Plus de peur que de mal

Les chiffres sur les fraudes dans le e-commerce : voilà un vrai sujet tabou. Le Groupement des Cartes Bancaires se mure dans le silence en expliquant qu'il est difficile de discerner les fraudes des incidents et des problèmes non recensés. Et, comme l'indique Jean-Pierre Buthion, chargé de mission au Groupement des Cartes Bancaires "CB" et vice-président de l'Acsel (Association pour le commerce et les services en ligne), « près de 4 milliards d'opérations sont effectuées chaque année avec des cartes bancaires et la vente à distance représente 3 % des transactions ». Or, on trouve dans ces 3 % aussi bien le e-commerce que la VPC ou des compléments de paiement pour des hôtels ou des locations de voiture. « Et il n'est pas utile de faire peur aux gens, alors que les incidents sont mineurs, même si toutes les sécurités n'existent pas. » Au ministère de l'Intérieur et à sa nouvelle cellule spécialisée, l'OCLCTIC (Office central de la lutte contre la criminalité liée aux technologies de l'information et de la communication), le résultat sera identique avec un langage proche de la carpe. Heureusement, certains spécialistes de la sécurité sont un peu plus loquaces. « La fraude est très variable d'un business à l'autre. Si les fraudes sont nombreuses sur les sites pour adultes, il y a peu de contestation..., explique Thierry Pierson, directeur général de la société Ogone, spécialiste des solutions de paiement sécurisé pour les transactions à distance. Au début, les gens faisaient n'importe quoi. Depuis, les problèmes ont été résolus. Aujourd'hui, il est moins dangereux d'utiliser sa carte bancaire sur Internet que dans un restaurant. » D'ailleurs, les derniers cas de fraude enregistrés proviendraient du personnel de restaurants ou de commerces, qui auraient recopié des numéros de carte bancaires à partir des facturettes. Heureusement, les numéros ne sont plus que partiels dans la quasi-totalité des DAB et des commerces. Mais il existe des sites avec des listes de vrais faux numéros de cartes. Chez Fia-Net, assureur de 1 200 sites marchands, on estime les fraudes avec le numéro de carte bancaire à 0,2 ou 0,3 %. Mais David Botvinik, directeur général, pense « que les tentatives sont cinq à dix fois plus nombreuses » (voir encadré p. 62). Pour Thierry Trompette, expert en fraude informatique et auditeur de WebTrust, « les problèmes de sécurité se trouvent essentiellement dans l'interface entre le front office e-commerce et le back-office de gestion. Beaucoup de sociétés ont un front-office efficace, mais il existe des problèmes sur le back-office, notamment avec des commandes qui ne basculent pas ou avec des anomalies. Autre point sensible : il n'y a pas de sécurisation SSL, ni au départ, ni à l'arrivée. » Mais les fraudes au niveau des transactions semblent tout de même relativement limitées et, comme le dit Cyril Autant, directeur du pôle intégration chez Thales Secure Solutions, « ce qui compte, c'est d'augmenter son chiffre d'affaires sur Internet, quitte à supporter 1 % de fraudes. » Quant à Jérôme Wirth, P-dg de Beweb, il critique Visa qui ne demande pas d'autorisation au premier franc contrairement à son système Securipay. « Visa s'en prend aux banques, qui s'attaquent ensuite aux marchands. Elles suppriment sans cesse des autorisations. » Toujours, selon cette société, on enregistre 5 % de contestations, dont la moitié sont des demandes d'annulation. Mais tout le monde s'accorde pour affirmer que le marchand est pris "entre le marteau et l'enclume". Il subit les pénalités des banques, la suppression des contrats de vente à distance alors que le client lui peut se faire rembourser. La loi de novembre 2001 (loi sur la sécurité quotidienne) oblige à recréditer intégralement tout porteur de carte. Elle concerne toutes les ventes à distance sans utilisation de code confidentiel. Et Thierry Leblond, directeur de mission, audit et sécurité des systèmes d'information chez Ernst & Young, rappelle que « dix à vingt commerçants réalisent 80 % du chiffre d'affaires du e-commerce. Ces sites sont très bien équipés. Le problème provient de gens qui surgissent sans se préoccuper du paiement. Or, il faut l'intégrer dans les coûts. » Mais, à court terme, les solutions les plus efficaces ne sont pas forcément technologiques.

