CBERSTRAT : Internet pour accèder au marche mondial sphere.gif (8754 octets)CYBERSTRAT : Des ressources pour vous aider à concevoir votre stratégie Internet texte.gif (1318 octets)

Accueil Introduction Principes de marketing Mktg par télécopies CTI Syndication de Contenu eMail marketing Web en marketing Statistiques Paiements sur Internet Référencement Etre plus près Echanges BtoB Places marché Communications rapides PROMOTION Yield Management PlaceShifting Pub online Prog. affiliés 1to1 E-Com ? Budgets de communication Relations publiques Accessibilité Res. Humaines Catalogues Sécurité Mise en oeuvre Contrat Type Liens Bibliographie en anglais Dictionnaire Hotellerie

Paiements sur Internet
 

 

De Jean-Claude MORAND - CYBERSTRAT avec l’aimable contribution de Paul André Pays de Globe ID et de Gaétan DALIGAULT de Europay France.

Oct 99 - Ce texte de fin 1997 commence à dater....je prévois de le mettre à jour prochainement. N'hésitez pas à me faire part de vos réaction et suggestions. JC Morand

L’avènement du paiement électronique recherché par tous les promoteurs de cartes bancaires sera probablement le big bang du commerce. La planète "commerce" va exploser pour se reconstituer autour de quelques constellations du commerce électronique. Des petits deviendront gros, mais il est aussi probable que quelques dinosaures de la distribution disparaissent à l'occasion de ce big bang. Des réticences psychologiques restent à surmonter par beaucoup d’acteurs du commerce électronique, mais de nombreux acteurs s’activent pour sécuriser les transactions. Ainsi il existe environ 20 millions de cartes bancaires en circulation en France alors 1.5 milliards le seraient dans le monde. Les experts s'attendent à ce que ce chiffre soit doublé d'ici 2002. Autant dire que cet instrument de paiement à tendance à se généraliser, même si dans certains pays son usage est encore loin d'atteindre les niveaux français ou américain. Il en est ainsi de la Suisse où la population est encore réticente à payer à l'aide d'un rectangle de plastique.

LE RISQUE N'EST PEUT-ÊTRE PAS LA OÙ ON L'ATTEND

Alors que nous remettons sans aucun problème notre carte de crédit à n’importe quel commerçant, que nous enregistrons notre numéro sur les transactions Minitel sans aucun complexe, il semble que les touches des claviers européens se soient spontanément gelées en ce qui concerne les paiements électroniques. Comment, 70 millions de personnes peuvent utiliser mon code pour prélever des sommes sur mon compte ! Madame Monchu est soudainement prise de panique. Crainte plus psychologique que réelle, car les transmissions effectuées au moyen de nos bons vieux Minitels sont loin d’être aussi sécurisées que celles entreprises sur Internet.

D’un point de vue technique, le cryptage des informations a été introduit avec le protocole SSL. Puis les banquiers ont planchés pour répondre à la crainte, sans doute un peu exagérée, des consommateurs de laisser des informations circuler sur le réseau. On fait plus confiance à un serveur anonyme ou un boutiquier de Bangkok, dont on ne sait rien sur sa moralité. Les professionnels veulent, à juste raison, se prémunir des abus d'utilisation en introduisant un système de validation sans faille.

La crainte des banques n'est pas que le numéro de carte soit piraté lors d'une utilisation (attention : à ce stade nous ne parlons pas d'Internet !). En fait les risques les plus importants sont doubles selon Gaétan DLIGAULT d'Europay :

