Plus de peur que de mal
S'il est difficile d'obtenir des chiffres sur les fraudes enregistrées dans le e-commerce, il semble tout de même que la plupart des sites "reconnus" soient bien sécurisés. Une sécurité qui passe par une approche globale comme pour tout système informatique, mais qui demande aussi et surtout une sécurisation des transactions et des données.
À LIRE AUSSI
Les chiffres sur les fraudes dans le e-commerce : voilà un vrai sujet
tabou. Le Groupement des Cartes Bancaires se mure dans le silence en expliquant
qu'il est difficile de discerner les fraudes des incidents et des problèmes non
recensés. Et, comme l'indique Jean-Pierre Buthion, chargé de mission au
Groupement des Cartes Bancaires "CB" et vice-président de l'Acsel (Association
pour le commerce et les services en ligne), « près de 4 milliards d'opérations
sont effectuées chaque année avec des cartes bancaires et la vente à distance
représente 3 % des transactions ». Or, on trouve dans ces 3 % aussi bien le
e-commerce que la VPC ou des compléments de paiement pour des hôtels ou des
locations de voiture. « Et il n'est pas utile de faire peur aux gens, alors que
les incidents sont mineurs, même si toutes les sécurités n'existent pas. » Au
ministère de l'Intérieur et à sa nouvelle cellule spécialisée, l'OCLCTIC
(Office central de la lutte contre la criminalité liée aux technologies de
l'information et de la communication), le résultat sera identique avec un
langage proche de la carpe. Heureusement, certains spécialistes de la sécurité
sont un peu plus loquaces. « La fraude est très variable d'un business à
l'autre. Si les fraudes sont nombreuses sur les sites pour adultes, il y a peu
de contestation..., explique Thierry Pierson, directeur général de la société
Ogone, spécialiste des solutions de paiement sécurisé pour les transactions à
distance. Au début, les gens faisaient n'importe quoi. Depuis, les problèmes
ont été résolus. Aujourd'hui, il est moins dangereux d'utiliser sa carte
bancaire sur Internet que dans un restaurant. » D'ailleurs, les derniers cas de
fraude enregistrés proviendraient du personnel de restaurants ou de commerces,
qui auraient recopié des numéros de carte bancaires à partir des facturettes.
Heureusement, les numéros ne sont plus que partiels dans la quasi-totalité des
DAB et des commerces. Mais il existe des sites avec des listes de vrais faux
numéros de cartes. Chez Fia-Net, assureur de 1 200 sites marchands, on estime
les fraudes avec le numéro de carte bancaire à 0,2 ou 0,3 %. Mais David
Botvinik, directeur général, pense « que les tentatives sont cinq à dix fois
plus nombreuses » (voir encadré p. 62). Pour Thierry Trompette, expert en
fraude informatique et auditeur de WebTrust, « les problèmes de sécurité se
trouvent essentiellement dans l'interface entre le front office e-commerce et
le back-office de gestion. Beaucoup de sociétés ont un front-office efficace,
mais il existe des problèmes sur le back-office, notamment avec des commandes
qui ne basculent pas ou avec des anomalies. Autre point sensible : il n'y a pas
de sécurisation SSL, ni au départ, ni à l'arrivée. » Mais les fraudes au niveau
des transactions semblent tout de même relativement limitées et, comme le dit
Cyril Autant, directeur du pôle intégration chez Thales Secure Solutions, « ce
qui compte, c'est d'augmenter son chiffre d'affaires sur Internet, quitte à
supporter 1 % de fraudes. » Quant à Jérôme Wirth, P-dg de Beweb, il critique
Visa qui ne demande pas d'autorisation au premier franc contrairement à son
système Securipay. « Visa s'en prend aux banques, qui s'attaquent ensuite aux
marchands. Elles suppriment sans cesse des autorisations. » Toujours, selon
cette société, on enregistre 5 % de contestations, dont la moitié sont des
demandes d'annulation. Mais tout le monde s'accorde pour affirmer que le
marchand est pris "entre le marteau et l'enclume". Il subit les pénalités des
banques, la suppression des contrats de vente à distance alors que le client
lui peut se faire rembourser. La loi de novembre 2001 (loi sur la sécurité
quotidienne) oblige à recréditer intégralement tout porteur de carte. Elle
concerne toutes les ventes à distance sans utilisation de code confidentiel. Et
Thierry Leblond, directeur de mission, audit et sécurité des systèmes
d'information chez Ernst & Young, rappelle que « dix à vingt commerçants
réalisent 80 % du chiffre d'affaires du e-commerce. Ces sites sont très bien
équipés. Le problème provient de gens qui surgissent sans se préoccuper du
paiement. Or, il faut l'intégrer dans les coûts. » Mais, à court terme, les
solutions les plus efficaces ne sont pas forcément technologiques.
