La sécurité des paiements en ligne

auprès des Français. Qui est impacté par la fraude ? Comment les banques peuvent-elles réagir pour s’en prémunir ? Y a-t-il des opportunités à saisir pour des acteurs alternatifs ?

Augmentation de la fraude en ligne

La carte bancaire est de loin le moyen de paiement en ligne privilégié par les Français, 83% [2] des internautes l’utilisant régulièrement pour régler directement leurs achats sur internet. Mais c’est également l’utilisation de la carte qui est de plus en plus menacée par la fraude. En effet, le montant total des transactions frauduleuses sur internet enregistre une croissance nettement plus importante que le montant des fraudes réalisées par d’autres canaux (retrait de liquide avec une carte volée, utilisation du numéro de carte pour achat par correspondance au téléphone,…).

Ce constat, qui n’est pas nouveau, avait déjà conduit les banques et les vendeurs à proposer des systèmes plus sécurisés au cours des années 2000. La généralisation du cryptage SSL (Secure Socket Layer) a permis de limiter le vol de numéros de cartes lors des transferts de données bancaires entre l’acheteur, le vendeur, et leurs banques respectives. L’ajout d’un cryptogramme de sécurité « arbitraire » a permis d’endiguer la prolifération des générateurs frauduleux de numéros de cartes à 16 chiffres valides (qui suivent un algorithme bien particulier). Les vendeurs ont également limité le stockage de ces informations dans leurs bases de données, afin d’éviter les tentatives d’intrusion massives dans leurs plateformes de e-commerce. Enfin, les terminaux de paiement masquent une partie du numéro de carte sur les facturettes et permettent au payeur d’introduire lui-même sa carte sans l’intervention du caissier, ce qui limite la récupération de données via le canal grande distribution. Mais d’autres techniques de fraude ont pris la relève…

Le risque majeur réside dans l’impossibilité d’identifier l’acheteur en tant que détenteur légitime de la carte (authentification forte). Il laisse la porte ouverte à d’autres techniques de récupération des coordonnées, telles que le « hameçonnage » (faire croire à un porteur de carte qu’il s’adresse à un interlocuteur de confiance par mail ou via un faux site web), particulièrement en vogue ces dernières années.

Certes, si l’acheteur n’est pas identifié, il peut alors contester l’opération comme la loi le lui permet et ainsi être remboursé sans frais du montant de l’opération. Mais cela entraîne des coûts croissants pour les établissements bancaires et continue d’alimenter certains freins psychologiques chez les utilisateurs potentiels de e-commerce.

Les dispositifs d’authentification forte : 3D Secure, e-carte bleue…

Ainsi, pour pouvoir identifier les propriétaires des cartes mais aussi et surtout pour renforcer la sécurité des paiements en ligne, certaines banques ont mis en place des cartes à usage unique (telles que e-Carte Bleue) à partir de 2002. Clone électronique d’une carte bancaire, elles fournissent un code à usage unique, généré par l’utilisateur sur le site de sa banque à partir de sa carte réelle. Une fois le paiement réalisé avec ce code, il n’est plus utilisable pour aucun autre achat. Mais ce type de solution allonge l’acte d’achat et le rend peu adapté aux paiements répétitifs de petits montants (article de presse, musique à l’unité…). Il représente également un coût non négligeable aussi bien pour la banque que pour l’utilisateur, et a donc été assez mal accueilli par le public.

Dès lors, certaines banques ont décidé de mettre en place dès 2008 le système « 3D Secure ». Tout acheteur doit saisir sur une page sécurisée en liaison avec sa banque un code secret connu uniquement de lui, l’authentifiant ainsi comme propriétaire de la carte. Le débat subsiste quant à la nature de ce code. Utilisée au lancement de 3DS, la date de naissance de l’utilisateur comme code secret est petit à petit mise de côté au profit d’un SMS envoyé par la banque, solution la plus populaire parmi les internautes, ou encore d’un code transmis par un « token [3]». Reste à soupeser le coût de ces solutions, qui peut aller de 0,5 à plus de 10€ par détenteur et par an.

Malheureusement, ce système s’est avéré être en pratique beaucoup plus déroutant que prévu pour les internautes. Très peu de communication ayant été faite auprès des porteurs de cartes, que ce soit par les banques ou les sites de vente en ligne, la plupart des acheteurs ont été déconcertés, voire effrayés, à l’apparition d’une page séparée leur demandant par exemple leur date de naissance, et ce au moment le plus critique de l’acte d’achat : le paiement. Beaucoup d’entre eux ont donc préféré abandonner leurs achats par peur d’une tentative de fraude ou de hameçonnage… En conséquence, un nombre important de sites de vente en ligne ont immédiatement contacté leurs banques pour quitter le système 3D Secure, après avoir constaté une réduction du volume des ventes pouvant aller jusqu’à 20%.

L’enjeu consiste donc à sécuriser suffisamment les paiements pour dissuader les fraudeurs, sans pour autant complexifier le processus de paiement et impacter en bout de chaîne le volume des ventes.

Les alternatives à la carte

Les banques ne sont pas les seules à proposer de nouvelles solutions de paiement. Weneo, une version adaptée au paiement en ligne héritée de « Moneo » propose une clé USB stockant des unités de monnaie électronique, permettant de faire des achats sécurisés de petit montant (en dessous de 30€) sur internet sans communiquer ses coordonnées bancaires.

Le marché des tiers de confiance aiguise également les appétits. L’acteur historique Paypal (établissement de crédit sous licence luxembourgeoise, pour ses activités européennes) est désormais concurrencé par Google Checkout (établissement de monnaie électronique enregistré au Royaume-Uni). En France on compte aussi certains établissements de paiement tels que Limonetik ou Cards-Off, qui se chargent également de réaliser la transaction par carte bancaire à la place du site marchand. L’acheteur n’a pas alors à saisir ses coordonnées bancaires sur le site marchand.

Par ailleurs on compte des sociétés comme Secuvad proposant des solutions intégrées de sécurisation des paiements (détection des fraudes en temps réel par scoring et bases historiques), mais ces solutions, si elles protègent les commerçants, ne protège pas l’acheteur lui-même.

La surprise pourrait alors bien venir de Buyster, établissement de paiement agréé, créé récemment par Orange, SFR, Bouygues Telecom et Atos Origin, surfant sur le développement du Smartphone et proposant de sécuriser aussi bien les paiements m-commerce et e-commerce via le téléphone mobile.

Difficile de dire si ces nouveaux entrants donneront du fil à retordre aux grandes banques sur le terrain des paiements en ligne. Toujours est-il qu’ils constituent des laboratoires d’innovation que les Banques traditionnelles doivent regarder de près.

Sia Conseil

[2] Rapport annuel de l’observatoire de la sécurité des cartes de paiement 2009

[3] Le code à usage unique est généré par un algorithme placé dans un petit appareil électronique suite à une pression sur un bouton