ecommerce

L’e-commerce : sécurité et paiements en ligne

La corde sensible d’Internet : état des lieux

Jean David Olekhnovitchwww.olek.frV1.2 - 29/01/10

mercredi 3 février 2010

Evolution du marché français

0

5,00

10,00

15,00

20,00

2002 2003 20042005

20062007

2008

Evolution du CA B to C en milliards d’euros


Faire son site d’ecommerce

• Comment ça marche ?

• Quels prestataires ?

• Quelles technologies ?

• Quels budgets ?


Différentes offres

• ASP : Application Service Provider

• Communautaire (eBay)

• Prestation agence web

• Sur mesure


ASP : clé en main• Le site est hébergé sur un serveur distant, avec

une solution toute prête

• Aucune préoccupationtechnique à avoir

• Mais pas desouplesses, fonctionslimitées

• Ex : PrestaStore, PowerBoutique, WiziShop


Commaunautaire

• On passe par un service ‘full ASP’, mais hébergé par un site gérant sa communauté

• Garantie d’un trafic plus important

• Mais se fait souvent payer au prix fort (% élevé sur les ventes, etc...)


eBay : Un leader...déclinant

• Propose divers services, allant de l’enchère jusqu’à la petite annonce

• Nombreuses fonctions demise en avant

• Coût rapidement élevé

• Site en perte de vitesse

• Concurrence du ‘Bon coin’ en France


Parenthèse : comparer deux services• Des sites tels qu’Alexa donne des indicateurs

sur le trafic

• Fiabilité <100%, mais les ‘proportions’ sont souvent les bonnes


Autres modes ‘communautaires’

• Comparateur de prix : s’apparentent de plus en plus à des catalogues rémunérés par les vendeurs

• Ex : Kelkoo

• Boutiques d’affiliation : Zlio permet de créer une boutique de produits vendus par des tiers


Prestation par une agence Web

• Se basent en général sur une solution OpenSource existante (PrestaShop, Thelia, Magento...)

• Disclaimer : je suis partie prenante dans la société éditrice de Thelia

• Permet de se reposer sur un prestataire

• Personnalisations possibles (charte graphique...)

• Coût bien plus élevé


Sur mesure

• Faire travailler un ou plusieurs développeurs pour construire son site sur mesure

• Souplesse absolue

• Coût énorme

• Fiabilité aléatoire

• A réserver aux très gros projets


Etat des lieux de l’eCommerce

En France et à l’international


Panier moyen en France

90 euros


Abandon d’un panier

entre 50 et 60% des cas

Part de la peur du paiement ?


Fraude

0,235% du CA Interneten 2008

(contre 0,036% tous secteurs confondus)


Répartition des fraudes

30 %

18 %

25 %

7 %

10 %

1 %4 %

5 %

Electr. grand publicInformatiqueTourismeTéléphonieHabillementAlimentationPetit matériel élec.Divers

Source : Fia-Net


Les paiements “classiques”


Paiement en ligne via sa banque

• La plupart des banques proposent aujourd’hui des terminaux “en ligne”

• Paiement via la saisie d’un numéro de carte bancaire sur le site

• Les transactions sont gérées par la banque comme tout TPE (Terminal de Paiement Electronique)


Principe de fonctionnement

• 1ère étape : après sélection du produit et validation du panier, on demande le paiement

!!"#$%

&'($#)*+&$'!

%

,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%

!"#$%&'(')*&+,#&#"(-%+

%

!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>?@A

!

!"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$!

!!

!

!!!

!

!!

!!"#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'!16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!!!

!"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%(!

!


Saisie numéro de carte• L’internaute est ensuite rerouté sur le site de

paiement de la banque, via une liaison sécurisée SSL

!!"#$%

&'($#)*+&$'!

%

,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%

!"#$%&'(')*&+,#&#"(-%+

%

!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>?@A

!

!"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$!

!!

!

!!!

!

!!

!!"#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'!16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!!!

!"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%(!

!

Multiples cartes

Contrôle cryptogramme

Saisie à la charge de

l’internauteLe look de l’interface est

volontairement vieillot (donne l’impression de

robustesse)


Confirmation paiement

• Après validation de la carte, un écran confirme la commande et renvoie sur le site du marchand

!!"#$%

&'($#)*+&$'!

%

,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%

!"#$%&'(')*&+,#&#"(-%+

%

!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>?@A

!"!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(!'-(!*+7(!)$%-582,+.%8-!+9(1!'-! #%(-! :)8-.! #(! .(;.(!(&.!*(2&8--+#%&+3#(</!4'%!*(2,(.!=! #$+16(.('2!)(! 2(.8'2-(2!&'2! #(!&%.(!)'!18,,(2>+-.!?!!!

!"#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&((!

!!!!!!!