bulletIl y a un risque qu'un petit malin génère un numéro de carte (au hasard par exemple ou en utilisant des logiciels pirates) qui corresponde à un vrai numéro. C'est ce qu'on appelle les "faux-vrais numéros de carte". Chez un commerçant dans la rue, cela nécessiterait d'encoder et d'embosser des vrais visuels de cartes avec ce numéro, donc cela implique de disposer de moyens de contrefaçon. Les cartes ainsi produites sont utilisées pour faire des achats de montants élevés (plus de 10.000 F par carte). Chaque année, la Police (avec les indications des organismes gestionnaires de cartes) arrête plus d'une centaine de contrefacteurs en France. Sur Internet par contre, le phénomène est beaucoup plus facile, car il n'y a plus de carte physique (donc pas besoin de disposer de support et de les contrefaire). Et ce n'est pas SSL qui permet d'éviter ce type de fraude (SSL est généralement utilisé pour protéger le contenu, et non pour authentifier le client). Les banques sont donc confrontées à un nombre important de fraudes, souvent de montant faible (une centaine de francs par numéro), qui rendent difficiles et onéreux le pistage et l'arrestation de ces "petits malins" ! D'où l'intérêt de mettre en place des mécanismes qui permettent d'être sûr qu'il s'agit du bon porteur de la carte. Vous comprenez alors pourquoi les organismes gestionnaires de cartes cherchent à réintroduire l'usage physique de la carte pour le paiement sur Internet, puisque la puce permet d'authentifier avec certitude qu'il s'agit d'une vraie carte.

Pour résumer en caricaturant, le risque n'est pas qu'on pirate votre numéro de carte lorsque vous payez, mais plutôt qu'on utilise votre numéro de carte lorsque vous ne l'avez jamais utilisée sur Internet !

bulletL'autre risque majeur concerne les petits commerçants qui n'ont pas la capacité (financière) de mettre en place des protections anti-intrusion, d'où un risque que des pirates récupèrent une liste entière de vrais numéros de cartes, en vue de les utiliser par ailleurs sur Internet ou de fabriquer des fausses cartes pour les utiliser chez des commerçants habituels.

 

LES MOYENS DE SÉCURISATION OUVERTS

SSL

Cet acronyme signifie "Secure Sockets Layer" (SSL), il s'agit d'une procédure de transmission d'informations confidentielles sur Internet. Les données sont cryptées de manière à ce que personne ne puisse interpréter les flux transmis sur le réseau que cela soit dans vos courriers électronique, vos achats, vos transactions avec une banque ou toute autre forme de communication.

Vous pouvez facilement reconnaître une transaction sécurisée lorsque vous utilisez le navigateur Netscape qui affiche une clef ou Internet Explorer de Microsoft qui présente un cadenas au bas de l'écran selon l'illustration. Dans ces deux cas vous êtes assuré d'avoir les conditions optimum de sécurité, seuls des ordinateurs extrêmement puissants sont en mesure de reconstituer l'algorithme de cryptage.

Les systèmes de SG2/Payline, Atos et France Télécom (Telecommerce.fr) utilisent pour l'instant ce type de sécurité pour les paiements en ligne.

Le protocole S.E.T.

SET SECURE ELECTRONIC TRANSACTIONTM est un standard destiné à authentifier les personnes impliquées lors d'achats en ligne. Le système utilise des protocoles de cryptographie afin de rechercher une confidentialité maximum des transactions. Contrairement à d'autres systèmes (SSL), S.E.T. délivre des certificats d'authenticité des transactions électroniques. Le site, en anglais, de SET LLC pourra satisfaire les plus curieux.

Les paiements sur Internet avec C-SET et e-Comm

C-SET

C-SET est un dispositif de paiement sur Internet sécurisé par carte à puce. Il a été défini par le Groupement des Cartes Bancaires, qui a adapté le protocole SET (pour "Secure Electronic Transaction") développé par MasterCard et VISA.

Ce dispositif de paiement prend en compte un environnement sécuritaire physique en étendant SET à l'environnement "carte à puce". C-Set, mieux sécurisé que SET, reste néanmoins compatible avec cette norme internationale. C-Set permet donc d'effectuer des paiements en France comme à l'étranger grâce à la mise en place par le GIE Carte Bancaire d’un service " traducteur " entre SET et C-SET.

C-SET signifie "Chip-Secure Electronique Transaction", c'est à dire en français "Transaction de paiement Electronique (sur Internet) Sécurisée par carte à Puce".

Un millier de clients de cartes Eurocard-MasterCard ont déjà reçu de leur banque un lecteur de carte à mémoire connectable à leur micro ordinateur. Ils peuvent effectuer, en toute sécurité, grâce à leur carte à puce, des paiements sur Internet.

