le tour de la fraude sur Internet en 4 interviews par Christophe Beauvais (Orange Business Services)

Dans le cadre de la préparation de mon cours annuel sur les paiements en ligne pour le MBE ebusiness de l’Ecole Supérieure de Gestion de Paris (ESG) du début Octobre, j’ai rencontré Christophe Beauvais, responsable marketing paiements chez Orange Business Services fait un état des lieux de la fraude en France, en cette fin 2010.

Sans une première interview, Christophe a dressé l’état des lieux de la fraude sur Internet :

ll faut situer la fraude sur Internet par rapport à la fraude en général : la sécurité pour les paiements physiques est largement maîtrisée en France et notamment la carte à puce (maintien de la fraude à un pourcentage extrêmement faible); en revanche, dans le secteur de l’Internet, augmentation de la fraude progressive, tous les ans environ 20 % de plus, liées aux achats en vente à distance en général.
Cependant, il faut tempérer ce constat, car en réalité, il ne s’agit pas du pourcentage de fraude qui augmente, mais du e-commerce qui lui-même est en pleine croissance, organique, en termes de nombre de sites, le nombre de ventes et de revenus et montants générés.
De ce fait, le même pourcentage induit une forte augmentation du montant de la fraude.

Les grands réseaux bancaires ou les tutelles bancaires, ont apporté des réponses à ce phénomène de deux façons différentes :

  • d’une part le programme PCI pour protéger la donnée elle-même, et faire en sorte que les équipements qui traitent les données soient suffisamment robustes pour empêcher les vols et les corruptions,
  • d’autre part 3D-SECURE : uniquement pour le e-commerce, permet de d’établir la vérification de l’identité du porteur.

Puis dans une deuxième interview, Christophe a décrit plus en détail ce qui caractérisait la fraude sur Internet en 2010

Second volet de notre série d’interview de Christophe Beauvais, responsable marketing paiements chez Orange Business Services, autour de la fraude sur Internet.

Il faut savoir que la confiance des porteurs de carte sur Internet s’est extrêmement améliorée et aujourd’hui on a 1 personne sur 2 en France qui fait des achats sur Internet avec la carte, alors qu’en 2007 on n’avait que 37%.

La vente à distance en général est responsable de 7% du montant des achats mais en réalité est responsable de 57% de la fraude !
Quand on sait que tous les ans il y a environ 20% de plus d’acheteurs sur Internet on voit la courbe des montants s’envoler, et c’est pour cela que le milieu bancaire a décidé de réagir en apposant des normes de sécurité sur Internet qui soient suffisamment coercitives pour limiter cette fraude.

On assiste sur Internet :

  • non pas à une augmentation du pourcentage de la fraude mais à celui de son montant (voir interview n°1)
  • à des comportements qui consistent à lutter contre les systèmes de détection de fraude, où les fraudeurs s’attaquent à des sites où les montants moyens sont peu élevés (de façon à être en-dessous du radar)
  • ces fraudeurs sont de plus en plus organisés en réseaux en utilisant la carte à plusieurs endroits, à plusieurs moments pour essayer de perturber le dispositif de géolocalisation des systèmes de détection de fraude.

Ce phénomène de réseaux est nouveau, en général ils sont situés dans les pays de l’Est mais pas exclusivement. En outre ils ont l’intelligence de s’intéresser à des secteurs qui sont en boom et dont les montants correspondent à leurs cibles comme celui de l’habillement par exemple, qui est particulièrement visé.

La troisième partie de ce travail d’investigation sur la fraude en ligne en 2010 est un zoom sur les 2 méthodes de protection principales : 3D Secure et PCI-DSS

Nous avons vu (interview 1) que les banques et les organismes de tutelle avaient mis en place 2 dispositifs PCI et 3D SECURE PCI :

Le côté données PCI concerne les données.

PCI c’est l’ensemble de tous les équipements qui sont dans la chaîne du paiement entre le commerçant et sa banque et qui font l’objet de protections suffisamment robustes pour que les données du porteur (ses données cartes) ne soient pas volées.
Ceci s’est imposé à l’industrie de façon assez naturelle car les règles sont telles que – par exemple – si un terminal de paiement électronique (TPE) n’est pas PCI, il ne peut pas être vendu. Donc naturellement, les industriels se sont adaptés. De la même façon, un prestataire de paiements se doit d’être PCI puisque l’ensemble des appels d’offre auxquels il devra répondre stipuleront que PCI est une obligation. Enfin, il faut préciser que PCI n’a aucun impact sur l’usage ou l’acheteur et donc ce dispositif ne vient pas modifier l’acte d’achat.

Qu’est-ce que PCI ?

2 choses : d’une part des points à respecter (une liste de 12 points à respecter) et selon le niveau et les montants des transactions que l’on gère, les vérifications sont de plus en plus contraignantes (du simple « scan » de la plateforme, jusqu’à des audits sur site qui sont beaucoup plus poussés.

Figure : La société cybersource décrit la toxicité des données de paiements stockées partout et qui deviennent une bombe à retardement. Un commerçant voulant stocker des données bancaires (pour faire du paiement 1-click ou de l’abonnement) doit se conformer aux normes PCI-DSS.