La sécurité informatique globale
Pour Jean-Pierre
Buthion, « il est nécessaire de valoriser les bonnes pratiques et de promouvoir
le sceau Labelsite. Il faut éviter que des gens travaillent à la petite semaine
et s'inquiéter quand le taux d'impayés dépasse une certaine limite. » Il
semble, en effet, que la première chose recommandée par les banques ou les
associations de commerces comme l'Acsel ou la Fevad (Fédération des entreprises
de vente à distance) soit de travailler ensemble et de respecter les
préconisations, notamment celles de Labelsite. Ce dernier s'appuie sur un corps
de 27 règles qui complètent et reprennent les règles déontologiques déjà
applicables à la vente à distance. Mais ces bonnes pratiques ne suffisent sans
doute pas. Pour proposer un site fiable, il est nécessaire de posséder un
système informatique sécurisé avec tous les outils qui limitent les risques
d'intrusion ou de piratage comme les firewalls. Il existe plusieurs sociétés
spécialisées dans les audits et qui peuvent déceler les problèmes et les
résoudre. C'est le cas de Thalès Secure Solutions. Cyril Autant explique que sa
société « a une approche globale de la sécurité. Mais elle ne doit en aucun cas
empêcher l'accès au site marchand. De même, il faut s'inscrire dans la durée.
Dans certains cas, quand le site est sensible, il est possible de surveiller à
distance. Il faut aussi envisager une panne ou un incendie et s'assurer que les
données ne seront pas détruites, parce qu'un autre serveur peut prendre le
relais.» En fait, ce prestataire propose de prendre en charge la globalité de
la sécurité des systèmes d'information et d'en maintenir le niveau de
sécurité. Les acteurs ne manquent pas dans ce secteur. Des sociétés comme
Althès ou EDS sont également très présentes sur le marché de l'audit, de la
protection de la surveillance et de la formation. Selon Thierry Trompette, « il
faut faire des tests d'intrusion ou vérifier la fiabilité des firewalls. Mais
la sécurité n'est pas une affaire de hardware et de software. C'est surtout un
problème humain et organisationnel ». La démarche WebTrust repose sur un audit
approfondi exercé par des experts comptables indépendants et spécialisés dans
l'informatique, qui débouche sur un sceau remis en cause à chaque procédure
d'informations trimestrielles. « L'audit de sécurité est très large. Il ne se
limite pas aux firewalls. Il faut une coopération complète des personnels de
l'entreprise. Généralement, on fait plutôt parler les gens, pour qu'ils
communiquent mieux. » Si le système informatique est régulièrement audité par
des prestataires, pour le e-commerce, la sécurisation des transactions et des
données est sans doute la préoccupation majeure.
Protéger les données
Des études montrent que les internautes ont peu confiance
dans le respect de la confidentialité des informations données sur Internet (67
% répondent négativement selon une étude Ipsos/Transfert de nov. 2000).
