200 000 comptes certainement dans la nature, 40 millions probablement volés dont 20 millions du groupement Visa -des milliers d'appartenance française-, 14 millions de Mastercard et 6 millions d'AmEx et Discover. La découverte de cette nouvelle fuite, d'une inquiétante banalité montre, comme pour chaque nouvelle affaire, combien les procédures de sécurité sont prises à la légère dans le monde de la finance. Cette fois, c'est encore un intermédiaire (Cardsystems) qui est pris en défaut. « Les enregistrements volés n'étaient pas conservés correctement » titre notre grand-frère Network World. « Ils n'auraient d'ailleurs jamais du être conservés aussi longtemps » renchérit Security News. MasterCard émet un bulletin d'information daté du 17 -soit 4 semaines après la découverte de la fuite- avec un « appel en hune » de sa page d'accueil. CardSystems en fait de même. Le GIE Visa International, quant à lui, préfère étouffer l'information en la cachant dans les replis secrets de son Web tentaculaire car l'info est strictement introuvable.

Entre les employés indélicats qui refourguent de l'identité par centaines de milliers et à la petite semaine, les brokers qui se font visiter, les procédures de consultation de comptes privés d'une fantaisie absolue, les bandes magnétiques de sauvegarde (non cryptées) qui s'égarent, les disques durs qui s'évaporent et les rapports laudatifs sur « l'absolu inviolabilité des procédures de transaction sur Internet », on se demande comment la profession de banquier peut encore inspirer confiance.

Cette irresponsabilité manifeste, outre les dommages directs aux victimes de cyber-vols, paralyse un pan entier de l'activité économique : le secteur du e-commerce. L'analyse des statistiques de fréquentation des grands sites marchands risque d'être, au fil des prochains mois, très instructive... si jamais elle sont un jour publiées. Verra-t-on un jour un e-Bay ou un Marcopoly se retourner contre le GIE Carte Bleue ou Mastercard en invoquant un « manque à gagner » provoqué par cette brutale perte de confiance ?

Outre ces aspects économiques directs et indirects, on se rend compte à quel point sont limités les respects des normes et règlementations. La sécurisation de chaque élément de la chaîne de transaction ne signifie pas la sécurisation de la somme des parties. Il faudrait pouvoir, afin de « limiter la casse », appliquer ces normes à l'ensemble du processus. Une sorte de 7799 qui couvrirait du consommateur au fournisseur, en passant par l'intermédiaire financier. Et encore... Mais la lourdeur d'une telle procédure, le coût surtout d'une sécurité globale seraient tels que le système entier pourrait en être paralysé ou fortement ralenti... donc condamné à terme. En outre, cette complétude des procédures, si elle peut prétendre à un assainissement de la situation actuelle, ne peut garantir une protection absolue. Car la sécurité absolue n'existe pas, et la meilleure des défenses exige une certaine rapidité de réaction... souvent incompatible avec un cadre normatif sclérosant. Le mieux est l'ennemi du bien.

A la moindre faille Java ou ActiveX, nombre d'experts en sécurité conseille « de ne surtout plus utiliser le navigateur X ou Y et d'envisager des solutions alternatives ». Lorsque les systèmes de payement en ligne sont compromis, que devraient nous conseiller les experts du monde de la finance ? De mettre ces carrés de plastique au rencart et de recourir à une économie de troc ? Au fait, ces gourous du taux actuariel brut et ces shamans du financement tempéré à 6,5%, pourquoi sont-ils brusquement devenus muets ?

. Web-profils.com, la place de marché du conseil et de l'ingénierie