La sécurité informatique globale

Pour Jean-Pierre Buthion, « il est nécessaire de valoriser les bonnes pratiques et de promouvoir le sceau Labelsite. Il faut éviter que des gens travaillent à la petite semaine et s'inquiéter quand le taux d'impayés dépasse une certaine limite. » Il semble, en effet, que la première chose recommandée par les banques ou les associations de commerces comme l'Acsel ou la Fevad (Fédération des entreprises de vente à distance) soit de travailler ensemble et de respecter les préconisations, notamment celles de Labelsite. Ce dernier s'appuie sur un corps de 27 règles qui complètent et reprennent les règles déontologiques déjà applicables à la vente à distance. Mais ces bonnes pratiques ne suffisent sans doute pas. Pour proposer un site fiable, il est nécessaire de posséder un système informatique sécurisé avec tous les outils qui limitent les risques d'intrusion ou de piratage comme les firewalls. Il existe plusieurs sociétés spécialisées dans les audits et qui peuvent déceler les problèmes et les résoudre. C'est le cas de Thalès Secure Solutions. Cyril Autant explique que sa société « a une approche globale de la sécurité. Mais elle ne doit en aucun cas empêcher l'accès au site marchand. De même, il faut s'inscrire dans la durée. Dans certains cas, quand le site est sensible, il est possible de surveiller à distance. Il faut aussi envisager une panne ou un incendie et s'assurer que les données ne seront pas détruites, parce qu'un autre serveur peut prendre le relais.» En fait, ce prestataire propose de prendre en charge la globalité de la sécurité des systèmes d'information et d'en maintenir le niveau de sécurité. Les acteurs ne manquent pas dans ce secteur. Des sociétés comme Althès ou EDS sont également très présentes sur le marché de l'audit, de la protection de la surveillance et de la formation. Selon Thierry Trompette, « il faut faire des tests d'intrusion ou vérifier la fiabilité des firewalls. Mais la sécurité n'est pas une affaire de hardware et de software. C'est surtout un problème humain et organisationnel ». La démarche WebTrust repose sur un audit approfondi exercé par des experts comptables indépendants et spécialisés dans l'informatique, qui débouche sur un sceau remis en cause à chaque procédure d'informations trimestrielles. « L'audit de sécurité est très large. Il ne se limite pas aux firewalls. Il faut une coopération complète des personnels de l'entreprise. Généralement, on fait plutôt parler les gens, pour qu'ils communiquent mieux. » Si le système informatique est régulièrement audité par des prestataires, pour le e-commerce, la sécurisation des transactions et des données est sans doute la préoccupation majeure.

Protéger les données

Des études montrent que les internautes ont peu confiance dans le respect de la confidentialité des informations données sur Internet (67 % répondent négativement selon une étude Ipsos/Transfert de nov. 2000). D'ailleurs, l'Acsel préconise que les entreprises définissent clairement leur politique de protection des données personnelles, notamment à l'occasion de la consultation de sites. Ceux-ci doivent respecter la volonté des personnes de ne pas être prospectées et que leurs données ne soient pas cédées ou conservées à leur insu. Il faut dire qu'en France, la protection des personnes est relativement bien assurée par la Cnil. Toutefois, la sécurité des données des clients doit aussi être assurée techniquement, car les tentatives de hacking effectuées sur les fichiers des clients sont bien réelles. Les utilisations faites par ces pirates vont de la simple revente aux attaques destructives. La solution est de conserver ses données le moins longtemps possible sur le serveur et d'utiliser firewall et décryptages. Mais le problème numéro un est sans aucun doute la sécurisation des transactions qui inquiète les consommateurs. A ce sujet, un grand nombre de sites ont opté pour un logo d'un assureur spécialisé qui garantit le remboursement du client en cas de problème. Le plus connu est Fia-Net, qui se targue d'avoir pour clients la moitié des sites français. Selon David Botvinik, « ces assurances permettent de rassurer le client qui sera remboursé sous quinze jours ». Pourtant, beaucoup de spécialistes n'hésitent pas, dans ce domaine, à parler de marketing. En fait, le plus rassurant est de savoir que les transactions sont sécurisées. Actuellement, deux niveaux de sécurité coexistent : le simple cryptage du numéro de carte et le traitement via un opérateur tiers des paiements.