D'ailleurs, l'Acsel préconise que les entreprises définissent clairement leur
politique de protection des données personnelles, notamment à l'occasion de la
consultation de sites. Ceux-ci doivent respecter la volonté des personnes de ne
pas être prospectées et que leurs données ne soient pas cédées ou conservées à
leur insu. Il faut dire qu'en France, la protection des personnes est
relativement bien assurée par la Cnil. Toutefois, la sécurité des données des
clients doit aussi être assurée techniquement, car les tentatives de hacking
effectuées sur les fichiers des clients sont bien réelles. Les utilisations
faites par ces pirates vont de la simple revente aux attaques destructives. La
solution est de conserver ses données le moins longtemps possible sur le
serveur et d'utiliser firewall et décryptages. Mais le problème numéro un est
sans aucun doute la sécurisation des transactions qui inquiète les
consommateurs. A ce sujet, un grand nombre de sites ont opté pour un logo d'un
assureur spécialisé qui garantit le remboursement du client en cas de problème.
Le plus connu est Fia-Net, qui se targue d'avoir pour clients la moitié des
sites français. Selon David Botvinik, « ces assurances permettent de rassurer
le client qui sera remboursé sous quinze jours ». Pourtant, beaucoup de
spécialistes n'hésitent pas, dans ce domaine, à parler de marketing. En fait,
le plus rassurant est de savoir que les transactions sont sécurisées.
Actuellement, deux niveaux de sécurité coexistent : le simple cryptage du
numéro de carte et le traitement via un opérateur tiers des paiements.
L'indispensable SSL
La première solution indispensable
à tout site marchand est l'utilisation de la protection SSL (Secure Socket
Layer), qui crypte le numéro de carte au moment de la transaction. En revanche,
si les numéros de cartes sont ensuite stockés sans protection sur le site du
commerçant, ils peuvent être la cible de piratage. La deuxième solution
consiste donc à confier le stockage de ces données à un tiers qui peut être une
banque ou un opérateur spécialisé et qui effectuera également la demande
d'autorisation via le réseau des Cartes Bancaires. Cette solution est proposée
aux commerçants par des opérateurs comme Atos (avec SIPS), Expérian (avec sa
dernière version Payline 3), par France Télécom (Télécommerce), par Ogone
(Ogone e-commerce) ou Beweb (Securipay). Les banques proposent aussi des
solutions "propriétaires" : Crédit Mutuel (Cybermut), Caisse d'Epargne (SP
Plus), Banques Populaires (CyberP@iement), etc. Dans ce cas, les numéros de
cartes ne sont pas communiqués aux commerçants, ce qui évite bien des risques.
Selon Jérôme Wirth de Beweb, « il peut y avoir un problème de fraude, mais pas
de piratage. C'est impossible avec Securipay ». Quant au coût, il atteint au
maximum, 2,5 % d'une transaction. Aujourd'hui, les sites marchands font de plus
en plus appel à des sociétés extérieures. Chez Ogone, Thierry Pierson explique
qu'il existe deux types d'approches : « Soit on confie la totalité des
transactions à des sociétés extérieures ; soit le site demande le numéro de
carte au client et une autorisation à la banque on line ou off line via un
intermédiaire. » Pour les sociétés spécialisées, le même argument est
couramment utilisé : « Les solutions liées aux banques sont moins flexibles,
puisqu'elles obligent le commerçant à confier son compte dans cette même
banque. » Le système Ogone établit la connexion avec la banque pour demander
l'autorisation, mais cette dernière paye directement les marchands
contrairement aux systèmes concurrents qui collectent. Ils sont payés par les
banques et eux-mêmes rémunèrent les marchands. Pour le marchand, le prix d'un
abonnement mensuel chez Ogone est de 30 à 85 euros et la transaction coûte
moins de 0,14 euro. Autre acteur : Bibit Global Payment Services. Il se
différencie des autres solutions. Son offre numérique est multilingue et
propose un choix de soixante méthodes de paiement international multidevise. Le
service comprend la gestion des aspects administratifs, financiers et
techniques des transactions bancaires et garantit un environnement sécurisé
lors du traitement des paiements. Ce service de paiement peut s'intègrer sans
difficultés à toutes les plates-formes transactionnelles.