Gestion des paiements

• La banque fournit au marchant un “BackOffice” de gestion des paiements

• La plupart de ces services restent très rudimentaires

!!"#$%

&'($#)*+&$'!

%

,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%

!"#$%&'(')*&+,#&#"(-%+

%

!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>>?@A

!"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0*

!"#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;((


Intégration à un système d’information

Il est souvent possible d’exporter les données de paiement au format XML, pour traitement dans une autre application (backend de gestion commerciale...)

!!"#$%

&'($#)*+&$'!

%

,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%

!"#$%&'(')*&+,#&#"(-%+

%

!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>?@?A

!!"#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&!($3$-5)#6&#! 0'! 7*-5*&#! 89:! -+'(&')'(! 0'! #$-)/*(03)(*7! ,&%! -+..)',&%! /);$&%! %0#! 0'&!<+0#'$&!=!!"#$%&'#(!!"#$%)*+!,-'./.(&!0!!1&&23044555678.9'&/%&%.$6:84&.$.2;'./.(&!


Cryptage des transferts

• Via SSL, l’algorithme géré par les navigateurs Web (Internet Explorer, Firefox...)

• Ce mécanisme allie :

• Un certificat signant l’authenticité du serveur

• Un algorithme de cryptage 128 bits


SSL dans la pratique• L’adresse du site doit être précédée de

HTTPS://

• La liaison sécurisée est représentée par un cadenas

• Si le serveur n’utilise pas de certificat, ou un certificat périmé, le cryptage demeure utilisable


Solidité SSL ?

• SSL comme tous les algos de cryptage, n’est pas à l’abri de tout piratage

• Mais “cracker” une clé SSL nécessite de tels moyens qu’une telle opération n’est dans la pratique jamais effectuée

• SSL peut donc être considéré comme complètement fiable


Principaux problèmes rencontrés

• Vol de numéro de carte bancaire

• Ex : laisser sa carte quelques secondes à un commerçant peu scrupuleux

• Génération de faux numéros de cartes

• Les fameuses «Yes-Cards»

• Mauvaise foi de l’acheteur


Usurpation de carte bancaire

Les numéros de carte bancaire sont des suites numériques reproductibles en suivant certaines règles mathématiques


Génération de faux numéros de CB

• Des logiciels existent

• Permet de simulerune banque, un nomde porteur...

• Ces “yescard” permettent de passer les simples vérifications numériques (pas d’appel direct avec les centraux bancaires)


Codes de contrôle (cryptogramme visuel)

• Numéro inscrit à l’arrière des cartes, et est demandé pour chacune des transactions

• Ce numéro ne peut être généré

• Il fonctionne via un algorithme de cryptage unidirectionnel

• Il permet de valider un numéro de carte

• Ne peut être généré à partir de ce numéro

➡Bonne parade aux “yescard”


Parades plus avancées

• Si un commerçant ‘emprunte’ votre carte, il va pouvoir noter le numéro...et le cryptogramme

• Il faut donc des verrous plus puissants permettant un troisième niveau de contrôle :

1. Numéro de carte valide

2. Cryptogramme correspondant au numéro

3. Autre questionnement : 3DSecure


3D Secure

• Mis au point en 2008 par un consortium de banque

• Consiste en une question ‘subsidiaire’

• Suivant les banques, la question change :

• Ex : date de naissance

• Ex : code envoyé par SMS

• Ex : clé d’authenfication


3D Secure : un handicap ?

• Pour les marchands, 3D Secure est considéré comme un frein à la vente : trop de contraintes

• Pour une protection concernant un nombre de cas trop limités ?

• Protection ‘ultime’ ? (ex : date de naissance peut être récupérée par Facebook, code postal par l’annuaire, etc...)


Certification et vérification

• FIA-Net

• Deux rôles principaux :

• ‘labellise’ les sites d’e-commerce les plus reconnus

• Recense les mauvais payeurs et permet d’éviter des transactions frauduleuses


Contact Data Management

• Vérification d’une adresse postale

• Permet de filtrer les commandes les plus négligées

• Et aussi de s’assurer d’une livraison dans de bonnes conditions

• Leader : QAS


PayPal


PayPal

• Créé à l’initiative d’eBay

• Disponible désormais pour n’importe quel site


Principes de PayPal

• Les transactions ne passent plus par un organisme bancaire

• Tout reste “virtuel”

• Vous obtenez l’équivalent d’un compte bancaire chez PayPal :

• Vous pouvez recevoir des paiements

• Et en effectuer


Principe d’un paiement

3

Qu’est-ce que PayPal?

