Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Daniel Broche
Manipulating search engines for profit become a serious problem (Brin & Page 2000)

Point sur les paiements en ligne et la fraude [à compléter]

Daniel Broche #paiements & confiance

Préambule

Excellente soirée hier soir avec de nombreux acteurs du web Rhone-alpin (merci Olivier).

L'occasion de reparler des affaires récentes. A mon avis d'ici la fin de l'année tous les chefs d'entreprises du net vont devenir des cracks du cyber-droit !

Dans l'e-commerce, une question qui revient souvent concerne les paiements/transactions par CB. Voici une tentative de  synthèse de tout ce que j'ai pu glaner comme informations ces 3 dernières années.
Si vous relevez des erreurs ou des manques n'hésitez pas à le signaler: ça pourra servir aux futurs lecteurs et peut être aussi à mon équipe !

Mise en place

Le banquier - La mise en place d'un système de paiement se fait soit par l'intermédiaire du banquier, soit via des systèmes packagés (type Paybox). Le banquier exige un contrat de VAD (vente à distance). Il est très rare d'avoir un banquier qui sait comment les systèmes de CB sur le net fonctionnent. Pour des besoins spécifiques il faut arriver à mobiliser les personnes compétentes de la banque qui sont généralement au siège et connaissent les arcanes des flux virtuels.

Le programme - Au démarrage la solution est standard. Pour accéder à des fonctions avancées il faut soit être un expert des API informatiques et passer ses nuits sur les livres blancs, soit montrer patte blanche.
Au fur et à mesure que le chiffre d'affaire progresse les fonctionnalités deviennent subitement disponibles :-) (ex: possibilité de placer ses marqueurs publicitaires au niveau de la confirmation de paiement, dupliquer une empreinte pour générer plusieurs transaction à partir d'une seule saisie CB, etc...)

Sécurisation

La facilité - En optant pour une solution packagée l'e-commerçant n'a aucun véritable problème de sécurisation puisque tout les soucis sont déportés sur le site du prestataire de paiement (ex: ATOS)

Ici le principal défi est surtout de mettre l'internaute en confiance en lui apportant les garanties que la solution adoptée.

En revanche dès que l'on commence à installer des briques de paiement sur ses machines pour faire certaines opérations les choses se compliquent... Même si on ne stock pas de numéro de carte sur ses serveurs, le simple fait qu'ils transitent par des pages du site marchand nécessite la mise en place de certificats SSL pour s'assurer que les pages fuitent pas les données ailleurs que prévu...

Les audits - Afin d'éviter tout problème grave, le marchand est tenu de faire des audits réguliers.
Le niveau des audits dépend du CA et du nombre de transactions par an.

Pour les petits sites un simple déclaratif suffit.

Pour les sites moyens il faut réaliser des scans avec un prestataire spécialisé (EY, Cybertrust, ...)

Pour les gros sites il faut un audit complet des bases de données et applicatifs par les mêmes organismes.

Le site qui ne se soumet pas à ces audits est potentiellement passible de poursuites de la part de Visa & Mastercard.

Extrait d'une plaquette Cybertrust:

"En tant que fournisseur de services de paiement ( en anglais Payment Service Provider ou PSP) ou commerçant important, vous devez faire face à des défis majeurs pour obtenir la conformité avec la standard de sécurisation des données pour les cartes de paiement (en anglais Payment Card Industry ou PCI) et pour maintenir cette conformité à jour.
Vous risquez également de graves sanctions si vous ne le faites pas : les amendes de non-conformité que MasterCard et Visa ont le droit d’appliquer, les frais d’investigation éventuels, votre responsabilité générale en cas de fraude ou, plus important encore, les dégâts qu’un incident peut provoquer au sein de votre organisation, en termes de réputation et de confiance.
"

En cas de fraude

La surprise - L'internaute qui se rend compte d'une utilisation frauduleuse de sa CB peut répudier son paiement jusqu'à 6 mois après la date de débit.
Pour cela il doit normalement porter plainte contre X et aller voir son banquier. L'e-commerçant a alors la surprise de voir les sous repartir de son compte en banque sans possibilité de faire quoi que ce soit.

En prime le décaissement est souvent accompagné de frais bancaires salés lorsqu'on démarre...

Le tribunal - Pendant un temps j'allais porter mes répudiations au commissariat pour porter plainte contre X. Un jour un commissaire lyonnais qui avait un peu de temps m'a expliqué qu'il était plus efficace d'écrire directement au tribunal d'instance le plus proche du consommateur afin qu'ils rapprochent ma plainte de celle du porteur de la CB. A ce jour aucune des deux méthode n'est plus efficace l'une que l'autre en terme d'escrocs coincés...
 

