Overblog
Suivre ce blog Administration + Créer mon blog
Daniel Broche
Manipulating search engines for profit become a serious problem (Brin & Page 2000)

Point sur les paiements en ligne et la fraude [à compléter]

Daniel Broche #paiements & confiance

Préambule

Excellente soirée hier soir avec de nombreux acteurs du web Rhone-alpin (merci Olivier).

L'occasion de reparler des affaires récentes. A mon avis d'ici la fin de l'année tous les chefs d'entreprises du net vont devenir des cracks du cyber-droit !

Dans l'e-commerce, une question qui revient souvent concerne les paiements/transactions par CB. Voici une tentative de  synthèse de tout ce que j'ai pu glaner comme informations ces 3 dernières années.
Si vous relevez des erreurs ou des manques n'hésitez pas à le signaler: ça pourra servir aux futurs lecteurs et peut être aussi à mon équipe !

Mise en place

Le banquier - La mise en place d'un système de paiement se fait soit par l'intermédiaire du banquier, soit via des systèmes packagés (type Paybox). Le banquier exige un contrat de VAD (vente à distance). Il est très rare d'avoir un banquier qui sait comment les systèmes de CB sur le net fonctionnent. Pour des besoins spécifiques il faut arriver à mobiliser les personnes compétentes de la banque qui sont généralement au siège et connaissent les arcanes des flux virtuels.

Le programme - Au démarrage la solution est standard. Pour accéder à des fonctions avancées il faut soit être un expert des API informatiques et passer ses nuits sur les livres blancs, soit montrer patte blanche.
Au fur et à mesure que le chiffre d'affaire progresse les fonctionnalités deviennent subitement disponibles :-) (ex: possibilité de placer ses marqueurs publicitaires au niveau de la confirmation de paiement, dupliquer une empreinte pour générer plusieurs transaction à partir d'une seule saisie CB, etc...)

Sécurisation

La facilité - En optant pour une solution packagée l'e-commerçant n'a aucun véritable problème de sécurisation puisque tout les soucis sont déportés sur le site du prestataire de paiement (ex: ATOS)

Ici le principal défi est surtout de mettre l'internaute en confiance en lui apportant les garanties que la solution adoptée.

En revanche dès que l'on commence à installer des briques de paiement sur ses machines pour faire certaines opérations les choses se compliquent... Même si on ne stock pas de numéro de carte sur ses serveurs, le simple fait qu'ils transitent par des pages du site marchand nécessite la mise en place de certificats SSL pour s'assurer que les pages fuitent pas les données ailleurs que prévu...

Les audits - Afin d'éviter tout problème grave, le marchand est tenu de faire des audits réguliers.
Le niveau des audits dépend du CA et du nombre de transactions par an.

Pour les petits sites un simple déclaratif suffit.

Pour les sites moyens il faut réaliser des scans avec un prestataire spécialisé (EY, Cybertrust, ...)

Pour les gros sites il faut un audit complet des bases de données et applicatifs par les mêmes organismes.

Le site qui ne se soumet pas à ces audits est potentiellement passible de poursuites de la part de Visa & Mastercard.

Extrait d'une plaquette Cybertrust:

"En tant que fournisseur de services de paiement ( en anglais Payment Service Provider ou PSP) ou commerçant important, vous devez faire face à des défis majeurs pour obtenir la conformité avec la standard de sécurisation des données pour les cartes de paiement (en anglais Payment Card Industry ou PCI) et pour maintenir cette conformité à jour.
Vous risquez également de graves sanctions si vous ne le faites pas : les amendes de non-conformité que MasterCard et Visa ont le droit d’appliquer, les frais d’investigation éventuels, votre responsabilité générale en cas de fraude ou, plus important encore, les dégâts qu’un incident peut provoquer au sein de votre organisation, en termes de réputation et de confiance.
"

En cas de fraude

La surprise - L'internaute qui se rend compte d'une utilisation frauduleuse de sa CB peut répudier son paiement jusqu'à 6 mois après la date de débit.
Pour cela il doit normalement porter plainte contre X et aller voir son banquier. L'e-commerçant a alors la surprise de voir les sous repartir de son compte en banque sans possibilité de faire quoi que ce soit.

En prime le décaissement est souvent accompagné de frais bancaires salés lorsqu'on démarre...

Le tribunal - Pendant un temps j'allais porter mes répudiations au commissariat pour porter plainte contre X. Un jour un commissaire lyonnais qui avait un peu de temps m'a expliqué qu'il était plus efficace d'écrire directement au tribunal d'instance le plus proche du consommateur afin qu'ils rapprochent ma plainte de celle du porteur de la CB. A ce jour aucune des deux méthode n'est plus efficace l'une que l'autre en terme d'escrocs coincés...
 

