ecommerce
DESCRIPTION
Les différents modes de paiement d'un site d'ecommerce. Avec des parenthèses sur des questions d'hébergement et de sécuritéTRANSCRIPT
L’e-commerce : sécurité et paiements en ligne
La corde sensible d’Internet : état des lieux
Jean David Olekhnovitchwww.olek.frV1.2 - 29/01/10
mercredi 3 février 2010
Evolution du marché français
0
5,00
10,00
15,00
20,00
2002 2003 20042005
20062007
2008
Evolution du CA B to C en milliards d’euros
mercredi 3 février 2010
Faire son site d’ecommerce
• Comment ça marche ?
• Quels prestataires ?
• Quelles technologies ?
• Quels budgets ?
mercredi 3 février 2010
Différentes offres
• ASP : Application Service Provider
• Communautaire (eBay)
• Prestation agence web
• Sur mesure
mercredi 3 février 2010
ASP : clé en main• Le site est hébergé sur un serveur distant, avec
une solution toute prête
• Aucune préoccupationtechnique à avoir
• Mais pas desouplesses, fonctionslimitées
• Ex : PrestaStore, PowerBoutique, WiziShop
mercredi 3 février 2010
Commaunautaire
• On passe par un service ‘full ASP’, mais hébergé par un site gérant sa communauté
• Garantie d’un trafic plus important
• Mais se fait souvent payer au prix fort (% élevé sur les ventes, etc...)
mercredi 3 février 2010
eBay : Un leader...déclinant
• Propose divers services, allant de l’enchère jusqu’à la petite annonce
• Nombreuses fonctions demise en avant
• Coût rapidement élevé
• Site en perte de vitesse
• Concurrence du ‘Bon coin’ en France
mercredi 3 février 2010
Parenthèse : comparer deux services• Des sites tels qu’Alexa donne des indicateurs
sur le trafic
• Fiabilité <100%, mais les ‘proportions’ sont souvent les bonnes
mercredi 3 février 2010
Autres modes ‘communautaires’
• Comparateur de prix : s’apparentent de plus en plus à des catalogues rémunérés par les vendeurs
• Ex : Kelkoo
• Boutiques d’affiliation : Zlio permet de créer une boutique de produits vendus par des tiers
mercredi 3 février 2010
Prestation par une agence Web
• Se basent en général sur une solution OpenSource existante (PrestaShop, Thelia, Magento...)
• Disclaimer : je suis partie prenante dans la société éditrice de Thelia
• Permet de se reposer sur un prestataire
• Personnalisations possibles (charte graphique...)
• Coût bien plus élevé
mercredi 3 février 2010
Sur mesure
• Faire travailler un ou plusieurs développeurs pour construire son site sur mesure
• Souplesse absolue
• Coût énorme
• Fiabilité aléatoire
• A réserver aux très gros projets
mercredi 3 février 2010
Etat des lieux de l’eCommerce
En France et à l’international
mercredi 3 février 2010
Panier moyen en France
90 euros
mercredi 3 février 2010
Abandon d’un panier
entre 50 et 60% des cas
Part de la peur du paiement ?
mercredi 3 février 2010
Fraude
0,235% du CA Interneten 2008
(contre 0,036% tous secteurs confondus)
mercredi 3 février 2010
Répartition des fraudes
30 %
18 %
25 %
7 %
10 %
1 %4 %
5 %
Electr. grand publicInformatiqueTourismeTéléphonieHabillementAlimentationPetit matériel élec.Divers
Source : Fia-Net
mercredi 3 février 2010
Les paiements “classiques”
mercredi 3 février 2010
Paiement en ligne via sa banque
• La plupart des banques proposent aujourd’hui des terminaux “en ligne”
• Paiement via la saisie d’un numéro de carte bancaire sur le site
• Les transactions sont gérées par la banque comme tout TPE (Terminal de Paiement Electronique)
mercredi 3 février 2010
Principe de fonctionnement
• 1ère étape : après sélection du produit et validation du panier, on demande le paiement
!!"#$%
&'($#)*+&$'!
%
,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%
!"#$%&'(')*&+,#&#"(-%+
%
!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>?@A
!
