Sécurité des paiements: une préoccupation permanente

@ Fotolia / Frog

Au-delà de leur appétence naturelle pour l'e-commerce, les consommateurs ont désormais un regard critique et aiguisé pour choisir les sites sur lesquels ils vont acheter.

Et en matière de réputation, la perception que peuvent avoir les internautes de la qualité de la sécurisation d'un site marchand se révèle souvent déterminante.

Si l'on peut considérer que le taux de fraude aux cartes bancaires en ligne demeure aujourd'hui minime, en pourcentage du volume de transactions, il représente néanmoins un manque à gagner non négligeable pour l'e-commerce.

Ainsi, selon l'Observatoire de la sécurité des cartes de paiement, publié par la Banque de France, ce type de fraude représente 0,074 % des transactions réalisées en 2010, ce qui équivaut à la somme de 368,9 millions d'euros! Actuellement, pas moins de 62 % des infractions constatées concernent les paiements nationaux. Le montant de la fraude est évalué à 101,1 millions d'euros, quand il n'est «que» de 36,2 millions d'euros pour les paiements aux points de vente et sur automates. Si ce type de fraude n'est plus véritablement un frein pour l'e-commerce, puisque les internautes savent qu'en cas de litiges ils seront remboursés par leur banque, le manque à gagner pour les e-marchands est considérable tant en termes de perte financière, qu'en termes de dégradation d'image. Il est donc primordial d'agir non seulement pour minorer la fraude, mais aussi pour mettre le consommateur en confiance.

La sécurité: Avant tout, un message à véhiculer...

Autrefois considérée comme un pôle de dépenses ou d'investissements, la sécurisation du site de vente en ligne est devenue un véritable centre de profit. L'enjeu consiste à sécuriser suffisamment les paiements pour dissuader les fraudeurs, rassurer les consommateurs et minimiser les risques de pertes financières pour les sites marchands. Mais il s'agit là d'un véritable travail d'équilibriste car tout doit concourir à la simplification du processus de paiement afin de ne pas impacter, en bout de chaîne, le volume total des ventes. Dès le début des années 2000, les tentatives d'organisation et de structuration des moyens de lutte contre la fraude ont fait leur apparition. La généralisation du cryptage SSL (Secure Socket Layer) a permis de limiter le vol de numéros de cartes lors des transferts de données bancaires entre l'acheteur, le vendeur et leurs banques respectives. L'ajout d'un cryptogramme de sécurité a permis d'endiguer la prolifération des générateurs frauduleux de numéros de cartes à 16 chiffres valides (qui suivent un algorithme bien particulier). Des organismes de certification proposent désormais l'affichage d'une barre verte au niveau du champ d'adresse du navigateur internet. «La présence de la barre verte permet d'indiquer au consommateur qu'il se trouve bien sur une zone de confiance», indique Radhouane Chabbi, account manager chez Keynectics. Autrefois, seule la présence d'un cadenas dans la barre d'état des navigateurs internet indiquait au consommateur qu'il se trouvait sur un espace sécurisé. «L'affichage de la barre verte est la manifestation d'une nouvelle gamme de certificats qui ne sont délivrés que si un certain nombre de critères sont respectés par le site de vente en ligne», explique Radhouane Chabbi. Véritable identité numérique, ce certificat SSLEV ne coûte que quelques centaines d'euros par an et s'adresse aussi bien à des sites majeurs de l'e-commerce français qu'à des auto-entrepreneurs soucieux de garantir des conditions de consommations optimales sur leur site. «Lorsque le certificat est délivré, Keynectics se porte garant du sérieux du site, nous n'agissons donc pas avec légèreté», confie Radhouane Chabbi. Agissant en tiers de confiance, Keynectics travaille autant avec les éditeurs de navigateurs internet qui intègrent le concept de la barre verte, qu'avec les e-commerçants qui doivent montrer patte blanche. Les vendeurs ont également limité le stockage de ces informations dans leurs bases de données, afin d'éviter les tentatives d'intrusion massives dans leurs plateformes d'e-commerce. Ce qui n'a cependant pas empêché le géant Sony de subir une attaque d'envergure et de se faire dérober des dizaines de milliers de numéros de cartes bancaires sur sa plateforme PlayStation Network, subissant une terrible dégradation de son image, aussi bien chez les professionnels qu'auprès du grand public.

Pour autant, et malgré toutes les initiatives possibles, «aucun système n'est véritablement sûr à 100%, explique Yannick Simon, directeur technique de Rueducommerce.com. Nous faisons tout pour que la confiance soit totale, mais cela reste le jeu du chat et de la souris... La sécurisation est une préoccupation permanente.» C'est pourquoi, lorsqu'un dispositif est mis en place, il est impératif de « le faire savoir aux internautes et de communiquer sur la confiance», confirme Radhouane Chabbi.