Le sale gosse - Avant de partir chez les experts à Lyon, ils faut savoir que dans une majorité de cas la répudiation vient d'un paiement fait par un proche du porteur sans son consentement. Exemple typique du gamin qui se commande une wii en cachette quand ses parents ont oublié de ranger la carte CB. il est donc à mon avis indispensable de choisir des services de livraison contre signature pour pouvoir attester que le produit a été livré ou non au domicile visé avant d'aller chercher plus loin.
 

Points à compléter

Flagrant-délit ? - Quand on détecte une fraude avant que le produit soit livré, comment faire pour prendre l'escroc sur le fait ? J'ai beau en discuter régulièrement avec mes transporteurs, je n'ai pas encore trouvé d'autre solution que faire revenir le produit à la maison et annuler la vente (et au passage perdre le montant des frais de ports...)
Si un lecteur à une méthode pour faciliter le flagrant-délit je suis preneur.

3Dsecure :-D - Les normes européennes devraient faire évoluer le système en dissociant la responsabilité de la société qui délivre la carte de celle qui encaisse le règlement. Il s'agit du fameux système 3D secure dont j'entend parler depuis que j'ai démarré le e-commerce mais dont aucune banque françaises ne veut car en France ce sont les même banques qui vendent les cartes CB aux consommateurs et encaissent les paiements des e-marchands... La suite au prochain épisode. En attendant on a tout de même la chance d'être faiblement commissionné par rapport à nos voisins !

Conclusions

Balance des risques - Le consommateur français qui utilise sa carte bleue sur le net pour payer est extrêmement bien protégé contre tout détournement de son moyen de paiement. En revanche côté e-marchand on est très largement sur-exposé aux failles du système et on dispose de peu de moyens efficaces pour faire avancer les choses car la profession est trop fragmentée. De plus le droit en matière de données personnelles est l'un des plus strict du monde.

A COMPLETER - MERCI DE VOS COMMENTAIRES/COMPLEMENTS

Doute

Daniel Broche #paiements & confiance

Quelles sont parmi les infos suivantes publiées ces dernières 24 heures les poissons d'avril et les vraies patates chaudes ?

Le président de la FEVAD annonce de nouvelles mesure contre l'ecommerce dans le JdN :
Luc Chatel envisagerait sérieusement d'imposer la facturation à la réception des colis et créer un comparateur de prix financé par le service public.

Grand recrutement de riders chez Décathlon pour devenir  rejoindre l''hiver prochain le team de Candide et Enak (nouvelle marque Weed'ze).

La CCI de Lyon n'a pas parlé d'un seul service Internet dans sa feuille de chou institutionnelle depuis plusieurs mois.

Lancement de FranceCrunch ce midi dans les kiosques pour mieux comprendre le web 3.0, c'est à dire le papier où on clique.

Je suis toujours dans le top 100 Wikio des blogs spécialistes du high-tech sans jamais avoir écrit le mot iPhone (mince c'est fait)

Après les rendez-vous ou tout le monde s'immobilise pendant quelques minutes dans un lieu public, après les batailles de polochon géantes devant la tour Eiffel, une grande chatbite party est organisée à Paris ce mois-ci

Le site entreparticuliers.com permettrait de récupérer les no de CB avec cryptogramme et date d'expiration (et nom du client) de plusieurs personnes.

ecommerce: Tarifs Colissimo

Daniel Broche #e-commerce: logistique

Les nouveaux prix de la Poste on fait pas mal de bruit dans la blogosphère du e-commerce. Le prix du pétrole augmente et entraine donc les prix de livraison à la hausse.
Sans compter l'ouverture du marché à la concurrence qui incite l'opérateur historique à financer des investissement lourds avant l'arrivée d'une myriade de concurrents.

Comme beaucoup le savent déjà, on peut faire de substantielles économies en identifiant les colis livrés hors délai et en demandant le remboursement.
Une autre astuce consiste à jouer sur le décalage horaire. Le changement horaire permet à La Poste de réduire de 2% son délai sans coût additionnel (1h pour un délai de 48h). Comme me l'a expliqué mon chargé de compte que je connais bien, il est donc tout à fait valable de se faire rétrocéder ces 2% sur les envois de la semaine dernière uniquement bien entendu.

