Pas de chèque en blanc pour le paiement en ligne
Les consommateurs se méfient toujours de l'achat en ligne. De nouvelles technologies tentent d'éviter aux internautes d'avoir à fournir leur numéro de carte bancaire sur le Net. Paiements ultra sécurisés ou monnaie virtuelle font un tabac aux Etats-Unis. Mais, parmi la myriade de solutions possibles, il est bien difficile de dire celle qui se généralisera.
Le Web, piège à carte ? Les dernières affaires, hautement médiatisées, ont
accru la défiance des consommateurs, déjà peu enclins à laisser traîner leur
numéro de carte bancaire sur le réseau mondial. La dernière en date : l'affaire
Bibliofind. Cette filiale d'Amazon aux Etats-Unis a dû reconnaître une faille
informatique qui a permis à des pirates de récupérer 98 000 numéros de cartes
de paiement... Dans son étude "La confiance, principal défi pour le commerce en
ligne"*, l'association pour le commerce et les services en ligne (ACSEL) ne dit
pas autre chose : "Les craintes envers la communication d'un numéro de carte
bancaire sur l'Internet ou de l'usage qui en sera fait par le commerçant,
apparaissent, en effet, systématiquement au premier et au second rang des
facteurs de défiance des consommateurs." Pour l'heure, aucun chiffre ne recense
spécifiquement la fraude liée au paiement par Carte Bleue sur le Net. Le
groupement Visa International indique, de son côté, que, pour un volume de
transactions par carte sur Internet de 1,3 % du volume total en Europe, 0,69 %
d'entre elles sont litigieuses. Un chiffre à comparer au taux global de fraude
dans le système CB en France, estimé à 0,026 % du montant total des paiements
Carte Bleue (chiffres GIE-CB).
Menace sur le stockage des données
Si danger il y a, il vient moins du problème de faire
transiter son numéro de carte bancaire sur Internet que de le voir stocker dans
des bases de données dont la prétendue inviolabilité a fait long feu. « La
transmission des données est relativement protégée aujourd'hui. C'est leur
stockage chez les cyber-commerçants qui pose de réels problèmes », explique
Joël Rivière, ex patron du département informatique de l'Institut de recherches
criminelles de la Gendarmerie Nationale et fondateur de Lexsi, un cabinet de
conseil et d'audit en sécurité informatique. Son ancien collègue, le Maréchal
des Logis Allard précise de son côté : « On a aujourd'hui affaire à des
"crackers", de petits arnaqueurs qui bidouillent l'informatique grâce à des
programmes qu'ils récupèrent sur le Web. Eux s'intéressent surtout aux fichiers
des PME-PMI qui, faute de protection, sont très faciles à pénétrer. » Et là, ça
vire au cauchemar. Dans une étude récente, le CSI (Computer Security Institute)
et le FBI s'alarment de l'augmentation des actes de piratage visant les
sociétés. En 2001, 64 % des entreprises interrogées reconnaissent que leur
système informatique a été utilisé de façon non autorisée. Une hausse
spectaculaire à mettre en rapport avec les 42 % d'intrusions signalées en 1996.
Le vol d'informations et de données figurant bien sûr en tête de liste des
actes référencés. C'est d'ailleurs pour répondre « à [ces] usages dévoyés »,
comme le note Daniel Vaillant, le ministre de l'intérieur, qu'a été inauguré,
le 1er octobre dernier, le nouvel Office central de lutte contre la criminalité
liée aux technologies de l'information et de la communication (OCLCTIC.) Les
expériences telles Cyber comm ou celle de CB sur téléphone mobile n'ont jamais
dépassé le stade des balbutiements commerciaux. Parmi les solutions les plus
utilisées, la saisie des références bancaires sous protection SSL (Secure
Socket Layer) reste donc de mise.
Plate-forme de transactions et de stockage
La plate-forme sécurisée Ogone, en mode ASP, permet ainsi
au commerçant via l'achat d'une licence, dont l'activation coûte 2 000 francs,
d'assurer la sécurité de ses transactions et le stockage des informations
sensibles. Et ce, pour l'ensemble des paiements liés à la vente à distance. En
France, Bayardweb ou le serveur de Fnac direct l'ont d'ores et déjà adoptée.
Leur offre ? A les entendre, une panoplie de guerre. « Premier niveau usuel, la
transmission du numéro est codée en SSL 128 bits, explique son directeur
général, Harold Mechelynck. On peut lui adjoindre un cryptogramme visuel, le
CVC, ce numéro qui figure au dos de la CB et qui n'apparaît jamais sur les
tickets. C'est la garantie que le client possède bien sous ses yeux la carte.
Nous utilisons aussi le AAV, un procédé d'identification de l'adresse,
exclusivement mis en place chez American Express. On capture, en plus,
l'adresse IP de l'utilisateur : en cas de litige, le marchand pourra ainsi le
retrouver. » Surtout, Ogone ne se présente pas comme un intermédiaire bancaire.