62 % des infractions constatées concernent les paiements nationaux.

3 questions à Jean-Philippe Fleury, p-dg de Materiel.net, spécialisé dans le matériel informatique

« La sécurité, c'est une culture d'entreprise qui s'étend de l'accès physique à nos locaux, jusqu'aux données les plus précieuses »


Avez-vous déjà été victime d'une attaque chez Materiel.net?
Oui, il faut bien reconnaître que nous avons déjà subi des assauts, notamment en provenance des pays de l'Est Fort heureusement, nous avons la chance d'avoir nous-mêmes développé notre système d'information, si bien qu'une fois qu'ils sont parvenus à pénétrer le système, les pirates n'ont pas pu trouver d'informations de valeur. C'est l'avantage par rapport à des systèmes très connus dont les faiblesses sont clairement identifiées et pour lesquelles on trouve presque des modes d'emploi pour frauder sur Internet!


Comment gérez-vous la sécurité au sein de materiel.net?
Nous avons un responsable de la sécurité des systèmes d'information. Nous avons donc autant investi dans des solutions techniques, que dans des moyens humains car il faut évidemment piloter les évolutions des outils techniques avec une certaine cohérence. Finalement, nous ne faisons pas de différence entre la sécurité des données, la sécurité de nos collaborateurs dans les entrepôts ou la sécurisation de nos stocks. C'est un tout indissociable, une culture d'entreprise. Les données relatives aux paiements sont évidemment les plus sécurisées, les mots de passe des clients sont cryptés. Nous réalisons également des audits internes, et missionnons des prestataires extérieurs comme HSC (http://www.hsc.fr/) ou LinkByNet (http://www.linkbynet.com) pour mettre régulièrement nos systèmes à l'épreuve depuis l'extérieur.


En quoi la sécurisation de votre site et la lutte contre les commandes frauduleuses sont-elles un enjeu majeur?
Nous sommes spécialisés dans le matériel informatique. Le panier moyen est plusieurs fois supérieur à celui de l'e-commerce traditionnel et, pour autant, nos marges sont très faibles. Concrètement, lorsque nous nous faisons dérober un PC portable, il faut en vendre plusieurs dizaines pour rattraper la perte. Nous luttons donc activement contre les fraudes avec une équipe dédiée, qui traque les anomalies, les commandes suspectes, sans pour autant limiter la fluidité du traitement des commandes. L'équipe se charge également de faire évoluer nos outils de traitement pour ajuster en permanence la taille du tamis.

Radhouane Chabbi, account manager chez Keynectis: «Pour que la sécurité soit porteuse de business, il faut savoir communiquer en mettant en avant les efforts qui sont consentis pour protéger le consommateur.»

3 question à Yannick Simon, directeur technique de Rueducommerce.com

«Il n'existe pas de petite vulnérabilité, la sécurité est un état d'esprit avant tout»
Rueducommerce est-il un site particulièrement exposé aux fraudes et aux attaques?
Nous subissons au quotidien un lot de tentatives de fraude que connaît tout site marchand qui a un rayonnement comme celui de Rueducommerce.com. Ces attaques ne sont pas seulement liées aux commandes frauduleuses dont nous ne sommes pas davantage victimes que nos confrères. Quant aux attaques sur notre système d'information en lui-même, je pense que nous en subissons environ une par semaine, mais au vu du nombre de visites que nous recevons quotidiennement, cela n'a rien d'alarmant...


Avez-vous souvenir d'une attaque particulièrement virulente contre Rueducommerce?
Depuis 2000, nous n'avons pas subi d'attaque majeure. Mais je me souviens qu'en 1999, nous avions connu deux alertes fortes. Un pirate informatique avait alors déposé une page sur notre site en envoyant une image d'un drapeau pirate. A l'époque, nous avions déjà pris la chose au sérieux et avions tout fait pour retrouver l'adresse IP du pirate - c'était alors plus difficile qu'aujourd'hui! -, et nous avions déposé une plainte. Quelques mois plus tard, nous subissions une deuxième attaque et, cette fois, le pirate avait réclamé que nous l'aidions à avoir une promotion dans l'entreprise où il travaillait pour nous dévoiler la faille qu'il exploitait. Au bout du compte, les deux attaques émanaient de la même personne qui a été condamnée et qui n'a pas vraiment nui à Rueducommerce. Cependant, depuis, je suis particulièrement attentif et vigilant sur toutes ces questions!