! PayPal est une solution de paiement en ligne

! Simple

! Rapide

! Internationale

! Sécurisée


Intérêt de PayPal

• Pour l’utilisateur :

• Pas de coordonnées bancaires en ligne

• Transactions facilitées

• Pour PayPal :

• la somme des comptes PayPal constitue un capital à faire fructifier


Boutiques PayPal

• La principale : eBay

• Les transactions PayPal sont favorisées

• N’importe quelle boutique

• Via une API

• Possibilité de widgets facilitant l’acte d’achat

5

PayPal : exemples de sites marchands


PayPal sur une boutique d’e-commerce

• Simple création de compte en ligne

• un compte de marchand est un compte PayPal classique

• Commission à la vente : entre 1,9% et 3,4%

• Solution reconnue internationalement

• Compte PayPal client non obligatoire... mais recommandé


PayPal sans compte

14

Paiement avec ou sans création de compte : « sans »

• Un paiement

similaire à un

paiement

sécurisé en ligne

CB classique.

• La création du

compte PayPal

est optionnelle.


PayPal avec un compte

15

Paiement avec ou sans création de compte : « avec »

Un paiement en 2 clics sans partager mes données financières


Paiements pré-approuvés

• L’acheteur s’inscrit une fois

• Il se désinscrit à la demande

• Tous les achats se font en mode “one-clic”

• Facilite les achats impulsifss

• Permet de regrouper les paiements

• Modèle économique “à la iTunes”17

Paiements pré-approuvés : principe

! Cette option permet d’établir une pré-approbation

des paiements entre le site et l’acheteur

! L’équivalent électronique d’une autorisation de prélèvement

bancaire

! Intérêt : vos acheteurs vous paient en un clic

! Dès que l’acheteur a approuvé la pré-facturation avec le site

marchand, il n’a plus besoin d’entrer ni login PayPal ni mot de

passe.

! Permet au marchand de facturer et gérer l’échéancier d’un

paiement récurrent

!Exemples :


Fraude sur PayPal

• Taux annoncé : 0,5%

• Pas si bas que cela... (possibilité de phishing de comptes)

• Système de vérification des comptes

• Contrôle des crédits sur les comptes

• Structure dédiée à la sécurité, et non une antenne de structure bancaire


Micropaiements


Les micropaiements

• Problématique :

• Faciliter l’acte d’achat

• Permettre le paiement de petites sommes

• Ex : achat de musique, de sonnerie de tel..

• Eviter l’utilisation de la carte bancaire


Principaux commerces

• Musique en ligne

• Accès privatif à des sites adultes

• Accès à des services “Premiums” de sites Web

• Achat de documents en ligne

• Achat de sonneries, de fonds d’écran de tél..

• Des exemples sur www.biz-n-cash.fr


http://www.biz-n-cash.fr

http://www.biz-n-cash.fr

Marché visé

0

25

50

75

100

20042005

0 à $4,99 $5 à $49 > à $50

24 %

43 %

33 %


Principaux médias de micropaiement

• Tél surtaxé

• SMS surtaxé

• Paiement via son FAI


Le téléphone : un terminal de paiement

• Il devient possible d’utiliser son téléphone pour effectuer des micro-paiements

• Principe : appel d’un numéro surtaxé

• On obtient au téléphone un code

• Alternative : code reçu par SMS

• Le code doit être rentré sur le site pour donner accès au “produit”


Utilisation du téléphone

• Démocratisé pour les sites XXX

• Dépense “indolore” (passe par la facture téléphonique)


Micropaiement via son fournisseur d’accès

• Certains FAI (Orange, Free) proposent des services de micropaiement

• Identification “induite” via la connexion

• La transaction s’effectue directement entre le site d’e-commerce et le FAI

• Paiement entièrement transparent (juste une validation)

• La facturation se fait en même temps que l’abonnement


Micropaiement via le FAI

(d’après www.w-ha.com)


http://www.w

http://www.w

Terminal portable

• L’exemple de Square, Startup fondée en 2009

• Utilise un iPhone etun petit accessoire

• Lit la piste magnétique

• Utilisable en France ?

• Outil à la fois pour lerevendeur et le client


Phishing et autres arnaques


Le phishing (hameçonnage)

• Principe : faire croire qu’un email vous est adressé et vous faire saisir login et mot de passe

• Moyens : recréer à l’identique l’environnement du site d’origine

• Le phishing est un cas particulier de Scam, ou fraude 4-1-9 (envoi de mail profitant de la crédulité des gens)


Exemple de phishing


Comment détecter du phishing ?

• Problème : très difficile a détecter automatiquement

• Pas de logiciel “anti-phishing”

• Premier indice : l’URL


Comment détecter du phishing ? (2)

• Les “vrais” mails envoyés par de tels services intègrent maintenant systématiquement vos noms et prénoms

• Preuve que la base de données derrière est bien la vraie


Parades contre le phishing

• Les navigateurs modernes incluent des consultations de bases de données recensant les phishing les plus connus


ecommerce

Technology