Le dispositif de paiement C-Set répond à cette préoccupation, en offrant le niveau de sécurité plus élevé. Rappelons que SET est une norme internationale de paiement sur Internet par carte bancaire sans puce. C-Set et e-COMM reprennent son principe de fonctionnement en y ajoutant un niveau de sécurité physique grâce à l'utilisation de cartes à puce et de lecteurs sécurisés.

Le niveau de sécurité C-Set est tel, que pour les clients français avec une carte à puce, le paiement du commerçant peut être garanti par sa banque. Pour les clients internationaux, plusieurs cas peuvent se produire :

bulletSoit le client utilise un dispositif compatible avec SET, dans ce cas le commerçant bénéficie d'un régime intermédiaire entre la garantie commerçant et la Vente Par Correspondance,
bulletSoit le client a une carte à puce, et fait partie d'un pays et d'une banque qui utilise une solution similaire à C-Set et d'un niveau sécuritaire analogue ; une réciprocité de garantie commerçant sera définie entre les 2 pays, pour offrir la garantie de paiement aux commerçants français pour ces clients étrangers ; à noter que des pays ayant beaucoup de porteurs de cartes, tels que l'Angleterre et l'Allemagne, s'équipent en cartes à puce et envisagent l'utilisation de C-Set.

La mise en œuvre logistique de C-Set avec Cybercard est simple pour le commerçant puisqu'elle ne nécessite qu'une seule certification.

e-COMM

Tout comme C-Set, e-COMM est une application du protocole SET s'appuyant sur une carte à puce. Cette initiative avait été prise par la BNP, la Société Générale et le Crédit Lyonnais.

Le flux de transactions sécurisé s'articule autour de trois acteurs que sont le clients, la banque et le serveur bancaire de paiement.

flux_e_comm.gif (8827 octets)

Source : e-COMM

Dans les deux cas, les acteurs doivent être accrédités préalablement à leur participation, ceci afin de permettre de délivrer des certificats d'authentification digitaux reconnus par le serveur de paiement bancaire.

La convergence e-Comm et C-SET

Avec l'annonce faite en juin 1998 par le Groupement des Cartes Bancaires, Europay et e-Comm de mettre en œuvre une solution technique commune la Cybercard à de fortes chances de devenir un standard mondial de sécurisation sur Internet par carte à puce. Cette solution sera particulièrement simples pour pour les clients et leur banque.  Les clients ne sont pas déroutés, ils payent comme ils ont déjà l'habitude de le faire : insertion de la carte à puce dans la fente d'un lecteur qui viendra s'ajouter à leur équipement informatique (soit sur le clavier, l'écran ou comme unité périphérique). La lecture du montant sur l'afficheur, la composition du code confidentiel à quatre chiffres, appui de la touche "Valider", appel d'autorisation, et édition d'un ticket. Aucune donnée confidentielle circule sur le réseau, le commerçant n'a, à aucun moment, accès au numéro de la carte du porteur en clair.

Le client peut payer où il le désire : à la maison, au bureau, chez un ami, dans un Cybercafé ou dans des lieux publics disposant de bornes Internet... Le client n'est pas lié à un ordinateur. Toutes les informations nécessaires au paiement d'un client sont stockées sur sa carte à puce. Il peut donc payer à partir de toute machine disposant d'un lecteur de cartes sécurisé.

Pour la Banque, la seule logistique supplémentaire à prévoir est la diffusion des lecteurs de carte et des logiciels associés... du moins dans un 1er temps, puisqu'ensuite ils seront intégrés dans les claviers des PC, les "webphones, ou les télécommandes de consoles Internet/TV. La Banque n'a pas à diffuser les fameux certificats clients, comme c'est le cas pour SET sans carte à puce.

Dans un premier temps, les consommateurs utiliseront leur carte "française". Par la suite le standard international sera mis en œuvre.