!"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$!
!!
!
!!!
!
!!
!!"#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'!16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!!!
!"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%(!
!
mercredi 3 février 2010
Saisie numéro de carte• L’internaute est ensuite rerouté sur le site de
paiement de la banque, via une liaison sécurisée SSL
!!"#$%
&'($#)*+&$'!
%
,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%
!"#$%&'(')*&+,#&#"(-%+
%
!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>?@A
!
!"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$!
!!
!
!!!
!
!!
!!"#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'!16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!!!
!"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%(!
!
Multiples cartes
Contrôle cryptogramme
Saisie à la charge de
l’internauteLe look de l’interface est
volontairement vieillot (donne l’impression de
robustesse)
mercredi 3 février 2010
Confirmation paiement
• Après validation de la carte, un écran confirme la commande et renvoie sur le site du marchand
!!"#$%
&'($#)*+&$'!
%
,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%
!"#$%&'(')*&+,#&#"(-%+
%
!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>?@A
!"!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(!'-(!*+7(!)$%-582,+.%8-!+9(1!'-! #%(-! :)8-.! #(! .(;.(!(&.!*(2&8--+#%&+3#(</!4'%!*(2,(.!=! #$+16(.('2!)(! 2(.8'2-(2!&'2! #(!&%.(!)'!18,,(2>+-.!?!!!
!"#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&((!
!!!!!!!
mercredi 3 février 2010
Gestion des paiements
• La banque fournit au marchant un “BackOffice” de gestion des paiements
• La plupart de ces services restent très rudimentaires
!!"#$%
&'($#)*+&$'!
%
,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%
!"#$%&'(')*&+,#&#"(-%+
%
!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>>?@A
!"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0*
!"#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;((
mercredi 3 février 2010
Intégration à un système d’information
Il est souvent possible d’exporter les données de paiement au format XML, pour traitement dans une autre application (backend de gestion commerciale...)
!!"#$%
&'($#)*+&$'!
%
,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%%
!"#$%&'(')*&+,#&#"(-%+
%
!"#$%&'(')*&+,#&#"(-%+.+/%"$)*&+012*3%&+.++4(&/)%"++25561+7*38"),9':+;+255<+2556+=>"*+?&@*"A(')*&+1B--+"),9'$+"%$%"/%C1%,-=/%>?@?A
!!"#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&!($3$-5)#6&#! 0'! 7*-5*&#! 89:! -+'(&')'(! 0'! #$-)/*(03)(*7! ,&%! -+..)',&%! /);$&%! %0#! 0'&!<+0#'$&!=!!"#$%&'#(!!"#$%)*+!,-'./.(&!0!!1&&23044555678.9'&/%&%.$6:84&.$.2;'./.(&!
mercredi 3 février 2010
Cryptage des transferts
• Via SSL, l’algorithme géré par les navigateurs Web (Internet Explorer, Firefox...)
• Ce mécanisme allie :
• Un certificat signant l’authenticité du serveur
• Un algorithme de cryptage 128 bits
mercredi 3 février 2010
SSL dans la pratique• L’adresse du site doit être précédée de
HTTPS://
• La liaison sécurisée est représentée par un cadenas
• Si le serveur n’utilise pas de certificat, ou un certificat périmé, le cryptage demeure utilisable
mercredi 3 février 2010
Solidité SSL ?
• SSL comme tous les algos de cryptage, n’est pas à l’abri de tout piratage
• Mais “cracker” une clé SSL nécessite de tels moyens qu’une telle opération n’est dans la pratique jamais effectuée
• SSL peut donc être considéré comme complètement fiable
mercredi 3 février 2010
Principaux problèmes rencontrés
• Vol de numéro de carte bancaire
• Ex : laisser sa carte quelques secondes à un commerçant peu scrupuleux
• Génération de faux numéros de cartes
• Les fameuses «Yes-Cards»
• Mauvaise foi de l’acheteur
mercredi 3 février 2010
Usurpation de carte bancaire
Les numéros de carte bancaire sont des suites numériques reproductibles en suivant certaines règles mathématiques
mercredi 3 février 2010
Génération de faux numéros de CB
• Des logiciels existent
• Permet de simulerune banque, un nomde porteur...