Biométrie ou carte virtuelle ?
Ensuite, d'autres solutions existent comme
MinutePay, service de paiement par e-mail, solution développée aux Etats-Unis,
qui semble offrir de multiples garanties. Mais, il ne faut pas oublier la
signature électronique développée par certaines sociétés comme Xiring avec la
solution Xi-Sign adoptée par Proton World International (American Express,
Visa, Baksys, Interpay, ERG). La signature électronique repose sur
l'exploitation d'une clé publique et d'une clé privée. L'émetteur chiffre le
texte d'un document à envoyer avec l'aide de sa clé privée. En face, le
destinataire peut déchiffrer la signature grâce à la clé publique contenue dans
un certificat électronique, accessible auprès d'une autorité de certification.
Elle est reconnue juridiquement depuis le 13 mars 2000. Autre solution : la
certification. Comme la signature électronique, elle reste essentiellement
utilisée dans le B to B. Le marché de la certification numérique est surtout
encouragé par le ministère de l'Economie (Minefi) pour simplifier les démarches
administratives, mais il s'applique aussi aux échanges électroniques sur la
Toile. Sur ce marché, on rencontre des sociétés comme Certplus, qui prend en
charge la production de certificats pour se protéger lors des échanges
électroniques sur Internet. Un certificat Certplus peut être utilisé pour
s'identifier auprès d'un site de commerce électronique. Parmi les autres
intervenants dans ce domaine, on trouve Certinomis, qui s'adresse au
e-business, et qui doit s'ouvrir à terme au B to C. « Nous nous plaçons dans le
cadre de la certification en rappelant que la Banque de France risque à terme
d'imposer des certificats pour les achats », précise Stéphanie Roussel,
directrice marketing de Certinomis. L'offre est un certificat électronique à
valeur légale (valeur d'un passeport). « Lorsque quelqu'un s'authentifie, il
faut être sûr de la personne que vous avez en face de vous », poursuit-elle. Le
gros apport du certificat, c'est d'authentifier de façon stricte la personne
qui commande et d'avoir la possibilité de signer un ordre en ligne. Mais
l'avenir passe sans doute par d'autres solutions qui pourraient sécuriser
totalement les transactions. C'est le cas du projet Finread (voir p. 63) avec
un lecteur de carte chez l'internaute. Mais d'autres projets sont aussi
largement évoqués comme le numéro de carte virtuelle. Plusieurs sociétés comme
Orbiscom, Aplettix ou Experian proposent cette alternative. Il s'agit de gérer
des cartes qui n'ont pas de supports physiques avec un numéro dynamique qui
change à chaque transaction. Experian est actuellement en discussion avec les
banques pour lancer cette solution. Mais Thierry Trompette estime que « tout le
monde a du mal à se mettre d'accord. Il existe trop de solutions et le marché
n'est pas encore assez mûr ». Enfin, la société coréenne Senex Technology va
lancer le premier système de vérification de cartes de crédit basé sur la
reconnaissance de l'iris. Baptisé TrueEYE, ce produit permet d'identifier le
détenteur de la carte puis de procéder à la transaction dès lors que l'iris a
été vérifié. Mais la biométrie peut également exister sous d'autres formes :
empreintes digitales, empreinte vocale, forme du visage. Avec de telles
technologies, le e-commerce n'est pas loin d'entrer dans le monde de la
science-fiction.