Le sale gosse - Avant de partir chez les experts à Lyon, ils faut savoir que dans une majorité de cas la répudiation vient d'un paiement fait par un proche du porteur sans son consentement. Exemple typique du gamin qui se commande une wii en cachette quand ses parents ont oublié de ranger la carte CB. il est donc à mon avis indispensable de choisir des services de livraison contre signature pour pouvoir attester que le produit a été livré ou non au domicile visé avant d'aller chercher plus loin.
 

Points à compléter

Flagrant-délit ? - Quand on détecte une fraude avant que le produit soit livré, comment faire pour prendre l'escroc sur le fait ? J'ai beau en discuter régulièrement avec mes transporteurs, je n'ai pas encore trouvé d'autre solution que faire revenir le produit à la maison et annuler la vente (et au passage perdre le montant des frais de ports...)
Si un lecteur à une méthode pour faciliter le flagrant-délit je suis preneur.

3Dsecure :-D - Les normes européennes devraient faire évoluer le système en dissociant la responsabilité de la société qui délivre la carte de celle qui encaisse le règlement. Il s'agit du fameux système 3D secure dont j'entend parler depuis que j'ai démarré le e-commerce mais dont aucune banque françaises ne veut car en France ce sont les même banques qui vendent les cartes CB aux consommateurs et encaissent les paiements des e-marchands... La suite au prochain épisode. En attendant on a tout de même la chance d'être faiblement commissionné par rapport à nos voisins !

Conclusions

Balance des risques - Le consommateur français qui utilise sa carte bleue sur le net pour payer est extrêmement bien protégé contre tout détournement de son moyen de paiement. En revanche côté e-marchand on est très largement sur-exposé aux failles du système et on dispose de peu de moyens efficaces pour faire avancer les choses car la profession est trop fragmentée. De plus le droit en matière de données personnelles est l'un des plus strict du monde.

A COMPLETER - MERCI DE VOS COMMENTAIRES/COMPLEMENTS

Pour être informé des derniers articles, inscrivez vous :

Patrick 21/12/2012 16:32

Bonjour,
je me permets d'apporter quelques précisions sur la sécurisation des transactions :
- L'utilisation d'un système de redirection pour le paiement (de type Sips, Paybox system ou Ogone e-Commerce) allège les contraintes en termes de normes de sécurité.
- La technologie 3D-secure permet de s'assurer de l'identité du porteur de carte et donc d'éviter l'utilisation de la carte à l'insu du porteur (le cas du gamin avec la wii ...). En outre, le contrat monétique prévoit une garantie de paiement en cas de contestation pour usurpation d'identité.
- Les banques françaises déploient 3D-Secure auprès de leurs marchands (de toute façon, elles n'ont pas vraiment le choix).
le résultat obtenu est un autre débat; celui-ci dépend d'une part de la manière dont sont incités les marchands, la communication qui leur est faite et d'autre part la communication envers les porteurs de carte et le choix des moyens d'authentification.
Pour information, chaque année en France, 7 milliards de transactions sont authentifiés ... sur des TPE, dans des magasins.
- En fonction des risques réels ou perçus, un marchand peut compléter son dispositif sécuritaire par un système de scoring.

blog-ecommerce.com 21/12/2012 16:32

Nous gérons le site Platine-Center.com.
1240 euros de fraudes depuis le début de l'année, dont une commande, 470 euros qui a été livrée... Les autres ont été détectées avant, grâce à Fia-Net. Mais bon, 470 euros, ça met quand-même de mauvaise humeur !!

Karim 21/12/2012 16:32

Bonjour,
Le 3DSecure au Luxembourg fonctionne assez bien puisque nous pouvons débitez jusqu'à 20 jours. En plus, via l'organisme de traitement des transactions, en cas de doute, et à notre demande ils contactent la banque emmétrice de la carte avec un bon 60% de réponse de celles ci.

Daniel Broche 21/12/2012 16:32

Jean-Philippe> La mauvaise exécution du contrat n'est pas une particularité du net
En 2007 la DGCCRF a reçu beaucoup plus de plaintes de consommateurs concernant des commerçants "magasins" que des sites d'e-commerce !
La mise en place de débit type abonnement est très rarement source de litige car les banques n'ouvrent ce type de service que de façon très limité
D'ailleurs on retrouve cela ailleurs que sur le net (reservation d'hotel par téléphone...)
Ceci dit on ne peut en effet pas empecher certains marchands d'etre malhonnetes. Sur le net comme ailleurs malheureusement.
Mais sur le net l'information donne l'avantage au consommateur qui peut facilement prévenir les autres futures victimes !

