01net. | Actualités | Comparatifs et tests | Jeux | Astuces | Vidéo | Telecharger.com | Services | Forums
01net Pro Entreprise informatique
Actualités gestion et logiciel informatique professionnel
Offre et recherche Emploi informatique internet
Salon conférences inofrmatique IT ebusiness 01
Le Cloud Computing
Vidéos reportage entreprise acteur informatique
Retrouvez tous les services 01Net dédiés aux professionnels !
Télécharger logiciels Pro et progiciels
Livres blancs e-commerce informatique et nouvelles technologies
Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise
Les synthèses des bonnes pratiques sur les sujets IT du moment
Rencontres 01
Club 01 DSI
Webcast
Qui sommes-nous ?
Contacts
01net Entreprises  >  Special DSI

Face aux menaces, les cybermarchands résistent

Dans un climat de confiance fragile, banques, clients et cybercommerçants cherchent encore le mécanisme de paiement qui garantira une sécurité maximale.
Contre la fraude électronique, les sites marchands ont leur disposition quelques parades techniques.
01net.
le 12/11/08 à 10h30
A part pour les acteurs historiques de la vente par correspondance, l'e-commerce n'est pas chose facile à amorcer. Car c'est un univers de contraintes techniques et juridiques. Sans compter les barricades sécuritaires à installer pour contrer les menaces type déni de service et autres actes malveillants.
Une transaction électronique sur internet implique un trio d'acteurs principaux : le client, qui passe sa commande, le cyber-marchand, qui met le produit (objet ou service) à disposition, et enfin la banque, chargée d'assurer le flux monétique depuis le compte de l'acheteur. Pour le commerçant, le dispositif de paiement présenté au client lors de la validation d'un achat peut abriter plusieurs mécanismes : un module de paiement intégré et hébergé par le site marchand, une procédure de règlement externalisée chez un prestataire de paiement (souvent proposé par les établissements bancaires), ou un service de paiement électronique type Paypal.

Des fraudes propres au commerce sur internet

Plus que tout autre site du web, le cyber-marchand s'expose à une nouvelle catégorie de menace : la fraude en ligne. Cette dernière peut avoir plusieurs visages, mais utilise presque dans tous les cas la carte bancaire, selon différentes techniques comme l'usurpation après qu'une personne se soit fait dérober ses informations personnalisées. Une autre fraude consiste à utiliser des cartes non valides à partir de données inventées de toutes pièces. Il y a aussi les fraudes internes (par exemple des informations bancaires circulant jusqu'à l'empaquetage, la suppression de ces données ayant été omises lors de la mise en place du circuit de livraison du produit). Sans oublier les faux litiges, où l'acheteur se cache derrière le prétexte d'une fraude pour contester un achat. Enfin, le phishing pose également problème. Cette technique, qui consiste à demander des informations personnelles aux internautes via un courriel maquillé aux couleurs d'un site marchand, reste aujourd'hui difficile à contourner. Car la parade repose sur une sensibilisation de l'utilisateur à ne pas communiquer ses informations sans réfléchir.
Dans le cas d'une fraude par usurpation, le consommateur a la possibilité de se retourner contre sa banque afin d'être remboursé. Il doit alors porter plainte et justifier son non-achat. La banque réclame ensuite au site marchand l'argent qu'il a dû remboursé à son client. Ce dernier perd donc le beurre et l'argent du beurre. D'ailleurs, face à la fraude en ligne et aux faux litiges (qui peuvent coûter plus cher à prouver qu'à rembourser), l'e-commerçant est toujours le grand perdant. La seule solution pour lui : réussir à prouver au moment de la transaction que la personne qui utilise le numéro de la carte bancaire est bien le détenteur du compte.

