Par ce dossier sur la sécurité des paiements sur Internet, nous
allons tenter de vous expliquer, de vous rassurer et de vous aider à
mieux comprendre et à vous défendre (le cas échéant)
contre les utilisations frauduleuses de votre carte bancaire.
1 - Le paiement sécurisé, qu'est-ce que c'est ?
Le paiement sur Internet peut s'effectuer grâce à différents
moyens de paiements. Le chèque, le contre remboursement ou le mandat
restent valables mais ils ralentissent la commande.
La carte bleue à puce s'est donc très vite imposée en France
(rappelons que la France est le principal utilisateur de ce procédé
et ce, depuis 1993) pour les transactions en ligne. Mais pour l'internaute,
la crainte de voir son numéro piraté quand il appuie sur la touche
" valider " à toujours été présente et
la fraude est là pour le lui rappeler.
Cependant, la fraude au numéro de carte bleue n'est pas née avec
Internet. Les médias vous racontent tous les mois les histoires de ceux
qui se sont vus débités de milliers de francs sans leur accord
ou qui, pire, voyaient leurs comptes débités sans même avoir
approché un ordinateur !
Mais la fraude peut provenir de la réutilisation de numéros volés,
de faux numéros de cartes générés par des serveurs
ou de la création de fausses enseignes.
Un fraudeur pourrait très bien créer un site avec un nom très proche de celui d'une grande enseigne, faire un " copier-coller " de sa page d'accueil, promettre monts et merveilles, prendre votre commande, accumulez des numéros de cartes et vous débiter. Que faire quand la personne est à l'étranger, que vous ne pouvez pas l'identifier et de fait porter plainte (à part contre X) pour engager une procédure judiciaire pour escroquerie ?
Autre façon de frauder, mais peut-être plus pour très longtemps, les facturettes carte bleue. Le numéro, la date de validité voire même le nom du titulaire y apparaissent en clair. Alors, une facturette oubliée dans votre supermarché ou un ticket récupéré par votre pompiste peut être source de fraude pour quelqu'un de mal intentionné.
Et quand est-il de la récupération de milliers de numéros de cartes bleues par des pirates ? En fait, vos numéros sont récupérés sur le serveur du marchand dans sa base de données clientèle, mais ce n'est réalisable que si l'accès au site même du marchand n'est pas sécurisé. Ces fraudes sont rares. Votre numéro, s'il ne transite pas par le site du marchand comme c'est le cas si le paiement est sécurisé n'a donc que très peu de chance d'être récupéré, rassurez-vous.
En définitive, retenez que la fraude peut frapper indifféremment les internautes et les acheteurs.
En définitive, le commerce électronique pose trois problèmes.
- l'authentification du porteur de carte.
- l'intégrité et la confidentialité des informations transmises
lors de la transaction
- la non-répudiation de l'achat
Alors, pour rassurer le chaland, il a fallu que chaque enseigne se justifie sur la sécurisation qu'elle assurait sur son site. Les sites ont donc eu recours a des solutions de sécurité.
2 - Les protocoles de sécurité utilisés et leurs limites.
Trois protocoles se partagent aujourd'hui le Net.
Le protocole SSL pour Secure Sockets Layer :
C'est le standard le plus courant pour le Web, il a été développé
par Netscape, mais c'est avant tout un protocole de communication (et non de
paiement électronique) qui permet l'échange sûr de données
entre diverses applications en utilisant le cryptage (ou codage) des données.
Seuls 800 commerçants en ligne dans le monde y ont recours.
Ce système, très fiable, ne permet toutefois pas d'authentifier le porteur de la carte et autre problème, les informations restent stockées sur le serveur du commerçant.
(Vous savez si une transaction est sécurisée si votre navigateur affiche en bas de l'écran un cadenas fermé (pour Internet Explorer) ou une clé (pour Netscape)).
Pour en savoir plus sur SSL (en anglais) :
www.ssl.com
Le protocole SET pour Secure Electronic Transaction :Mis en place par Visa
et Mastercard en 1997, ce protocole est souvent adossé à une banque
qui fait payer une licence au site mais il permet
d'automatiser et de sécuriser le processus d'autorisation de paiement.
Le numéro de carte bleue, une fois saisi, est envoyé à
un organisme tiers qui se charge lui-même de la validation auprès
du GIE Cartes Bancaires.
Les données sont donc stockées directement à la banque et non chez le commerçant, les risques de fraude sont donc réduits.
Mais les solutions qu'offre le marché ne se valent pas toutes au niveau des services. Peu d'entres elles permettent le paiement différé (ce qui explique que vous soyez débité dès la commande même si la livraison n'intervient que plusieurs semaines après), ou le règlement multidevises ou encore les micropaiements (moins de 50 F).
Pour en savoir plus sur la norme SET de Visa :
www.hitech-azur.asso.fr/fudip/livret6/slide7-0.html
Un résumé en quelques points sur SET :
www.hitech-azur.asso.fr/fudip/livret6/slide7-0.html
Le lecteur de Cyber-Comm :
Les industriels et les banquiers (actionnaires de la société)
assurent que le salut pourrait venir du lecteur Cyber-Comm !
Il s'agit d'un lecteur de carte à puce intégré ou connecté
à l'ordinateur. Coût du lecteur : de 300 à 400F. Le consommateur
tape son code secret, le numéro de carte bleue va directement de l'ordinateur
à la banque sans passer par chez le commerçant.
Avantages : authentification du porteur de carte, savoir si la carte est vraie,
contrôle du code, du montant et de la date de l'achat sans modification
possible.
Pour en savoir plus : le site de Cyber-comm :
www.cyber-comm.com/ homefr.html
Avec le lecteur de Cyber-Comm, le problème c'est qu'une fois entré le code confidentiel, vous avez signé une transaction qui n'est de fait plus répudiable. Ce lecteur protège donc plus le commerçant que le consommateur.
Cependant, si c'est un outil qui apaise commerçants et banquiers, pourquoi
le faire payer à un internaute déjà protégé
par la loi ? D'ici à un an, les lecteurs devraient être intégrés
à tout PC vendu.
• SSL : www.ssl.com
• Norme SET de Visa : www.hitech-azur.asso.fr/
• Norme SET : www.hitech-azur.asso.fr/
• Cyber-com : www.cyber-comm.com/