Les moyens de sécurisation privatifs

Plusieurs systèmes de paiements sécurisés existent en France depuis plusieurs années : Payline décrit ci-dessus, lancé par la société SG2 et Kléline. GlobeID, une société française, offre des solutions adaptables y compris une variété de moyens de paiements, tel que les cartes de crédit, les e-check, les débits directs, la monnaie virtuelle, les micro paiements et les porte-monnaie électroniques.

La technologie développée par cette société prévoie de supporter, outre le protocole GlobeID lui même, les protocoles de paiements standards comme S.E.T. et C.SET ainsi que les normes de sécurité comme SSL. Cette technologie est utilisée par Kleline, elle est également intégrée dans les principaux systèmes de commerce électroniques du marché (Microsoft, Intershop, Oracle, iCat et Ilog).

Figure 1 Schéma général de la solution SG2-Payline adaptable au protocole S.E.T. de VISA/MASTERCARD.

cyberstr04.gif (38276 octets)

Le portefeuille virtuel

Une autre matérialisation des paiements électroniques est la création et l'utilisation d'un portefeuille électronique. Ainsi, Microsoft Wallet est un logiciel qui injecte des capacités de gestion commerciale dans Microsoft Windows® et Internet Explorer. Grâce à ce celui-ci les consommateurs peuvent à leur convenance et en toute sécurité effectuer des achats sur l'Internet. Avec Microsoft Wallet, pour acheter, il faut qu’existe un service (SSL) et que le consommateur ait "placé " dans son portefeuille électronique le ou les instruments de paiement supportés par ce service. Les extensions SET seront livrées avec la version 3.0 du MS Wallet. Globe ID dans sa version opérationnelle (version 1.2) dispose d’un WIM (Wallet Interface Module) qui est une forme propriétaire (spécifique à GlobeID) de portefeuille électronique (appelé Klebox chez KLEline). Dans sa prochaine version GlobeID utilisera les portefeuilles standards du marché et donc en premier lieu le MS Wallet en se contentant d’y ajouter des modules pour la prise en compte des services additionnels spécifiques du système GlobeID. De même il existe un portefeuille "cybercard" pour effectuer des paiements C-SET. Ce portefeuille gère la carte et le lecteur sur votre PC de consommateur une autre partie du logiciel gère le protocole C-SET ou prochainement e-COMM. Le MS Wallet (comme peut-être le futur Java Wallet) sont des logiciels " portefeuille électronique " assez génériques, bien intégré à Windows, offrant l'accès à divers modes de paiement en standard pouvant recevoir des "modules" additionnels pour traiter de nouveaux moyens de paiement dont C-SET, E-COMM et le "porte-monnaie" GlobeID pour les petits montants. Les consommateurs doivent avoir installé un portefeuille virtuel sur leur PC (automatique avec le futur version de Windows) et avoir lié une ou plusieurs cartes de crédit à ce dernier. Les numéros des cartes sont entrés de manière sécurisée une seule fois. Les transactions suivantes ne nécessitent alors plus la saisie de ces numéros. Donc une opération simple pour toute personne sachant utiliser un clavier !

Vers un standard

On peut dire que l'apparition des portefeuilles génériques correspond à une attente des consommateurs. Je ne pense pas être le seul à vouloir placer mes différentes "cartes", de l'argent liquide, mes formulaires de chèques dans une même pochette. Pouvoir payer en utilisant différents services disponibles à partir d’un logiciel unique est l’objectif recherché. Madame Monchu comprendra alors un peu mieux cette séquence technique, encore un peu complexe pour elle à ce stade de la vulgarisation de la technologie. Comme pour les Euros, lorsque la diffusion de ces outils sera générale alors le concept sera admissible pas un plus grand nombre d’utilisateurs. C’est pour cela que le Microsoft Wallet (le portefeuille électronique) fera partie des versions futures d'Internet Explorer et de Windows.

Les puces nous sauveront-elles ?

Le challenge des responsables de la sécurité est depuis de nombreuses années de garantir à vos clients que les numéros de cartes bancaires qu'ils vous transmettent, ne soient utilisés que pour l'acte d'achat en cours ? Comment traiter en ligne l'identification du porteur et l'acceptation de son paiement ? Comment obtenir une confirmation de l'organisme financier concerné ? Comment transmettre les données pour que le paiement soit comptabilisé au profit de votre entreprise ?