PhotoAlto opte pour un opérateur extérieur
« Le site marchand ne reçoit pas les informations concernant la carte bancaire du client. Ogone se situe entre les deux parties et accepte tous types de cartes », explique Grégory Hedo, directeur de la société Shop on The Net, qui a réalisé l'intégration pour PhotoAlto. Cette dernière propose des photos "royalties free", que l'on choisit sur le site internet. Ensuite, le client paie avec sa carte de crédit et peut intégrer les images dans son magazine. Ce procédé largement développé par des entreprises américaines est ici proposé par un marchand français. Il a l'avantage d'être moins cher qu'une agence photo, mais il ne permet pas d'avoir l'exclusivité de l'image. Un tel site demande de la rapidité et « la solution Ogone E-commerce, utilisée depuis le 1er décembre 2000 est très rapide, aussi rapide que le site web », constate Grégory Hedo. Celui-ci a bien connu quelques problèmes de fraude (notamment avec des Ukrainiens), mais ils sont rares. En fait, Ogone reçoit les informations sur la carte de crédit du client, informations inconnues du marchand. Ogone demande l'autorisation et reçoit la réponse en temps réel. Cette solution masque la complexité d'un système de paiement. C'est une plate-forme multibanque, multisystème et multilingue qui fonctionne en mode ASP. Elle assure au marchand d'être payé par sa banque en temps réel et de ne plus avoir à gérer la sécurité de ses transactions, ni le stockage des informations sensibles sur son site, car elles sont échangées directement entre l'acheteur et Ogone.
L'informatique, vache à lait de la sécurité
Selon IDC, spécialiste en études et conseil marketing dans les domaines informatiques, télécoms et technologies de l'information, le marché global de la sécurité devrait atteindre plus de 17,2 milliards de dollars en 2004. Les outils de surveillance encore peu développés vont connaître une explosion dans les deux prochaines années. Le nombre de sociétés investissant plus d'un million de dollars par an dans leur système de sécurité informatique ne cesse de doubler tous les ans. Une récente enquête IDC (1) pour le compte d'EDS, spécialiste des services informatiques, montre que 35 % des entreprises européennes et 30 % des entreprises françaises ont été confrontées au cybercrime en 2001. Mais 78,8 % des entreprises pensent que leur système d'information est suffisamment sécurisé. D'ailleurs, 55,6 % d'entre elles n'ont pas jugé bon d'assurer leur système d'information. Pourtant, les conséquences peuvent être dramatiques. EDS cite l'exemple de Cloud Nine, un fournisseur anglais d'accès à Internet, victime d'une attaque par déni de service, qui a mis fin à ses activités. D'après une étude du CERT/CC (Centre d'expertise de la sécurité sur Internet), le nombre d'incidents répertoriés est passé de 9 859 en 1999 à 21 756 en 2000 et selon le CIO magazine, 17 % des attaques ont coûté plus d'un million de dollars à chaque compagnie victime. Des chiffres à glacer plus d'un firewall. (1) Cette enquête a été réalisée entre le 20 novembre et le 14 décembre 2001 auprès de 350 entreprises de six pays (France, Allemagne, Grande-Bretagne, Italie, Espagne et Afrique du Sud).
Les chiffres de Fia-Net
Fia-Net a recensé les sinistres détaillés du 1er novembre 1999 au 31 mars 2001, soit sur une période de dix-sept mois. Au cours de celle-ci, le nombre de clients Fia-Net a plus que décuplé en passant de 100 sites marchands à plus de 1 200. Cet assureur a étudié les sinistres en provenance de 971 marchands français. Il apparaît que 491 cas de fraudes et litiges ont été recensés et qu'ils concernent 13 % des sites assurés par Fia-Net. Trois secteurs d'activité sont particulièrement concernés : téléphonie, électronique grand public et informatique. Cette fraude peut atteindre 2 % du CA de certains sites les plus importants, mais jusqu'à 25 % pour des sites plus modestes. Et la moyenne des fraudes atteint 380 E. Mais, aucun piratage de carte bancaire n'a été recensé. Les rares cas de détournements dont sont victimes les consommateurs (4 % des 316 litiges "graves" recensés sur plus de 3 millions de transactions assurées par Fia-Net) ont pour origine "le monde physique". Les numéros de cartes détournés proviennent de facturettes oubliées ou volées. Parmi les litiges graves, 78 % concernent les livraisons et 2 % la défectuosité de l'objet. Des chiffres, qui selon David Botvinic, Dg de Fia-Net, n'ont pas évolué depuis cette enquête.