Externaliser l'hébergement des données bancaires

Pour les anciens de la vente par correspondance comme La Redoute ou les grands magasins en ligne type Fnac, il est facile d'utiliser un fichier client déjà en place et d'y apposer des règles de filtrages. Pour les nouveaux e-commerçants, il en va tout autrement. Ils décident donc souvent de ne pas héberger les informations bancaires des clients et de les confier à l'établissement qui a la charge du transit du règlement. D'autant que l'archivage de ces informations doit être conforme aujourd'hui à la réglementation PCIDSS (Payment Card Industry Data Security Standard), une norme apparue en 2005, révisée en 2006 et en 2008, en attendant la nouvelle mouture en préparation. Cette norme relative à la confidentialité des données impose 12 réglementations à appliquer aux systèmes d'information qui abritent les données bancaires.
Le site Grosbill.com (filiale du groupe Auchan), spécialiste de la vente en ligne de produits électroniques et informatiques, a choisi de faire appel à un tiers assureur, Fia-net. Il délègue ainsi à un prestataire externe la responsabilité d'assurer la fiabilité de l'acheteur. Un soulagement pour le commerçant qui se voit assuré en cas de litige concernant un achat effectué par un client approuvé par le prestataire. A charge pour ce dernier d'établir, via une série d'algorithmes, un système de réputation des internautes. Techniquement, le procédé est le suivant : le commerçant demande à sa banque de décaler l'autorisation et le débit. Entre ces deux phases, Fia-net renvoie au marchand un feu rouge ou un feu vert quant à la réputation de l'acheteur et à la validité des informations de carte bancaire transmises, validant ou invalidant ainsi la transaction.

Comment garantir le paiement

Effective en France depuis le 1er octobre, 3D-Secure est une méthodologie ou plutôt une architecture d'acceptation carte proposée par Visa et Mastercard. Elle décrit le circuit de l'information entre les trois acteurs (client, banque, commerçant) pour effectuer un paiement par carte bancaire. Les responsabilités sont ainsi réparties de façon équilibrée : la banque de l'acheteur authentifie son client, celle du commerçant certifie le sien, le domaine interbancaire permet de démarrer l'authentification de l'acheteur de manière identique quel que soit le moyen utilisé par l'acquéreur. Grâce à ce système, le commerçant est garanti du paiement si la transaction est conforme à 3D-Secure. Dans la pratique, tout tourne autour d'un composant baptisé Merchant Plugin (MPI). Selon les cas de figure, il sera hébergé chez le marchand, le prestataire de service ou l'établissement bancaire. Ce système fonctionne encore aujourd'hui sur une sécurisation simple (tel le couple identifiant utilisateur et mot de passe).

Parmi les textes de loi sur l'e-commerce


Décret n?' 2003-137 du 18 février 2003 sanctionnant la violation de dispositions relatives aux contrats conclus à distance et modifiant le code de la consommation.
Directive 1997/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance.
Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques du commerce électronique dans le marché intérieur.
Directive 2002/65/CE du Parlement européen et du Conseil du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs.
Loi LCEN n?' 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

La sécurisation des flux de l'e-commerce

agrandir la photo

L'acheteur indique son numéro de carte de crédit Visa ou Mastercard (1-2-3) puis une connexion est établie avec l'émetteur de la carte afin que l'acheteur confirme son identité par un code opération (4-5). Le paiement par carte de crédit est exécuté si l'authentification a réussi (6-7).

2 questions à... : Jean Monnier, directeur général du site marchand Grosbill

Etes-vous sujets à de fréquentes attaques ?

' Non. La dernière grosse attaque remonte à quatre ans. Aujourd'hui, il faut reconnaître que la sécurité est devenue moins problématique. Les systèmes de production sont mieux organisés. Nous avons subi une petite attaque récemment, due essentiellement au fait que nous avions relâché un peu notre attention pour effectuer une mise à jour. Cela ne pardonne pas. Cette erreur nous a fait comprendre qu'il ne fallait pas baisser la garde. '

Cette attaque concernait des vols de numéro de carte bancaire ?

' Pas du tout. Nous ne conservons aucune donnée, elles sont toutes conservées par notre banque. Nous avons préféré ne pas assumer cette responsabilité. L'attaque concernait une fraude avec utilisation de carte non valide. Nous avons momentanément désactivé notre système de filtrage Fia-net ; il na pas fallu longtemps pour que des petits malins viennent se servir. '

envoyer
par mail
imprimer
l'article
Nous contacter | Charte de confiance | Mentions légales et CGU | Conditions d'abonnement | 01net. recrute
01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM