Le paiement, entre sécurisation et fluidité du parcours

Si l'année 2020 s'annonce bousculée pour les acteurs du retail, un secteur ne connaît pas la crise, celui de la fraude en ligne. En effet, 28% des internautes affirment avoir été confrontés à une usurpation d'identité, le piratage bancaire connaît une hausse de 20% entre 2013 et 2020, tandis que l'usurpation d'identité enregistre une croissance de 10% sur la même période en France⁽¹⁾. Au niveau mondial, la tendance se confirme. L'éditeur américain Forter, spécialisé dans la vente de solutions de protection, estime que les pratiques frauduleuses ont crû de 19% entre les deuxièmes semestres 2018 et 2019. Le montant des sommes concernées donne le vertige: il serait multiplié par trois durant cette période.

"Les méthodes des criminels sont de plus en plus ciblées et pertinentes, ce qui explique leur impact plus important en termes de valeur", précise Yann Aubry, vice-président EMEA sales de Forter.

Quels sont les zones et moyens de paiement à risque?

En réponse, les acteurs du paiement s'organisent, notamment via un ciblage plus fin des attaques et des profils de commandes. L'idée reçue concernant le risque de certaines zones géographiques est à nuancer, selon Christophe Auberger, cybersecurity envangelist France de Fortinet, éditeur de logiciels de cybersécurité: "Il existe des zones plus propices à la génération de spams, d'autres plus souples pour l'installation de centres de commandes, mais la notion de territoire géographique a peu de sens et il ne faut pas associer un niveau de confiance à une zone particulière." De même, tous les secteurs économiques sont touchés.

Une analyse partagée par William Ben Chemouil, CEO d'Oneytrust, spécialisé dans le profilage digital: "En termes de localisation géographique, il est très difficile de se prononcer, car nous ne disposons que rarement des véritables informations. Un hacker peut faire rebondir son adresse IP à 6 ou 7 endroits différents." Le dirigeant estime que le commerce transfrontalier demeure plus risqué que le commerce domestique, mais attribue également le danger à la multiplication des moyens de paiements étrangers, sur lesquels les marchands sont moins experts. "Il importe donc de réaliser l'analyse de risque avant l'étape du paiement?", tranche-t-il.

L'analyse des risques en fonction des moyens de paiement fait ressortir une domination de la fraude à la "carte non présente" (lorsqu'un fraudeur tente d'effectuer une transaction frauduleuse sans détenir la carte physique). "Cependant, ces dernières années, nous observons une baisse régulière de ce type de fraude, au profit de schémas plus sophistiqués, tels que la fraude d'identité et la fraude par carte volée", expliquent les équipes techniques de la plateforme de paiement Adyen.

Selon l'acteur néerlandais, au niveau mondial, la multiplication des cyberattaques entraîne davantage d'informations d'identification des utilisateurs compromises, et ainsi une hausse des abus de paiement par carte. De même, il existe également une augmentation de la fraude amicale (où le client légitime prétend ne pas reconnaître les frais dans son relevé de carte de crédit), entraînant des impayés élevés pour les retailers.

L'authentification forte, un chantier toujours en cours

La question de la sécurisation des paiements, liée à l'entrée en application de la DSP2, demeure en suspens en raison de la crise sanitaire: les deux volets liés à l'abandon du SMS OTP (validation du paiement par un SMS, autrement appelée 3D Secure) et à la bascule des infrastructures des acteurs, sont toujours en cours d'achèvement. La plupart des émetteurs de l'Espace économique européen / AELE (Association européenne de libre-échange) peut continuer à proposer le SMS OTP comme méthode d'authentification, car il était facilement disponible sur le protocole précédent, "3D Secure 1".

"Nous pouvons prévoir que certaines banques commenceront à tirer parti de nouvelles méthodes d'authentification, telles que l'OOB (Out-of-band, ou réseau secondaire) ou la biométrie, qui devraient se déployer avec la dernière version du protocole 3D Secure 2", précise l'équipe d'Adyen.

Par ailleurs, l'exemption à l'authentification forte concernant les "bénéficiaires de confiance" (clients réguliers d'un marchand, notamment), très attendue, n'est pas encore totalement opérationnelle. Le système fonctionne sur navigateur et non lorsque le consommateur utilise une application. Cette exemption devrait être plus largement utilisée à partir du troisième trimestre 2020.

Si elle est unanimement saluée pour sa capacité à faire baisser le taux de transactions frauduleuses, l'authentification forte systématique du client rompt cependant la continuité du parcours client. En effet, les nouveaux systèmes d'authentification demeurent complexes: passer par son application bancaire pour réaliser un achat en ligne constitue une importante rupture du parcours. "La DSP2 a donné un cadre global: on ne laisse plus au marchand le choix de décider si la sécurité est importante, cela devient la responsabilité quasi-exclusive des banques, juge William Ben Chemouil (Oneytrust). Plus la banque met des barrières sécuritaires et plus son client se sent en confiance, mais c'est le même consommateur qui se plaint d'une rupture dans son achat. La sécurité ne doit pas aller à l'encontre du business."