Jean-Philippe 21/12/2012 16:32

Mmmmmmouais, vous écrivez que "le consommateur qui utilise sa carte bleue sur le net pour payer est extrêmement bien protégé". Il y a quand même le problème de la protection contre les éventuels commerçant malhonnêtes, qui continue à me retenir de contracter avec des e-commerçants (j'en suis désolé...)
Le principal problème est que je ne puis utiliser mon droit de répudiation qu'en cas d'"utilisation frauduleuse" de la carte. Mais si l'utilisation n'est pas frauduleuse, qu'il s'agit d'une simple mauvaise exécution du contrat, typiquement que j'achète un truc une fois et que le commerçant inteprète mon acte, avec plus ou moins bonne foi, comme un abonnement, me débitant désormais tous les mois pour m'envoyer son produit qui ne m'intéresse pas. Pas de fraude, un simple litige civil -> je suis de la baise, n'ai plus qu'à attendre stoïquement l'expiration de mes deux ans de validité de carte bleue, et assigner le commerçant au civil.
Honnêtement, pour moi, consommateur assez paranoïaque, le droit ne me semble pas si franchement protecteur. Il l'est indéniablement si un tiers malhonnête s'interpose entre moi et le commerçant, mais pas si c'est le commerçant qui est malhonnête.

Jean 21/12/2012 16:32

Le 3D secure oblige aussi le commerçant à débiter son client sous 7 jours calendaires. Car si les banques prennent la responsabilité du paiement, elle ne la prennent que sur une très courte période.
Et donc parfois (selon le mode d'accès au stock) à le débiter avant l'expédition.
Le système va donc, parfois, à l'encontre de la relation de confiance client/e-commerçants (cf chez KIABI qui a mis le systeme en place).

Daniel Broche 21/12/2012 16:32

Noety> Un jour peut être. Mais promis je vais en parler à Typepad de la réecriture d'url
Scott> Point intéressant. Je crois que la banque est dans son tort si elle ne demande pas un dépôt de plainte. Mais admettons que le porteur de la carte ne porte pas plainte et que sa banque se contente d'un simple courrier. Quand le marchand envoie lui son courrier au tribunal il va déclencher une enquête qui va tot ou tard amener le porteur à porter plainte à son tour. Surtout si on a un émargé de livraison au nom du client (avec vraie ou fausse signature....)
Déjafé> Oui l'option existe a droite à gauche mais vu que la majorité des banques n'ont pas fait les dev pour que l'internaute puisse saisir son code CB dans la plupart des cas ça amène surtout un beaucoup plus grand nombre de rejets de CB il me semble. Donc des ventes valables perdues par le marchand.

Déjafé 21/12/2012 16:32

Bonsoir,
Le 3DSecure est utilisé par la Caisse d'Epargne, mais je doute de l'efficacité de cette "assurance" en cas de problèmes.
Le soucis avec les paiement par CB et autres d'ailleurs; c'est toujours le commerçant qui est responsable, les banques n'assument aucuns risques. Et en cas de soucis avec une répudiation, n'attendez pas non plus d'informations pour vous aider à résoudre vos problèmes, vous n'aurez même pas le droit au nom de la banque éditrice de la dite CB...
Un vaste sujet et beaucoup de travail pour la défense des e-commerçant dans l'avenir !

Scott 21/12/2012 16:32

Une petite correction dans le point
En cas de fraude -> La surprise
En cas d'utilisation frauduleuse ou pas de sa carte, on envoie un simple courrier de contestation des paiements à sa banque avec la liste des paiements internet contestés.
Aucune plainte au commissariat n'est obligatoire.
PS : je ne sais pas si c'est sage de laisser ce genre de tutorial.

neoty 21/12/2012 16:32

Bonjour,
Je te lit toujours ton blog avec beaucoup d'attention.
Mais quand va tu passer sur un plateforme Wordpress auto hébergé?
Ton blog n'est clairement pas optimisé pour le référencement et cela en grand partie à cause de TypePad.
ex:
http://danielbroche.typepad.com/daniel_broche/2008/04/scurit-paiement.html
devrait etre
http://www.danielbroche.com/ecommerce-paiements/securite-paiement-banquaire-vad

Facebook Twitter RSS Contact