C'est, avant tout, une solution technique qui sécurise la relation entre la
banque et le commerçant mais ne s'y immisce pas. Un cran au-dessus est le
projet Identrus, démarré en 1994 à l'instigation de Bankers Trust, une grande
banque américaine. Objectif ? Créer un réseau d'établissements financiers qui
garantiraient à leurs clients la sécurité des transactions sur Internet via la
création de certificats électroniques d'authentification. Assurer donc
l'authentification des transactions par le biais d'une notarisation
électronique en temps réel. L'initiative a été rejointe par 38 autres banques
dont certaines françaises comme BNP Paribas, le Crédit Agricole, la Société
Générale, et représente aujourd'hui 75 % de l'activité bancaire mondiale. Bill
Gates a, par ailleurs, annoncé un accord pour mettre à la disposition, dès
2002, dans le standard de Microsoft l'offre Identrus. Reste que ce modèle
mondial achoppe toujours sur les dispositions légales des pays concernés.
Des avatars en Europe
C'est du côté du "P to P", nouvel
anglicisme désignant les transactions entre particuliers ("person to person")
que viendra, peut-être, l'extase censément miracle. Le paiement électronique
voire le micro-paiement, entend substituer à la facturation par Carte Bleue,
une monnaie d'échanges virtuelle. Rien de bien sorcier : via l'envoi d'un
e-mail, un internaute en avertit un autre - tous deux toutefois possesseurs
d'un compte virtuel - de l'acceptation de la transaction. Cela lui permet
notamment de régler ses menus achats sur le Net, de participer à des enchères
ou de recevoir le montant gagné à un jeu de loterie... Aux Etats-Unis, ce type
de service, par paiements sécurisés, est en pleine expansion. Le leader
mondial, PayPal, compte 10 millions d'utilisateurs pour 10 millions de dollars
de chiffre d'affaires. Le tout générant quelque 200 000 transactions par jour.
Surtout, son système anti-fraude lui permet de se targuer d'un taux de rejet de
ses transactions de 0,07 % seulement. En France, Minute Pay, qui se lance à son
tour dans le paiement par e-mail, espère faire sa place au soleil. Financé par
BNP Paribas, à hauteur de 20 % et Chrysalead, Minute Pay est utilisé par les
clients de Banque Directe depuis août 2001. Et se positionne maintenant sur le
marché des paiements entre particuliers : en ouvrant un compte, le consommateur
peut régler ses transactions sur Internet jusqu'à un plafond de 5 000 F mensuel
et à concurrence de 2 500 F par achat. C'est sur les sites d'enchères, de
loteries ou les fournisseurs d'accès que Minute Pay pense se payer, via une
commission à chaque opération. Mais, pour Alain Pinto, inventeur des célèbres
"Crados" et autres "Pogs", aujourd'hui fondateur de Minute Pay, c'est aussi le
secteur du marketing direct qu'il vise : « Pour toutes les sociétés qui doivent
émettre des chèques de montant parfois dérisoire dans le cadre de bons de
réduction, nous sommes le prestataire idéal. » Le concept bute toutefois sur le
fait de représenter un énième tiers bancaire, entre le commerçant et le client.
Avec un problème de taille : posséder suffisamment de fonds propres pour, en
cas de charge back, assurer l'intégralité des demandes de remboursements. A
vouloir ainsi récupérer un morceau de l'Eldorado bancaire, certains s'y sont
proprement enlisés. C'est le cas de Qpass, référence américaine du
micro-paiement, qui ferme ses activités en Europe pour se recentrer sur ses
bureaux outre-Atlantique. Installé sur le vieux continent depuis seulement
octobre 2000, Qpass aura mis moins de 10 mois pour fermer son siège de Dublin
et ses bureaux régionaux européens. Une décision « hautement stratégique », aux
dires de Thérèse Wells, directrice marketing du groupe, qui ressemble à s'y
méprendre à un sauve qui peut. Même sentiment chez Blue Line, dont le fondateur
Abdallah Hitti a placé sa société en liquidation, vingt mois seulement après
avoir été lâché par le groupe BNP Paribas dans le développement de sa première
plate-forme de paiement sécurisé, Kleline. « Une crise de croissance », selon
le fondateur qui n'a, de fait, pas réussi à généraliser sa solution.