Les 12 points imposés par Visa pour la conformité PCI DSS

1.installer et maintenir un pare-feu afin de protéger les données des porteurs
2. ne pas utiliser les mots de passe par défaut ou autres formules standard de sécurité fournies de base par les fabricants
3. protéger les données des porteurs stockées sur vos serveurs
4. encrypter la transmission des données du porteur lorsqu’elles transitent sur des réseaux ouverts
5. utiliser des logiciels antivirus et les mettre régulièrement à jour
6. développer et maintenir la sécurité autour de vos applicatifs
7. restreindre l’accès aux données du porteur aux seules opérations indispensables à la transaction
8. allouer un identifiant unique à chaque personne qui a accès au système informatique
9. restreindre l’accès physique aux données bancaires des porteurs
10. suivre et surveiller tous les accès aux ressources réseau et aux données du porteur
11. tester à intervalle régulier les systèmes et les procédures de sécurité
12. mettre à jour une politique de sécurité à l’égard des employés et des sous-traitants
3D Secure : le transfert de responsabilité (liability shift)

C’est un modèle 3 D (3 domaines): au moment où le porteur va faire un achat chez un e-commerçant, il sera mis en relation – via le site du e-commerçant – avec sa banque (et plus seulement la banque du commerçant) et donc la banque du porteur devra authentifier le porteur, l’acte d’achat avec un niveau d’authentification qu’il jugera suffisant pour garantir l’acte d’achat.

Le mot est important car plus de sécurité on parle là de transfert de responsabilité en cas de contestation, une fois que l’achat aura été effectué via le dispositif 3D Secure.
Cela veut dire donc que si le porteur ne reconnaît plus avoir fait l’acte d’achat ou le conteste, la responsabilité n’incombe plus au commerçant mais à la banque du porteur elle-même.

Comment ça marche ?

Le 3D Secure en France est promu par la Banque de France et c’est elle qui soumet les règles. Elle a imposé que la méthode d’authentification utilisée pour 3D Secure soit une méthode d’authentification « non rejouable », c’est-à-dire qu’à chaque achat doit correspondre un mot de passe qui est unique pour cet achat. Et donc la banque se doit de fournir au porteur les supports d’authentification qui permettent de générer un mot de passe dynamique. Ce peut être un équipement électronique ou papier (du type « bataille navale » et cela peut être un téléphone pour envoyer un sms, et cela va permettre de générer des mots de passe dynamiques.

Enfin nous revenons avec Christophe sur le bilan désastreux de la mise en oeuvre (ou absence de …) de 3D Secure en France, un réel problème auquel le e-commerce et les e-commerçants eux-mêmes sont confrontrés.

Quatrième et dernier volet de la présentation de Christophe Beauvais (responsable marketing epayment chez Orange Business Services) autour de la fraude sur Internet.

3D Secure n’est pas une affaire française. L’initiative est largement mondiale.
La France connaît un retard important dans le domaine, pour différentes raisons.
Dans un pays comme l’Angleterre, on considère que 95% des transactions sont basées sur 3D Secure car en Angleterre il y a eu alignement de toutes les banques.
Les porteurs ont tous la même façon de s’identifier quelque soit leur banque et un commerçant a la même façon de communiquer vis-à-vis de ces porteurs pour lui dire de quelle façon va se passer l’acte d’achat.

En France les choses se sont passées différemment. On connaît aujourd’hui une mise en place qu’on peut qualifier de progressive, ce qui veut dire qu’en pratique on est dans une phase de transition et que la confusion est à son comble.
La confusion est pour les porteurs car ils peuvent voir 3D Secure activé sur un site et pas sur un autre, ce qui soulève des questions.

Aujourd’hui on peut dire que le monde bancaire dans son ensemble n’a pas assez communiqué vers ses porteurs afin de leur expliquer l’intérêt de ce dispositif, et souvent les porteurs le découvrent au moment de l’achat ce qui est trop tard.
De l’autre côté on a les e-commerçants qui vivent le 3D Secure comme une contrainte et un ralentissement de l’acte d’achat car avec 3D Secure l’acte d’achat a doublé en temps, en passant de 100 s à 200 s sur la partie liée au paiement (en moyenne); et on note surtout un certain nombre d’échecs dans la phase d’authentification environ 15% des transactions échouent.

Il y a un certain nombre de commerçants qui se demandent s’il faut arrêter 3D Secure, ou le faire différemment (optionnellement par exemple, sur des montants faibles).
Sachant aussi que la banque n’a sans doute pas assez communiqué vers le commerçant en insistant sur le fait que 3D Secure n’est pas seulement une affaire de sécurité mais surtout une affaire de transfert de responsabilité du commerçant vers la banque.

Cela devrait bénéficier au commerçant qui – ayant systématisé l’usage de 3D Secure – ne peut plus être tenu responsable et subir le coût d’un impayé par un porteur niant à juste ou mauvais titre avoir réalisé l’achat ligitieux.

le tour de la fraude sur Internet en 4 interviews par Christophe Beauvais (Orange Business Services) was last modified: octobre 15th, 2010 by Yann Gourvennec
Yann Gourvennec
suivez moi !

Yann Gourvennec

PDG & fondateur chez Visionary Marketing
Yann Gourvennec a créé le site visionarymarketing.com en 1996. Il est intervenant et auteur de 4 ouvrages édités chez Kawa. En 2014 il est devenu entrepreneur, en créant son agence de marketing digital Visionary Marketing, en association avec Effiliation. Il est directeur de programme du Mastère Spécialisé Digital Business Strategy de Grenoble Ecole de Management depuis 2015
Yann Gourvennec
suivez moi !

Une réflexion sur “ le tour de la fraude sur Internet en 4 interviews par Christophe Beauvais (Orange Business Services) ”

Votre avis nous intéresse :