Entreparticuliers.com: Merci de les prévenir

Daniel Broche #paiements & confiance

Si vous connaissez quelqu'un qui travaille chez cette société, il serait bon de leur indiquer qu'une faille de sécurité ça peut exister.
Qu'elle permetterait de sortir les n° de CB avec crypto et date d'expiration c'est vraiment pas cool.
Mais qu'en plus elle ne soit pas corrigée une semaine après notification ça n'est pas sérieux.

C'est typiquement le genre de problème qui peut porter le discrédit sur tous les systèmes de paiement en ligne si elle arrive aux oreilles de certains internautes !

Pourtant un site qui stock les no CB doit passer des audits de sécurité réguliers par des organismes certifiés et indépendants. Je suis curieux de savoir qui a fait le dernier contrôle d'Entreparticuliers.com ?! (et pourquoi se compliquerait ils la vie à stocker ce type d'information chez eux plutôt que le laisser aux spécialistes comme ATOS ?)

Justice pas net

Daniel Broche #Uncategorized

Justice pas net: picture Eric in the dark lodge by danielbroche
Eric in the dark lodge, première mise en ligne par danielbroche.

Je dinais avant hier avec Eric et deux autres blogueurs. Nous avons parlé à bâtons-rompus de son affaire Fuzz-Martinez.

La décision du tribunal de condamner Eric est surprenante et injuste.
Il y aurait de quoi être déçu et dégouté mais Eric est quelqu'un qui ne se laisse pas abattre. Je suis certain qu'il va trouver une façon positive de transformer cette mésaventure en quelque chose de constructif.

Il n'empêche que je n'arrive pas à prendre au sérieux ce jugement. La capture d'écran d'Arnaud montre toute l'absurdité de la situation !

Toujours dans le registre judiciaire, le même jour c'est Yahoo! actu qui relaye une condamnation de Cdiscount pour clauses abusives.
Le montant de l'amende est 10 fois plus élevé que celui d'Eric mais cela fait 100 fois moins de bruit.
Cela illustre bien la portée symbolique du jugement prononcé contre Fuzz.

Fausses prévisions

Daniel Broche #Uncategorized

Fausses prévisions: picture Skiwoche Frankreich März 2008 by Grekarli
Skiwoche Frankreich März 2008, première mise en ligne par Grekarli.

Les prévisions long terme des modèles climatologiques étaient complètement dans le faux (retour précoce du printemps en mars)

Tant mieux !

Kelkoo, kelsuite ?

Daniel Broche #e-commerce finance

"Yahoo! veut vendre Kelkoo mais le bradera t'il ?": L'article du JdN au titre provocateur met en lumière les manœuvres autour d'un des plus importants acteur du web-marchand européen.

kelkoo: picture kelkoo by codordog
kelkoo, première mise en ligne par codordog.

 

L'e-commerce a fondamentalement changé en l'espace de 3 ans. Le Web 2.0 arrive à maturité. C'est intéressant de noter que l'histoire de Kelkoo est marquée par les même rythmes que le web depuis bientôt 10 ans...

Les principaux champions du e-commerce savent que la progression se fait désormais à un rythme beaucoup plus lent, sauf pour les places de marché. La croissance concerne désormais le nombre de marchands, bien plus que le nombre de nouveaux e-consommateurs !!!
L'offre progresse beaucoup plus vite que la demande.

Paradoxalement les comparateurs ne démultiplient pas forcément leur succès sur l'explosion de l'offre marchande. Quand on vend du traffic la valeur ajoutée vient d'abord de la croissance de la demande.
De plus, une grande partie des nouveaux e-marchands entrants n'est pas du tout professionnelle ni prête à investir dans du trafic. Il leur faut du CA sûr et certain ! Seule l'affiliation et les marketplaces (quelle différence au fait ?) ont un business model et un discours commercial taillés pour cela actuellement.

Pourtant les efforts des comparateurs pour aller dans l'intérêt des consommateurs sont bien réel. En ce qui concerne Kelkoo, le portail a développé un label vraiment exigeant. Le nombre de marchands labellisés est très restreint. Seulement 19 en février ! (Dont Discounteo et nous en sommes très fiers !)

Le JdN évoque des pistes vers les plates-formes C2C pour Kelkoo. La concentration du e-commerce pourrait en effet commencer sérieusement par les métiers de l'intermédiation, loin de la logistique et  des contraintes du monde physique qui rendent si compliqué les synergies. Dans ce cas il y a fort à parier que la concurrence deviennent de plus en plus frontale entre des Pixmania / RDC et des Priceminister / eBay.