L'indispensable SSL

La première solution indispensable à tout site marchand est l'utilisation de la protection SSL (Secure Socket Layer), qui crypte le numéro de carte au moment de la transaction. En revanche, si les numéros de cartes sont ensuite stockés sans protection sur le site du commerçant, ils peuvent être la cible de piratage. La deuxième solution consiste donc à confier le stockage de ces données à un tiers qui peut être une banque ou un opérateur spécialisé et qui effectuera également la demande d'autorisation via le réseau des Cartes Bancaires. Cette solution est proposée aux commerçants par des opérateurs comme Atos (avec SIPS), Expérian (avec sa dernière version Payline 3), par France Télécom (Télécommerce), par Ogone (Ogone e-commerce) ou Beweb (Securipay). Les banques proposent aussi des solutions "propriétaires" : Crédit Mutuel (Cybermut), Caisse d'Epargne (SP Plus), Banques Populaires (CyberP@iement), etc. Dans ce cas, les numéros de cartes ne sont pas communiqués aux commerçants, ce qui évite bien des risques. Selon Jérôme Wirth de Beweb, « il peut y avoir un problème de fraude, mais pas de piratage. C'est impossible avec Securipay ». Quant au coût, il atteint au maximum, 2,5 % d'une transaction. Aujourd'hui, les sites marchands font de plus en plus appel à des sociétés extérieures. Chez Ogone, Thierry Pierson explique qu'il existe deux types d'approches : « Soit on confie la totalité des transactions à des sociétés extérieures ; soit le site demande le numéro de carte au client et une autorisation à la banque on line ou off line via un intermédiaire. » Pour les sociétés spécialisées, le même argument est couramment utilisé : « Les solutions liées aux banques sont moins flexibles, puisqu'elles obligent le commerçant à confier son compte dans cette même banque. » Le système Ogone établit la connexion avec la banque pour demander l'autorisation, mais cette dernière paye directement les marchands contrairement aux systèmes concurrents qui collectent. Ils sont payés par les banques et eux-mêmes rémunèrent les marchands. Pour le marchand, le prix d'un abonnement mensuel chez Ogone est de 30 à 85 euros et la transaction coûte moins de 0,14 euro. Autre acteur : Bibit Global Payment Services. Il se différencie des autres solutions. Son offre numérique est multilingue et propose un choix de soixante méthodes de paiement international multidevise. Le service comprend la gestion des aspects administratifs, financiers et techniques des transactions bancaires et garantit un environnement sécurisé lors du traitement des paiements. Ce service de paiement peut s'intègrer sans difficultés à toutes les plates-formes transactionnelles.

Biométrie ou carte virtuelle ?

Ensuite, d'autres solutions existent comme MinutePay, service de paiement par e-mail, solution développée aux Etats-Unis, qui semble offrir de multiples garanties. Mais, il ne faut pas oublier la signature électronique développée par certaines sociétés comme Xiring avec la solution Xi-Sign adoptée par Proton World International (American Express, Visa, Baksys, Interpay, ERG). La signature électronique repose sur l'exploitation d'une clé publique et d'une clé privée. L'émetteur chiffre le texte d'un document à envoyer avec l'aide de sa clé privée. En face, le destinataire peut déchiffrer la signature grâce à la clé publique contenue dans un certificat électronique, accessible auprès d'une autorité de certification. Elle est reconnue juridiquement depuis le 13 mars 2000. Autre solution : la certification. Comme la signature électronique, elle reste essentiellement utilisée dans le B to B. Le marché de la certification numérique est surtout encouragé par le ministère de l'Economie (Minefi) pour simplifier les démarches administratives, mais il s'applique aussi aux échanges électroniques sur la Toile. Sur ce marché, on rencontre des sociétés comme Certplus, qui prend en charge la production de certificats pour se protéger lors des échanges électroniques sur Internet. Un certificat Certplus peut être utilisé pour s'identifier auprès d'un site de commerce électronique. Parmi les autres intervenants dans ce domaine, on trouve Certinomis, qui s'adresse au e-business, et qui doit s'ouvrir à terme au B to C. « Nous nous plaçons dans le cadre de la certification en rappelant que la Banque de France risque à terme d'imposer des certificats pour les achats », précise Stéphanie Roussel, directrice marketing de Certinomis. L'offre est un certificat électronique à valeur légale (valeur d'un passeport). « Lorsque quelqu'un s'authentifie, il faut être sûr de la personne que vous avez en face de vous », poursuit-elle. Le gros apport du certificat, c'est d'authentifier de façon stricte la personne qui commande et d'avoir la possibilité de signer un ordre en ligne. Mais l'avenir passe sans doute par d'autres solutions qui pourraient sécuriser totalement les transactions. C'est le cas du projet Finread (voir p. 63) avec un lecteur de carte chez l'internaute. Mais d'autres projets sont aussi largement évoqués comme le numéro de carte virtuelle. Plusieurs sociétés comme Orbiscom, Aplettix ou Experian proposent cette alternative. Il s'agit de gérer des cartes qui n'ont pas de supports physiques avec un numéro dynamique qui change à chaque transaction. Experian est actuellement en discussion avec les banques pour lancer cette solution. Mais Thierry Trompette estime que « tout le monde a du mal à se mettre d'accord. Il existe trop de solutions et le marché n'est pas encore assez mûr ». Enfin, la société coréenne Senex Technology va lancer le premier système de vérification de cartes de crédit basé sur la reconnaissance de l'iris. Baptisé TrueEYE, ce produit permet d'identifier le détenteur de la carte puis de procéder à la transaction dès lors que l'iris a été vérifié. Mais la biométrie peut également exister sous d'autres formes : empreintes digitales, empreinte vocale, forme du visage. Avec de telles technologies, le e-commerce n'est pas loin d'entrer dans le monde de la science-fiction.