Intensifier le scoring pour fluidifier le parcours d'achat

L'objectif des acteurs dédiés à la sécurité des paiements est donc la limitation du 3D Secure grâce à une évaluation précise des clients et des commandes, baptisée "scoring". Sont notamment étudiés le panier, l'adresse du client, l'empreinte machine (quel device est utilisé pour l'achat), l'adresse IP du consommateur. Ces informations, exploitables uniquement dans le cadre de la lutte contre la fraude, offrent une vue plus complète aux e-commerçants et aux prestataires de paiement. Auparavant, la détermination d'une validation 3D Secure dépendait uniquement du montant de la commande. Certains acteurs, à l'instar d'Oneytrust, mutualisent les données (avec l'autorisation de la Cnil) pour faire de la défense "multimarchand".

Cependant, le lien entre une cybersécurité accrue et la satisfaction des clients varie considérablement selon les régions. Le fait de ne pas utiliser le 3D Secure dans les pays nordiques, au Royaume-Uni et en Inde peut entraîner une méfiance immédiate de la part du client car, c'est devenu la norme, indique Adyen. Aux États-Unis, le 3DS peut entraîner une expérience ou un niveau de satisfaction différent, car elle n'est pas encore aussi courante. "La DSP2 a bouleversé le marché en imposant des systèmes plutôt attachés aux techniques de paiement [paiement via une application bancaire, authentification biométrique...], explique William Ben Chemouil (Oneytrust). Les acteurs du paiement ont absorbé la chaîne de valeur sur cette partie, laissant une place là où nous nous sommes positionnés [le scoring], car le problème de la fraude n'est pas limité au problème du paiement. L'évolution de la réglementation a transformé le service de la sécurité en commodité. Il y a donc une grande pression sur les prix."

La valeur regénérée par les acteurs spécialisés dans la sécurité des paiements est donc liée à leur capacité à gérer les nouveaux risques: usurpations, abus de confiance ou abus de faiblesse, notamment. En effet, "le phishing ne s'est jamais arrêté alors qu'il existe depuis dix ans des communications sur le sujet. Ces attaques se perfectionnent et deviennent plus subtiles", complète le dirigeant. Ainsi, Oneytrust possède sa propre cellule de veille dédiée à l'accompagnement des e-marchands sur la gestion des risques liés aux activités illicites sur le Darknet. Ses experts détectent, par exemple, les comptes usurpés mis en vente sur les plateformes illégales. De fait, le mode opératoire des hackers s'éloigne progressivement du paiement, puisque cette étape n'est plus le maillon faible de la transaction en termes de sécurité. Usurpation de comptes clients, réacheminement des colis deviennent les nouvelles cibles des fraudeurs.

(1) Source?: Baromètre de la confiance des Français dans le numérique, Acsel, février 2020.

"Il n'y a pas de solution unique dans un environnement en constante évolution"

Camille Bailleul, responsable du pôle marketing eBay France, réaffirme la nécessité pour les marketplaces de s'adapter en permanence dans leur lutte contre la fraude.

Quels sont les indicateurs à risque dans une commande?

Nous considérons comme indicateur à risque: un prix trop élevé, une note vendeur basse, des avis négatifs et les demandes de transactions hors plateforme. En cas de problème lors d'un achat, la "Garantie client eBay" permet aux acheteurs et vendeurs de communiquer et trouver une solution à leur litige. Le client peut être remboursé sous 48h s'il n'a pas reçu l'objet commandé, si l'objet reçu n'est pas conforme à la description ou encore si le remboursement d'un retour n'a pas été reçu.

Quels systèmes de protection avez-vous choisis pour assurer la sécurité de la plateforme?

Il n'y a pas de solution unique qui protège contre les menaces sophistiquées dans un environnement dynamique et en constante évolution. Nous appliquons plusieurs mesures physiques et politiques qui fonctionnent ensemble pour assurer la sécurité de nos systèmes.

Pouvez-vous revenir sur les différents types de fraude contre lesquels eBay a dû lutter plus particulièrement en 2019/2020?

Depuis la crise engendrée par le Covid-19, eBay a dû réaffirmer sa politique de lutte totale contre les prix abusifs. Nous nous sommes montrés intransigeants envers les vendeurs ne respectant pas ces règles. En effet, le 8 avril 2020, nous avons bloqué plus de 5 millions d'annonces qui enfreignaient notre règlement sur les prix abusifs mis en place dans le contexte de la crise sanitaire du Covid-19.