Solution de monétisation
Plus ambitieuse est la
solution de monétisation entre opérateurs et fournisseurs de contenus, NetToll,
développée par Enition, qui doit officiellement se déployer au premier semestre
2002 en Europe. Un concept d'autant plus intéressant qu'avec la chute des
budgets publicitaires, les sites cherchent désespérément une solution pour
monnayer leurs contenus. Selon l'étude Jupiter-MMXI, les tarifs des bannières
ont, en effet, chuté de plus de 30 % en Europe au premier semestre 2001 et il
resterait 60 % d'espaces publicitaires non vendus. Dans un premier temps, tout
ce qui touche le paiement à l'acte et en priorité l'achat de produits par
téléchargement est concerné (lecture d'un quotidien, consultation d'archives,
accès à des fonds d'images...). Enition espère ainsi rapidement essaimer : «
Nous avons la même approche que le Minitel, explique Stéphane Gérard, directeur
technique. Ce qui permet aux opérateurs et aux fournisseurs d'accès d'échanger
des unités de valeurs, des "jetons" sans que leur client ait une démarche
active de paiement. Si Reuter, qui teste notre pilote, conclut un accord avec
un ISP européen, les achats de son client se traduisent en unités de volume que
comptabilise une passerelle technique commune. A une date donnée, les deux
parties émettent un ticket de compensation et se facturent mutuellement. » Beau
laïus qui manque toutefois d'une démonstration tangible. Car le problème de
l'authentification de la transaction, et donc in fine de la répudiation
possible de l'opération, ne sont toujours pas résolus. « Sur certains sites
adultes, le client se voit offrir une gratuité d'accès pendant trois jours.
Au-delà, il aura la mauvaise surprise de découvrir sur son relevé bancaire ou
sa note de téléphone, que sa visite était surfacturée. D'où une accumulation de
contentieux : le client naturellement s'estimant lésé », explique le MDL Allard
de la Gendarmerie Nationale.
Les internautes sont-ils prêts à payer ?
Les internautes seront-ils d'accord pour payer une information
jusque là gratuite sur le Net ? « Non, affirme Marie-Christine Levet, ex
directrice pour la France de Lycos. Les deux fondements du Net sont l'aspect
communautaire et la gratuité de l'information. Aujourd'hui, il est trop tard
pour revenir en arrière. »** Le fiasco de Napster où le nombre de
téléchargements a chuté de près de 80 % depuis son passage au payant semble lui
donner raison. Pourtant, ils sont de plus en plus nombreux à tenter un retour
vers la réalité mercantile. Bayardweb, ainsi, a choisi de privilégier
l'abonnement : moyennant 4 euros (26, 24 F) mensuels, l'internaute accédera à
l'offre "famille", un portail communautaire et à l'un des sites du bouquet
(clicdapi.com, astrapi .com, phosphore.com, notretemps.com, croire.com). «
Notre stratégie commerciale s'appuie sur la conquête de l'abonnement. C'est le
meilleur moyen d'avoir un lien durable avec notre public. C'est aussi le moyen
de financer durablement la création du site », affirme Olivier Jay, directeur
général et gérant de Bayardweb, qui estime avoir jusqu'en 2006 pour assurer la
viabilité de son projet. Une stratégie qui se pose dans la continuité : « 90 %,
en effet, de la diffusion des magazines du groupe est réalisée par abonnement.
Ce qui pour la France représente 3 millions de personnes », précise cet ancien
responsable du mensuel Enjeux-les Echos. Un pari qu'il sait osé alors que
l'Internet marchand s'interroge sur sa survie. * ACSEL, "La confiance,
principal défi pour le commerce électronique", juin 2001. ** citée par Jacques
Henno, Idées reçues, Internet. Ed. Le cavalier bleu, 2001.
E-commerce : aucune donnée chiffrée de la fraude
Aux Etats-Unis, entre 22 et 28 millions de foyers américains ont dépensé de 30 à 65 milliards de dollars, selon les estimations, sur des sites marchands en l'an 2000. Un chiffre qui ne représente toutefois qu'1 % du total de la consommation des ménages. L'Europe, elle, deuxième marché du commerce électronique, accuse toujours du retard. Selon les estimations du cabinet Accenture, les achats des particuliers y représentent environ 8 milliards de dollars. Pour l'Hexagone, l'achat sur Internet est estimé à 4 milliards de francs. Aucun chiffre officiel, à l'heure actuelle, ne globalise la fraude sur Internet. L'escroquerie à la carte bancaire sur les sites marchands aurait pourtant avoisiné les 3 millions d'euros (20 millions de francs) en 2000. Au Centre national de lutte contre la délinquance de haute technologie de la Gendarmerie Nationale, 700 plaintes de particuliers seulement ont été enregistrées en 2000 pour des fraudes variant en moyenne de 100 à 300 F.
Une e-Carte Bleue pour l'achat en ligne
Le groupement Carte Bleue vient de mettre au point une Carte Bleue virtuelle dynamique baptisée, "e-carte bleue". Elle se veut d'une utilisation simple pour l'acquéreur potentiel : après s'être inscrit auprès de sa banque - et ainsi recevoir un identifiant et un mot de passe, l'acheteur télécharge un logiciel pour se mettre en relation avec sa banque. Apparaît alors un icône permanent CB sur son poste qu'il active lors de ses achats. Lorsque le client pénètre dans la zone de transaction du site, sa banque lui fournit un numéro de carte virtuelle qu'il n'a plus qu'à inscrire dans le formulaire du site marchand. Seul donc ce numéro à 16 chiffres circulera sur la Toile.