e-business / e-commerce

sécurité en e-commerce : peut mieux faire !

J’ai assisté ce matin à un atelier de la FEVAD sur la sécurité des paiements et j’ai appris, mais pas découvert, que la sécurité est surtout une affaire d’ingénierie humaine et que, bien que la sophistication technologique des fraudes aille croissante, c’est quand on mélange les techniques d’escroquerie classiques avec la technologie que la lutte contre la fraude est la plus difficile. Un avertissement sans frais pour des ecommerçants qui,en très écrasante majorité, ne protègent pas assez leurs sites et ne mettent pas leurs processus de sécurisation à niveau … Sans parler des questions inutiles qu’ils se posent sur les obligations de PCI DSS par exemple. Voici mon compte rendu (publié pour ecommerce1to1) de cet atelier :

sécurité des paiements en ecommerce

Une commission dédiée à la FEVAD

Il y a une commission monétique à la FEVAD qui sera étendue pour inclure la sécurité des sites ecommerce. La présentation de La FEVAD faisait aussi intervenir des professionnels du ecommerce et du paiement. Qui sont les suivants :

Evernote Snapshot 20140319 110327

Dans le désordre … Le panel : François HELARD (Vp Southern europe, ADYEN), Patrick FLAMANT (Directeur France, CYBERSOURCE ), Christophe MARIETTE (Directeur Commercial et Marketing, LYRA NETWORK ), (Nicolas PELLEGRIN, RESPONSABLE DE LA SECURITE DES SI , vente-privee.com), Olivier BERNASSON (Président fondateur pecheur.com)

Target : 40% de CA en moins !

La sécurité des paiements occupe beaucoup les débats mais la problématique se déplace vers la sécurité des paiements du fait des récents événements sur les vols de cartes et la fraude organisée, sans cesse en croissance, et particulièrement médiatique dans le cas de Target au États Unis avec une baisse de 40% du chiffre d’affaires dans le dernier trimestre !

Le parlement européen va aussi modifier la loi sur les données privées et la protection des données des clients avec des sanction qui pourront aller jusque 5% du chiffre d’affaires ! Cela va faire réfléchir plus d’un ecommerçant, notamment les petits.

45% des sites pourtant envoient les mots de passe en clair par mail, 87% des mots de passe non sécurisés (123456 par exemple) et 83%ne bloquent pas les saisies après 10 mots de passe erronés, alors que 14% seulement des sites obligent à mélanger chiffres et lettres dans les mots de passe. On le voit, la réponse des ecommerçants à la menace sur la sécurité des paiements est loin d’être appropriée.

Ventes privées dans les meilleurs sites en termes de sécurité

Chez ventes privées, on est plutôt parmi les bons élèves et il y a une équipe de 5 personnes à la sécurité et Nicolas Pellegrin reporte directement au DG. Il y a par ailleurs trop de ecommerçants qui partent du principe que les clients s’en moquent mais en fait c’est une mauvaise interprétation car selon M. Pellegrin, c’est surtout qu’ils font confiance au marchand pour faire le travail. Pecheur.com, au travers de son fondateur, reconnaît quant à lui que tout n’est pas encore fait chez lui mais insiste aussi sur le fait que le tableau n’est pas aussi noir qu’on croit.

Le mélange de hacking et de fraude classique : explosif !

Dans le cas de Target cependant, les conséquences sont pourtant dramatiques et l’entreprise ne s’en relèvera probablement pas selon les panelistes. Mais il est faux de croire que le problème de la sécurité des paiements pour Target est dû à l’Internet car la fraude a eu lieu via un malgré distribué en magasin. Aux États Unis, où la carte à puce n’a pas encore en cours (elle sera introduite en 2015 !) la problématique de la sécurité est globale et ne peut être réduite à Internet.

PCI DSS est-il obligatoire ?

Il semblerait qu’il y ait un flottement parmi les emarchands, quant à l’obligation ou non d’être conforme à PCI DSS quand on est marchand. François Helard d’Adyen a tranché ce débat. Un marchand doit se poser la question de savoir s’il récupère les cartes chez lui et dans ce cas il est obligé d’être en conformité, et si la carte est récupérée par le PSP (Payment Service Provider) il n est pas obligé. Être conforme PCI DSS c’est aussi accepter de courir un risque en cas de vol d’informations. En fait, la pertinence de cette conformité dépend de la catégorie (le voyage serait un cas où cela serait plus utile que d’autres).

En conclusion, même si certains marchands semblent hésiter sur la nécessité d’être conforme PCI DSS, la question ne se pose pas vraiment. Ce qui est important est d’intégrer la sécurité des paiements dans les processus de l’entreprise car c’est un des fondements de la confiance du client dans son marchand.

La fraude innovante

Les fraudeurs sont très innovants et cette société est très technologiquement avancée, cela a un impact sur la fraude également. Il y a 15 à 25% de refus, mais il faut comprendre les raisons de ces refus a dit François Helard.

Des mules pour frauder

Olivier Bernasson a cité les « mules » qui reçoivent des colis dans les points relais et les renvoient dans des pays africains, par exemple, et notamment la Côte d’ivoire dans ce cas précis. Une entreprise ivoirienne est même allée jusqu’à passer de faux contrats de travail avec ces mules en France, au point que cette société a été condamnée aux prud’hommes mais entretemps le ecommerçant a perdu jusque 40k€ de chiffre d’affaires. Il y a donc un mélange d’escroquerie à la carte bancaire (les achats se font par carte volée) et d’escroquerie classique. La fraude n’est plus seulement technologique, elle est aussi humaine, et c’est cela qui est plus difficile à combattre.

Evernote Snapshot 20140319 112759

la sécurité vue par les ecommerçants : peut mieux faire !

Nicolas Pellegrin a même indiqué le risque encouru par les entreprises du fait des données disponibles dans les médias sociaux car les données des employés peuvent être utilisées pour alimenter cette fraude. Ceci inclut également des sites de référencement de bilans comme societe.com. Tous les leviers peuvent être utilisés par les fraudeurs, y compris l’allongement êtes délais de rétractation qui sont en cours de révision (à noter qu’en Allemagne, les paiements se font tous contre remboursement pour protéger le consommateur).

Un dernier talon d’Achille à noter, c’est la faiblesse de la sécurisation sur mobiles, car beaucoup d’étapes, comme 3D Secure par exemple, ne sont pas disponibles. Il n’y a pas de solution absolue qui permette de fermer les yeux a dit Olivier Bernasson, car même 3D Secure a des failles (en permettant d’acheter un autre objet pour un montant équivalent avec l’interception d’un code envoyé au moment d’un achat particulier). C’est pour cela qu’on voit des transactions bien marquées 3D Secure mais qui sont pourtant frauduleuses.

La combinaison de ces fraudes très sophistiquées aux méthodes humaines citées ci dessus est véritablement inquiétante et pose de gros soucis au développement du ecommerce.

Yann Gourvennec
Follow me

Yann Gourvennec

Yann Gourvennec created visionarymarketing.com in 1996. He is a speaker and author of 6 books. In 2014 he went from intrapreneur to entrepreneur, when he created his digital marketing agency. ———————————————————— Yann Gourvennec a créé visionarymarketing.com en 1996. Il est conférencier et auteur de 6 livres. En 2014, il est passé d'intrapreneur à entrepreneur en créant son agence de marketing numérique. More »
Bouton retour en haut de la page