EcommerceMag.fr Le média du retail connecté

- Retail
- Marketing
- Logistique
- Data room
- Techno & UX
- Talents
- Paiements
- Ecommerce Green
- Actualités
- Ecommercemag TV
- Dossiers
- Glossaire
- Méthodologie
- Fiches pratiques
- Événements
- Livres blancs
- Webinars

La sécurité des paiements, une lutte globale

Publié par Stéphanie Marius le 19 déc. 2016

Lecture
5 min

Imprimer

Le taux d'équipement des commerçants demeure satisfaisant en France

Mais à ce jour, "66 % des commerçants en ligne disposent d'un contrat permettant l'acceptation de paiements avec déclenchement d'une authentification renforcée" , selon le rapport de l'Observatoire de la sécurité des cartes de paiement. Le 3D Secure, "authentification du porteur [de carte] par l'émetteur de la carte [la banque] via l'envoi d'un SMS d'un code à usage unique" , selon la définition de l'Observatoire, est adopté par environ 90 % des grands acteurs comme des petites structures. L'appropriation de ce dispositif (qui concerne 35 % des transactions) par les particuliers a permis de faire baisser le taux d'échec des transactions authentifiées par ce biais (11 % en 2016, contre 20 % en 2011).

"Le risque zéro n'existe pas." (Pierre Chassigneux, GIE Cartes Bancaires)

En parallèle, les sites ont adopté le protocole sécurisé https, sous l'influence de Google qui, depuis 2014, les référence mieux. Google pousse ainsi le protocole (même si l'impact n'est pas énorme sur le SEO). "Cela renforce surtout la confiance des internautes envers le site. Quoiqu'il arrive, les pages de paiement sont en https", affirme Philippe de Passorio (Adyen). Pourtant, devant la capacité d'adaptation extraordinaire des hackers et le développement d'un business lucratif de revente des coordonnées bancaires sur les plateformes du dark Web, notamment via Tor, "le risque zéro n'existe pas", assure Pierre Chassigneux, directeur des projets et des risques CB du GIE Cartes Bancaires (organisme privé regroupant les banques dans le but de permettre l'interbancarité des paiements).

Fraudeurs professionnels et amateurs

Si les fraudes s'intensifient plus particulièrement hors de l'Hexagone, la nature des attaques ne varie pas d'un pays à l'autre. L'Internet des objets est un nouveau sujet d'inquiétude, pourtant, "peu d'incidents de sécurité ont impliqué des systèmes machine-à-machine", selon le rapport d'enquête 2015 sur les compromissions de données établi par Verizon. Une donnée à remettre en question suite à l'attaque de Dyn le 21 octobre ? "Les techniques de piratage évoluent et disparaissent de façon extrêmement rapide", affirme Nabil Naimy (HiPay).

Au sein des logiciels criminels et du cyberespionnage mentionnés par Verizon figure notamment le phishing, la mise en place d'une fausse plateforme imitant celle d'un e-commerçant connu et destinée à récupérer les données des internautes. Autre technique privilégiée : les malwares, des logiciels installés à l'insu des internautes sur leur ordinateur ou leur mobile.

Les vols massifs, très médiatisés (vol de données dans les groupes hôteliers Starwood, Hilton, Hyatt, vol des données de 730 000 comptes bancaires de la banque Stanley Morgan...) reposent sur des malwares ou des hacking de bases de données. "Dans certaines conditions, les fraudeurs peuvent récupérer des numéros de cartes complets, y compris le cryptogramme visuel et la date de fin de validité de la carte", indique Pierre Chassigneux, (GIE Cartes Bancaires). Les outils de capture d'adresse IP et de cassage de clé WPA, tels qu'Aircrack-ng, ou les sniffers de réseau Wireshark (analyseur de protocole réseau, capture des paquets IP et filtre les données en fonction de critères prédéfinis), sont également utilisés.

"Il ne faut pas oublier qu'une partie des fraudes provient de litiges commerciaux", précise Nabil Naimy (HiPay). "Ainsi en est-il des acheteurs compulsifs, du chargeback [dénonciation d'un mouvement frauduleux auprès de la banque, NDLR] déguisé en fraude. De même, certains fraudeurs volent des cartes étrangères pour avoir accès à un service non disponible dans leur pays."

Zoom - Les solutions à identification forte se développent

En complément du scoring et des cartes virtuelles, les solutions d'identification forte biométriques s'avèrent prometteuses. Le système Talk to Pay, développée par la start-up du même nom (filiale de PwC Consultants), par exemple, propose d'identifier le client grâce à sa voix. Lorsque ce dernier effectue un achat à distance, il reçoit un appel automatique sur son mobile avant de remplir le formulaire de paiement. Il prononce alors une phrase destinée à l'authentifier. La solution Talk to Pay remplit alors le formulaire en générant un cryptogramme aléatoire, de façon à ce que les coordonnées bancaires du consommateur n'apparaissent pas. Lancée dans le courant de l'été auprès des clients de la Banque Postale, la solution fonctionne auprès de tous les sites marchands.

D'autres solutions d'identification biométriques (pas encore certifiées par GIE Cartes Bancaires) existent, notamment via les empreintes digitales. Ainsi, pour compléter son dispositif de sécurité, le Crédit Mutuel Arkéa a mis en place une solution de "mobile enrôlé" pour accéder aux services de paiement en mobilité comme Paylib : "Pour un client, si quelqu'un tente d'accéder à ses comptes via un mobile autre que celui qu'il a enrôlé, l'accès lui sera refusé, explique Jean-Luc Dubois. Cette solution va être généralisée ce trimestre pour accéder aux autres fonctions disponibles en mobilité."

Inscrivez-vous à la Newsletter pour recevoir les dernières actualités

Abonnez-vous à Ecommerce Magazine et profitez de contenus exclusifs !