• Ces “yescard” permettent de passer les simples vérifications numériques (pas d’appel direct avec les centraux bancaires)
mercredi 3 février 2010
Codes de contrôle (cryptogramme visuel)
• Numéro inscrit à l’arrière des cartes, et est demandé pour chacune des transactions
• Ce numéro ne peut être généré
• Il fonctionne via un algorithme de cryptage unidirectionnel
• Il permet de valider un numéro de carte
• Ne peut être généré à partir de ce numéro
➡Bonne parade aux “yescard”
mercredi 3 février 2010
Parades plus avancées
• Si un commerçant ‘emprunte’ votre carte, il va pouvoir noter le numéro...et le cryptogramme
• Il faut donc des verrous plus puissants permettant un troisième niveau de contrôle :
1. Numéro de carte valide
2. Cryptogramme correspondant au numéro
3. Autre questionnement : 3DSecure
mercredi 3 février 2010
3D Secure
• Mis au point en 2008 par un consortium de banque
• Consiste en une question ‘subsidiaire’
• Suivant les banques, la question change :
• Ex : date de naissance
• Ex : code envoyé par SMS
• Ex : clé d’authenfication
mercredi 3 février 2010
3D Secure : un handicap ?
• Pour les marchands, 3D Secure est considéré comme un frein à la vente : trop de contraintes
• Pour une protection concernant un nombre de cas trop limités ?
• Protection ‘ultime’ ? (ex : date de naissance peut être récupérée par Facebook, code postal par l’annuaire, etc...)
mercredi 3 février 2010
Certification et vérification
• FIA-Net
• Deux rôles principaux :
• ‘labellise’ les sites d’e-commerce les plus reconnus
• Recense les mauvais payeurs et permet d’éviter des transactions frauduleuses
mercredi 3 février 2010
Contact Data Management
• Vérification d’une adresse postale
• Permet de filtrer les commandes les plus négligées
• Et aussi de s’assurer d’une livraison dans de bonnes conditions
• Leader : QAS
mercredi 3 février 2010
PayPal
mercredi 3 février 2010
PayPal
• Créé à l’initiative d’eBay
• Disponible désormais pour n’importe quel site
mercredi 3 février 2010
Principes de PayPal
• Les transactions ne passent plus par un organisme bancaire
• Tout reste “virtuel”
• Vous obtenez l’équivalent d’un compte bancaire chez PayPal :
• Vous pouvez recevoir des paiements
• Et en effectuer
mercredi 3 février 2010
Principe d’un paiement
3
Qu’est-ce que PayPal?
! PayPal est une solution de paiement en ligne
! Simple
! Rapide
! Internationale
! Sécurisée
mercredi 3 février 2010
Intérêt de PayPal
• Pour l’utilisateur :
• Pas de coordonnées bancaires en ligne
• Transactions facilitées
• Pour PayPal :
• la somme des comptes PayPal constitue un capital à faire fructifier
mercredi 3 février 2010
Boutiques PayPal
• La principale : eBay
• Les transactions PayPal sont favorisées
• N’importe quelle boutique
• Via une API
• Possibilité de widgets facilitant l’acte d’achat
5
PayPal : exemples de sites marchands
mercredi 3 février 2010
PayPal sur une boutique d’e-commerce
• Simple création de compte en ligne
• un compte de marchand est un compte PayPal classique
• Commission à la vente : entre 1,9% et 3,4%
• Solution reconnue internationalement
• Compte PayPal client non obligatoire... mais recommandé
mercredi 3 février 2010
PayPal sans compte
14
Paiement avec ou sans création de compte : « sans »
• Un paiement
similaire à un
paiement
sécurisé en ligne
CB classique.
