elles peuvent également utiliser des données biométriques pour l’authentification des porteurs sur leur poste de travail. Plusieurs dizaines de millions de cartes PIV devraient être déployées à terme.

Un ambitieux projet de carte d’identité américaine

Le programme le plus ambitieux, mais aussi le plus contesté, est celui de créer une carte d’identité nationale émise par chacun des Etats de façon à remplacer les permis de conduire, facilement falsifiables, couramment utilisés comme pièces d’identité par les administrations. Le “Real ID Act,“ signé en mai 2005 par le président Bush, est pourtant loin de faire l’unanimité. Son coût d’environ 15 milliards de dollars, les délais prévus pour sa mise en œuvre, les risques pour la protection de la vie privée et le flou sur les technologies à mettre en œuvre sont à ce jour autant d’obstacles à sa réalisation. Encore une fois, les technologies de la carte à puce s’inscriront dans ce débat. Il y a moins d’un mois, le NIST a confirmé, après une série de tests, que l’usage de données biométriques associées aux technologies de la carte à puce (ou “match-on-card“ ; tous les calculs sont effectués dans la puce) apportait un niveau de sécurité plus élevé que toutes les autres solutions. Ce pourrait être une solution aux questions de « privacy » et de sécurité que pose encore le Real ID Act.

Ainsi, avec ces deux avancées majeures que sont le paiement sans contact et le contrôle d’accès pour les applications gouvernementales, la carte à puce a conquis les États-Unis en moins de dix ans.

Du 4 au 6 novembre 2008, les Etats-Unis seront à l’honneur sur CARTES & IDentification 2008. Venez découvrir le chemin parcouru et les nouveautés à venir dans ces domaines !