La généralisation de l'utilisation des cartes à puces pour les paiements en ligne est une solution recherchée par de nombreux acteurs du cyberespace. Un groupe de travail comprenant Bull, Gemplus, Hewlett-Packard, IBM , Microsoft, Schlumberger, Siemens Nixdorf Information Systems , Sun Microsystems, Toshiba, et Verifone. s'est attaché à définir les spécifications d'un standard. Celui-ci sera incorporé dans la prochaine version de Windows NT 5.0. Les fabricants de matériel s'activent de leur côté pour proposer des lecteurs de cartes incorporés au clavier (Key Tronic) ou comme unité attachée au PC.

La prévention interne

Tous les vendeurs de produits et services en ligne peuvent espérer être couverts à la fois par les organismes gestionnaires des cartes bancaires, et par la technologie mise en œuvre pour éviter des fraudes. Quelques mesures simples de protection peuvent aussi vous éviter les tracas liés aux refus de paiements :

bulletDemandez que l'on vous fournisse des informations complètes comprenant le numéro de téléphone, une adresse complète que vous pourrez éventuellement vérifier à l'aide d'une base de donnée interne ou externe.
bulletVérifiez systématiquement les transactions en provenance des systèmes de messagerie gratuite tel que @hotmail, @juno.com. Lorsque la personne n'est pas titulaire d'un compte chez un provider, il devient difficile d'identifier son identité.
bulletAssurez-vous que le nom de domaine existe bien dans la zone géographique du demandeur en vous assurant de l'existence d'un site web.
bulletN'hésitez pas à appeler le numéro de téléphone mentionné et de confirmer, avant traitement, la transaction par email.
bulletUtilisez les fonctionnalités offertes par HTML (HTTP_USER_AGENT et REMOTE_ADDR) pour identifier l'adresse IP de votre interlocuteur.
bulletN'oubliez pas que la grande majorité de vos correspondants reviendront. Il peut donc être utile et agréable de conserver leurs données pour faciliter et vérifier leurs transactions futures. Nous entrons là dans le domaine du marketing 1to1.
bulletEnfin n'oubliez pas que toutes les transactions ne demandent pas un paiement en ligne.

Des logiciels "anti fraudes" peuvent également vous aider à automatiser ces tâches. Nous avons retenu l'offre de Cybersource et son module IVSTM fraud protection. En utilisant une centaine de règles d'un système expert, les transactions sont vérifiées, analysées, de même que la cohérence des différentes adresses obtenues (IP, email, type de navigateur, adresses physiques,…).

Toutes les transactions du commerce électronique ne demandent pas un paiement en ligne !

L'exemple du restaurant parisien Yin et Yang est intéressant car il enregistre simplement les commandes sur son site. La livraison et le paiement se font à domicile. Comme quoi il est possible, dans certains cas, de contourner le problème du risque lié aux paiements en ligne. D’autres commerçants futés utilisent une procédure très simple (trop simple) pour valider ses achats en ligne : introduire dans un terminal commerçant (que nous leur ont, sans plus de formalité, accordés leur banque) le numéro de carte et la date de validité que lui font parvenir leurs clients (souvent étrangers, majoritairement américains). La banque prend la précaution officielle de leur demander de ne pas faire circuler ces informations par le réseau (par mail). Dans les faits, elle n’a bien sûr aucun moyen de s'en assurer. Et de fait, toutes ces informations circulent par le biais du courrier électronique, sans que les clients ne s'inquiètent jamais d'un hypothétique piratage, qui restent des phénomènes d’exception.

horizontal rule

Précédente Remonter Suivante

© CYBERSTRAT 2007

Le site "Cyberstrat" est animé par Jean-Claude MORAND, auteur de plusieurs ouvrages traitant du marketing et d'internet. Ce site a reçu le n° 608522 délivré par la CNIL en application de l'article 16 de la loi du 6/01/1978. Pour nous contacter, veuillez suivre ce lien . CYBERSTRAT ® est une marque déposée par Jean-Claude MORAND.