• La création du
compte PayPal
est optionnelle.
mercredi 3 février 2010
PayPal avec un compte
15
Paiement avec ou sans création de compte : « avec »
Un paiement en 2 clics sans partager mes données financières
mercredi 3 février 2010
Paiements pré-approuvés
• L’acheteur s’inscrit une fois
• Il se désinscrit à la demande
• Tous les achats se font en mode “one-clic”
• Facilite les achats impulsifss
• Permet de regrouper les paiements
• Modèle économique “à la iTunes”17
Paiements pré-approuvés : principe
! Cette option permet d’établir une pré-approbation
des paiements entre le site et l’acheteur
! L’équivalent électronique d’une autorisation de prélèvement
bancaire
! Intérêt : vos acheteurs vous paient en un clic
! Dès que l’acheteur a approuvé la pré-facturation avec le site
marchand, il n’a plus besoin d’entrer ni login PayPal ni mot de
passe.
! Permet au marchand de facturer et gérer l’échéancier d’un
paiement récurrent
!Exemples :
mercredi 3 février 2010
Fraude sur PayPal
• Taux annoncé : 0,5%
• Pas si bas que cela... (possibilité de phishing de comptes)
• Système de vérification des comptes
• Contrôle des crédits sur les comptes
• Structure dédiée à la sécurité, et non une antenne de structure bancaire
mercredi 3 février 2010
Micropaiements
mercredi 3 février 2010
Les micropaiements
• Problématique :
• Faciliter l’acte d’achat
• Permettre le paiement de petites sommes
• Ex : achat de musique, de sonnerie de tel..
• Eviter l’utilisation de la carte bancaire
mercredi 3 février 2010
Principaux commerces
• Musique en ligne
• Accès privatif à des sites adultes
• Accès à des services “Premiums” de sites Web
• Achat de documents en ligne
• Achat de sonneries, de fonds d’écran de tél..
• Des exemples sur www.biz-n-cash.fr
mercredi 3 février 2010
Marché visé
0
25
50
75
100
20042005
0 à $4,99 $5 à $49 > à $50
24 %
43 %
33 %
mercredi 3 février 2010
Principaux médias de micropaiement
• Tél surtaxé
• SMS surtaxé
• Paiement via son FAI
mercredi 3 février 2010
Le téléphone : un terminal de paiement
• Il devient possible d’utiliser son téléphone pour effectuer des micro-paiements
• Principe : appel d’un numéro surtaxé
• On obtient au téléphone un code
• Alternative : code reçu par SMS
• Le code doit être rentré sur le site pour donner accès au “produit”
mercredi 3 février 2010
Utilisation du téléphone
• Démocratisé pour les sites XXX
• Dépense “indolore” (passe par la facture téléphonique)
mercredi 3 février 2010
Micropaiement via son fournisseur d’accès
• Certains FAI (Orange, Free) proposent des services de micropaiement
• Identification “induite” via la connexion
• La transaction s’effectue directement entre le site d’e-commerce et le FAI
• Paiement entièrement transparent (juste une validation)
• La facturation se fait en même temps que l’abonnement
mercredi 3 février 2010
Terminal portable
• L’exemple de Square, Startup fondée en 2009
• Utilise un iPhone etun petit accessoire
• Lit la piste magnétique
• Utilisable en France ?
• Outil à la fois pour lerevendeur et le client
mercredi 3 février 2010
Phishing et autres arnaques
mercredi 3 février 2010
Le phishing (hameçonnage)
• Principe : faire croire qu’un email vous est adressé et vous faire saisir login et mot de passe
• Moyens : recréer à l’identique l’environnement du site d’origine
• Le phishing est un cas particulier de Scam, ou fraude 4-1-9 (envoi de mail profitant de la crédulité des gens)
mercredi 3 février 2010
Exemple de phishing
mercredi 3 février 2010
Comment détecter du phishing ?
• Problème : très difficile a détecter automatiquement
• Pas de logiciel “anti-phishing”
• Premier indice : l’URL
mercredi 3 février 2010
Comment détecter du phishing ? (2)
• Les “vrais” mails envoyés par de tels services intègrent maintenant systématiquement vos noms et prénoms
• Preuve que la base de données derrière est bien la vraie
mercredi 3 février 2010
Parades contre le phishing
• Les navigateurs modernes incluent des consultations de bases de données recensant les phishing les plus connus
mercredi 3 février 2010