Comment est structurée la sécurité chez Rueducommerce.com?
Tout d'abord nous avons une cellule dédiée à ces problématiques. Pour lutter contre les commandes frauduleuses, nous nous en remettons à nos équipes qui en ont une grande habitude et détectent rapidement les anomalies. Nous ne stockons aucun numéro de carte bancaire et tous les échanges sur le site sont cryptés. Nous utilisons un VPN (réseau privé virtuel) et ne disposons pas d'hébergement mutualisé. Enfin, toutes les tentatives d'intrusions sont monitorées et nous remontons systématiquement à la source des attaques. Par ailleurs, nous échangeons souvent des informations avec nos confrères et concurrents lorsque des attaques massives interviennent!

Sécuriser sans alourdir le processus d'achat

En France, c'est sans conteste le paiement par carte bancaire qui règne en maître sur les transactions en ligne. «La carte bancaire est le moyen le plus rapide pour le commerçant de recevoir son argent, c'est aussi le moins onéreux mais elle pose des problèmes de sécurité», explique Yann Piederrière, consultant en sécurité des systèmes d'information pour Provadys. En effet, en cas de fraude, de litige, le commerçant seul en supporte le poids. «Il arrive plus fréquemment qu'on ne l'imagine, que des internautes passent commande pour des tiers en leur accordant leur confiance un peu vite, explique Yannick Simon pour Rueducommerce.com. Et dans ce cas, nous nous retournons automatiquement vers eux, car ils sont les seuls contacts que nous ayons pour compenser la perte financière que ces commandes représentent.»

Même si aujourd'hui, le protocole 3D-Secure a permis un transfert de responsabilité, bon nombre de sites marchands considèrent ce protocole de sécurisation (qui repose sur l'envoi d'un code de confirmation additionnel via un SMS ou par la saisie d'une date de naissance) comme un frein à l'achat. Décrié depuis qu'il est entré en vigueur, le protocole 3 D Secure ne génère pas un taux d'abandon aussi élevé que l'on a pu longtemps le penser. Ainsi, selon Patrick Flamant, country manager d'Ogone France, qui s'appuie sur une étude diligentée par l'entreprise, il apparaît «que le taux d'échec d'authentification que nous avons mesuré est de 16,9 % et le taux de fraude d'environ 1 %». Pour ce spécialiste, une grande partie des transactions échouées est réitérée un peu plus tard par les internautes, soit après avoir récupéré l'information d'identification, soit après avoir appelé leur banque pour obtenir des explications. «3D Secure donne de bons résultats, mais la politique de conduite du changement menée par les banques a occasionné beaucoup d'incompréhension... », indique Patrick Flamant.

Quand le m-commerce complique la donne...

La consommation via les smartphones est plus répandue que certains e-commerçants peuvent l'imaginer. Les analyses menées par Paypal ont révélé par exemple «que le site Showroomprive.com enregistrait 5% de ses ventes via les mobiles, alors que le site n'avait pas d'interface adaptée... », explique Olivier Binet responsable de l'innovation pour Paypal. Ce succès parfois mal maîtrisé de la consommation via les terminaux mobiles impacte elle aussi la sécurisation des paiements. Ainsi, pour des raisons d'ergonomie les achats réalisés via un smartphone sont plus aisés avec un système de «one click payment» qui repose sur une saisie une fois pour toutes des coordonnées bancaires.

Mais le stockage de ces données implique des techniques de sécurisation spécifiques. Il est donc nécessaire, de suivre au plus près l'évolution des usages pour adapter en permanence le niveau de sécurité qui s'applique sur le site internet. «Certaines erreurs, comme laisser la page d'identification en mode non sécurisé, sont finalement très graves car il est facile, surtout lorsque le consommateur utilise un smartphone, de capter les identifiants qui sont saisis», précise Radhouane Chabbi pour Keynectics. Dès lors, l'initiative commune d'Orange, SFR, Bouygues Telecom et Atos, baptisée Buyster (née en avril 2011), qui n'est rien moins qu'un compte crédité par l'utilisateur via son téléphone mobile pour régler ses commandes en ligne, viendra peut-être mettre tout le monde d'accord.

Sécurisation à tous les étages...

Pour autant, même si un site marchand a pris soin de déployer des solutions de sécurisation a priori efficaces, « il faut considérer que la sécurité n'est jamais véritablement acquise», estime Renaud Bidou, directeur R&D pour DenyAll, spécialisée dans la sécurité informatique.

Le spécialiste explique ainsi qu'un travail permanent de veille sur l'intégrité de la base de données doit être effectué. «Il existe des requêtes SQL (des commandes qui permettent d'accéder à des informations clé dans les bases de données) qui peuvent être lancées depuis le moteur de recherche d'un site pour détecter les vulnérabilités et, pourquoi pas, accéder au fichier clients et capter les coordonnées bancaires ou passer des commandes frauduleuses », précise Renaud Bidou. Même s'il ne faut pas sombrer dans la paranoïa, se doter d'un système qui verrouille autant que possible le site de vente en ligne en vue de préserver l'intégrité des bases de données client, des bases de données produits et des plateformes de paiement est un prérequis indispensable sans lequel la pérennisation de l'activité est impossible.