PhotoAlto opte pour un opérateur extérieur

« Le site marchand ne reçoit pas les informations concernant la carte bancaire du client. Ogone se situe entre les deux parties et accepte tous types de cartes », explique Grégory Hedo, directeur de la société Shop on The Net, qui a réalisé l'intégration pour PhotoAlto. Cette dernière propose des photos "royalties free", que l'on choisit sur le site internet. Ensuite, le client paie avec sa carte de crédit et peut intégrer les images dans son magazine. Ce procédé largement développé par des entreprises américaines est ici proposé par un marchand français. Il a l'avantage d'être moins cher qu'une agence photo, mais il ne permet pas d'avoir l'exclusivité de l'image. Un tel site demande de la rapidité et « la solution Ogone E-commerce, utilisée depuis le 1er décembre 2000 est très rapide, aussi rapide que le site web », constate Grégory Hedo. Celui-ci a bien connu quelques problèmes de fraude (notamment avec des Ukrainiens), mais ils sont rares. En fait, Ogone reçoit les informations sur la carte de crédit du client, informations inconnues du marchand. Ogone demande l'autorisation et reçoit la réponse en temps réel. Cette solution masque la complexité d'un système de paiement. C'est une plate-forme multibanque, multisystème et multilingue qui fonctionne en mode ASP. Elle assure au marchand d'être payé par sa banque en temps réel et de ne plus avoir à gérer la sécurité de ses transactions, ni le stockage des informations sensibles sur son site, car elles sont échangées directement entre l'acheteur et Ogone.

L'informatique, vache à lait de la sécurité

Selon IDC, spécialiste en études et conseil marketing dans les domaines informatiques, télécoms et technologies de l'information, le marché global de la sécurité devrait atteindre plus de 17,2 milliards de dollars en 2004. Les outils de surveillance encore peu développés vont connaître une explosion dans les deux prochaines années. Le nombre de sociétés investissant plus d'un million de dollars par an dans leur système de sécurité informatique ne cesse de doubler tous les ans. Une récente enquête IDC (1) pour le compte d'EDS, spécialiste des services informatiques, montre que 35 % des entreprises européennes et 30 % des entreprises françaises ont été confrontées au cybercrime en 2001. Mais 78,8 % des entreprises pensent que leur système d'information est suffisamment sécurisé. D'ailleurs, 55,6 % d'entre elles n'ont pas jugé bon d'assurer leur système d'information. Pourtant, les conséquences peuvent être dramatiques. EDS cite l'exemple de Cloud Nine, un fournisseur anglais d'accès à Internet, victime d'une attaque par déni de service, qui a mis fin à ses activités. D'après une étude du CERT/CC (Centre d'expertise de la sécurité sur Internet), le nombre d'incidents répertoriés est passé de 9 859 en 1999 à 21 756 en 2000 et selon le CIO magazine, 17 % des attaques ont coûté plus d'un million de dollars à chaque compagnie victime. Des chiffres à glacer plus d'un firewall. (1) Cette enquête a été réalisée entre le 20 novembre et le 14 décembre 2001 auprès de 350 entreprises de six pays (France, Allemagne, Grande-Bretagne, Italie, Espagne et Afrique du Sud).

Les chiffres de Fia-Net

Fia-Net a recensé les sinistres détaillés du 1er novembre 1999 au 31 mars 2001, soit sur une période de dix-sept mois. Au cours de celle-ci, le nombre de clients Fia-Net a plus que décuplé en passant de 100 sites marchands à plus de 1 200. Cet assureur a étudié les sinistres en provenance de 971 marchands français. Il apparaît que 491 cas de fraudes et litiges ont été recensés et qu'ils concernent 13 % des sites assurés par Fia-Net. Trois secteurs d'activité sont particulièrement concernés : téléphonie, électronique grand public et informatique. Cette fraude peut atteindre 2 % du CA de certains sites les plus importants, mais jusqu'à 25 % pour des sites plus modestes. Et la moyenne des fraudes atteint 380 E. Mais, aucun piratage de carte bancaire n'a été recensé. Les rares cas de détournements dont sont victimes les consommateurs (4 % des 316 litiges "graves" recensés sur plus de 3 millions de transactions assurées par Fia-Net) ont pour origine "le monde physique". Les numéros de cartes détournés proviennent de facturettes oubliées ou volées. Parmi les litiges graves, 78 % concernent les livraisons et 2 % la défectuosité de l'objet. Des chiffres, qui selon David Botvinic, Dg de Fia-Net, n'ont pas évolué depuis cette enquête.