Un confrère très lucide me posait encore la question hier au déjeuner:

        Existe t'il vraiment de la place pour plusieurs places de marché à terme ?

Si la réponse est non, les avantages concurrentiels seront très ténus dans un monde complètement immatériel. Dans cette hypothèse Kelkoo est clairement un actif stratégique pour la nouvelle manche qui débute...

Ski de printemps ?

Daniel Broche #Uncategorized

C'est le grand dilemne du week end: braver les chutes de neige pour aller faire du ski de rando dans les Alpes ou bien rester à Lyon et poncer le parquet !

ADN online

Daniel Broche #IST project of the month

Je n'ai pas souhaité écrire "à chaud" quand j'ai lu la note de Loic qui explique qu'il va prochainement mettre en ligne son test ADN sur son blog (via le service de 23andme).

Les technologies génétiques tout comme Internet ouvrent des espaces de liberté nouveaux. Il est important de défendre cette liberté mais il est tout aussi indispensable d'en assumer la responsablité.

Le premier sentiment que j'ai eut à la lecture de cette note c'est une surprenante légereté vis à vis d'un sujet qui inquiète beaucoup.

La video de présentation de ce nouveau service me rappelle Bienvenue à Gattaca. On retrouve dans l'enthousiasme et les explications de ces deux entrepreneuses, la logique des personnages de cette fiction.

Bien sûr Loic est un très bon polémiste qui sait qu'une position tranchée à outrance favorise le débat et les réactions.
De plus le test en question ne dévoile pas tout son code ADN mais uniquement quelques centaines de caractéristiques.

Il n'empêche: en rendant public même partiellement son information génétique, Loic va indirectement dévoiler définitivement une partie du patrimoine génétique de toute sa famille. En particulier ses enfants.
Pour quelque-un qui a depuis longtemps comprit l'importance d séparer sa vie publique de sa vie privée, il me semble que ce choix est bel est bien irréfléchi.

D'une manière plus large, les business-models autour de la génétique me laissent aussi perplexes que ceux autour de la musique en ligne, basés sur les droits d'auteur.

L'ADN est un support d'information. Il est donc répliquable à l'infini. Jusqu'à présent ce sont les barrières techniques qui nous ont empêché de le lire et de le faire circuler (pour le décryptage c'est une autre histoire). Un peu comme les morceaux de musique à l'ère du CD...

La digitalisation de cette information rend sa circulation libre. L'exemple de la musique montre à quel point il est ensuite difficile de résoudre le problème de la responsabilité (coûts, détournements, etc...)

23andMe me fait donc penser à Napster en son temps. Une approche radicalement différente, en réseau mais complètement déconnectée de la réalité sociale...

Technologie, bonheur et web2.0

Daniel Broche #Opinion, #Technologies & prospective

La question du lien entre progrès technique et bonheur relève de la philosophie. Nombreux sont les scientifiques et techniciens qui doutent de la finalité de leur travail.

An apple for lunch: picture An apple for lunch by Doug Berry
An apple for lunch, première mise en ligne par Doug Berry.
free music

Internet a crée un nouvel espace de liberté, mais comme on le voit depuis peu, si l'espace continue de s'étendre, la liberté n'est pas garantie:

  • Les publicitaires en mal d'imagination face à Google rêvent de systèmes de prédiction comportementale.
  • Les pseudo-célébrités en mal d'argent trouvent des foules de personnes à menacer des pires foudres de la justice
  • Les rares artistes rentiers et leur industrie cherchent à monopoliser la créativité et la circulation de la culture
  • Les états totalitaires traquent et censurent les sources d'information et de savoir qui ne leur sont pas favorables dans l'espoir de contrôler ce que sait et dit chaque citoyen.

Pour l'instant, les progrès techniques du web on mené dans le mur ces initiatives (quoi que Google & Yahoo! en Asie c'est pas reluisant...). Mais la technologie pourrait permettre tout cela comme son contraire. Pour ceux et celles qui souhaitent aller plus loin dans la réflexion, voici une petite citation issue d'un compte rendu quasi epistémologique très interessant d'un SciCamp:

"Television makers will always justify themselves by saying that children enjoy their programs. They say they make children smile and laugh. But children will also smile if you give them cocaine. The argument that children enjoy something or laugh at something is not the basis on which you decide what is good for them."

Les conclusions sur le web 2.0 sont très pertinentes.

Voyez vous d'autres exemples ou le web peut se retourner contre ses utilisateurs ?

Afficher plus d'articles

Facebook Twitter RSS Contact