La réalisation d'un audit complet de l'intégralité du code HTML de la boutique virtuelle pour en déceler les faiblesses à intervalle régulier est encore la meilleure solution. Mais il faut être réaliste et cette opération est hors de portée de la plupart des acteurs, aussi bien en termes de budget que de délais de réalisation. « Les e-commerçants peuvent régulièrement mettre leur site à l'épreuve manuellement, en tentant des attaques par SQL injection par exemple », conclut le spécialiste. Une démarche que réalise régulièrement le directeur technique de Rueducommerce.com avec ses équipes. « Notre plan de sécurisation prend en compte l'exploitation de failles de sécurité basiques. Il nous alerte lorsque des requêtes SQL sont ajoutées dans les URL et nous n'hésitons pas à remonter la piste de ceux qui s'y essaient », confie Yannick Simon. Les personnes mal intentionnées, ajoutent ainsi à la suite des adresses URL d'un produit des commandes d'interrogation de bases de données. Quand la base est insuffisamment verrouillée ou que des vulnérabilités existent sur le système d'information, ils peuvent alors accéder à des données stratégiques sur le serveur.

Des alternatives à la carte bancaire?

La principale difficulté consiste à trouver des alternatives au paiement par carte bancaire, sans négliger le fait que ce dernier représente environ 80 % des commandes qui sont passées sur Internet. L'acteur historique Paypal est désormais concurrencé par Google Checkout qui évite au consommateur de multiplier la saisie de ses coordonnées bancaires en les confiant une fois pour toutes aux tiers de confiance, ce qui déporte le poids de la fraude sur ce tiers. Certains établissements de paiement tels que Limonetik ou Cards-Off se chargent également de réaliser la transaction par carte bancaire à la place du site marchand. L'acheteur n'a alors pas 'à saisir ses coordonnées bancaires pour conclure la transaction. La plupart du temps, ces solutions s'inscrivent dans la logique de simplification du processus d'achat, un élément-clé de satisfaction des internautes. Patrick Flamant country manager d'Ogone France, explique croire « beaucoup au concept de «one click payment». Il se révèle très fidélisant car l'internaute ne saisit qu'une fois ses coordonnées bancaires. Lorsqu'il s'est acquitté de cette tâche, il revient naturellement ». Pour autant, cela oblige le commerçant à prendre ses responsabilités concernant la mise en sécurité drastique des informations nécessairement stockées sur des serveurs qu'il faut prémunir contre toutes les attaques possibles!

Mélodie Laperdrix responsable marketing de Codespromotion.fr: « Notre modèle économique nous met, a priori, à l'abri des attaques de hackers. »

Codespromotion.fr ne badine pas avec la sécurité

Le site, bien que simple intermédiaire entre sites marchands et internautes, a déployé une politique de sélection de son réseau de partenaires sur des critères liés à la sécurité. Fonctionnant comme un compilateur de bonnes affaires disponibles sur Internet, Codespromotion.fr se trouve dans une situation parfois inconfortable. « Notre modèle économique nous met a priori à l'abri des attaques de hackers, explique Mélodie Laperdrix responsable marketing de Codespromotion.fr. Mais lorsqu'un internaute rencontre un problème sur un site marchand sur lequel il a consommé par notre intermédiaire, il se retourne automatiquement vers nous! » Une position d'autant plus inconfortable que Codespromotion.fr ne dispose pas d'espace sécurisé sur son site, puisqu'aucune transaction n'est possible sur ses pages. « Nous sommes, par conséquent, extrêmement vigilants sur la sélection des offres que nous relayons car mettre en contact les 200 000 abonnés de nos listes de diffusions avec des sites marchands nous expose inévitablement. »
Le site est d'autant sensible aux questions de sécurisation que son pendant américain a connu en juin 2011 une attaque DDOS (NDLR: attaque par déni de service. Les pirates utilisent un réseau de machines qui se connectent toutes au même moment sur le site vidé pour saturer les serveurs) qui a surchargé les serveurs et conduit à une indisponibilité du portail durant plusieurs heures. « Le manque à gagner est considérable pour une marque, d'autant que lorsqu'un serveur tombe, cela peut dégrader l'image de l'enseigne et nuire considérablement à notre réputation sur le long terme », poursuit Mélodie Laperdrix. Dénombrant une quinzaine de plaintes sérieuses par mois, codespromotion.fr a mis un dispositif de vérification et d'enquête pour tracer les irrégularités qui pourraient être constatées et bannir de sa base de données les e-marchands les moins bien armés contre la fraude.