L e-commerce : sécurité et paiements en ligne La corde sensible d Internet : état des lieux Jean David Olekhnovitch www.olek.fr V1.2-29/01/10
Evolution du marché français Evolution du CA B to C en milliards d euros 20,00 15,00 10,00 5,00 2002 2003 2004 2005 2006 2007 2008 0
Faire son site d ecommerce Comment ça marche? Quels prestataires? Quelles technologies? Quels budgets?
Différentes offres ASP : Application Service Provider Communautaire (ebay) Prestation agence web Sur mesure
ASP : clé en main Le site est hébergé sur un serveur distant, avec une solution toute prête Aucune préoccupation technique à avoir Mais pas de souplesses, fonctions limitées Ex : PrestaStore, PowerBoutique, WiziShop
Commaunautaire On passe par un service full ASP, mais hébergé par un site gérant sa communauté Garantie d un trafic plus important Mais se fait souvent payer au prix fort (% élevé sur les ventes, etc...)
ebay : Un leader...déclinant Propose divers services, allant de l enchère jusqu à la petite annonce Nombreuses fonctions de mise en avant Coût rapidement élevé Site en perte de vitesse Concurrence du Bon coin en France
Parenthèse : comparer deux services Des sites tels qu Alexa donne des indicateurs sur le trafic Fiabilité <100%, mais les proportions sont souvent les bonnes
Autres modes communautaires Comparateur de prix : s apparentent de plus en plus à des catalogues rémunérés par les vendeurs Ex : Kelkoo Boutiques d affiliation : Zlio permet de créer une boutique de produits vendus par des tiers
Prestation par une agence Web Se basent en général sur une solution OpenSource existante (PrestaShop, Thelia, Magento...) Disclaimer : je suis partie prenante dans la société éditrice de Thelia Permet de se reposer sur un prestataire Personnalisations possibles (charte graphique...) Coût bien plus élevé
Sur mesure Faire travailler un ou plusieurs développeurs pour construire son site sur mesure Souplesse absolue Coût énorme Fiabilité aléatoire A réserver aux très gros projets
Etat des lieux de l ecommerce En France et à l international
Panier moyen en France 90 euros
Abandon d un panier entre 50 et 60% des cas Part de la peur du paiement?
Fraude 0,235% du CA Internet en 2008 (contre 0,036% tous secteurs confondus)
Répartition des fraudes Electr. grand public Informatique Tourisme Téléphonie Habillement Alimentation Petit matériel élec. Divers 7 % 10 % 1 % 4 % 5 % 30 % 25 % 18 % Source : Fia-Net
Les paiements classiques
Paiement en ligne via sa banque La plupart des banques proposent aujourd hui des terminaux en ligne Paiement via la saisie d un numéro de carte bancaire sur le site Les transactions sont gérées par la banque comme tout TPE (Terminal de Paiement Electronique)
Principe de fonctionnement "#$% &'($#)*+&$' %,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<% 1ère étape : après sélection "#$%&'(')*&+,#&#"(-%+ % du produit et validation "#"$ du %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ panier, on demande le paiement % "#$%&'(')* $**+,' -)*.' -+(' -/%)*+-/ 0'.$ 1$23)' $4*5- $,6+* %.+3)/ -)*.' 16)(6274$+'8'2(4$*%$*('1$2%$+*'90)-+('0)%688'*:$2(; "#$%&"'("#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%(
Saisie numéro de carte L internaute est ensuite rerouté sur le site de paiement de la banque, via une liaison 16)(6274$+'8'2(4$*%$*('1$2%$+*'90)-+('0)%688'*:$2(; sécurisée SSL % "#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ "#$%&'(')* $**+,' -)*.' -+(' -/%)*+-/ 0'.$ 1$23)' $4*5- $,6+* %.+3)/ -)*.' "#$%&"'("#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( Le look de l interface est volontairement vieillot (donne l impression de robustesse) Multiples cartes Saisie à la charge de l internaute Contrôle cryptogramme
% "#$%&&'()'*+%(,(-./#(&%.(&01'2%&0)(#+3+-4'(+55%16('-(*+7()$%-582,+.%8-+9(1 '- #%(- :)8-. #(.(;.( (&. *(2&8--+#%&+3#(</ 4'%*(2,(. = #$+16(.('2 )(2(.8'2-(2 &'2 #( &%.()'18,,(2>+-.? Confirmation paiement "#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&( ( Après validation de la carte, un écran confirme la commande et renvoie sur le site du marchand
% "#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0* Gestion "#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;( des paiements ( La banque fournit au marchant un BackOffice de gestion des paiements La plupart de ces services restent très rudimentaires
"#$%&'()(*+',&% -+..)',&% /)#,)(&,&.*%& &' #&-+01#&.&'(2 *3 &%( /+%%*43&,& ($3$-5)#6&# 0' 7*-5*&# 89: -+'(&')'( 0' #$-)/*(03)(*7,&% -+..)',&% /);$&% %0# 0'& <+0#'$&= Intégration à un système "#$%&'#("#$%)*+,-'./.(&01&&23044555678.9'&/%&%.$6:84&.$.2;'./.(& d information Il est souvent possible d exporter les données de paiement au format XML, pour traitement dans une autre application (backend de gestion commerciale...)
Cryptage des transferts Via SSL, l algorithme géré par les navigateurs Web (Internet Explorer, Firefox...) Ce mécanisme allie : Un certificat signant l authenticité du serveur Un algorithme de cryptage 128 bits
SSL dans la pratique L adresse du site doit être précédée de HTTPS:// La liaison sécurisée est représentée par un cadenas Si le serveur n utilise pas de certificat, ou un certificat périmé, le cryptage demeure utilisable
Solidité SSL? SSL comme tous les algos de cryptage, n est pas à l abri de tout piratage Mais cracker une clé SSL nécessite de tels moyens qu une telle opération n est dans la pratique jamais effectuée SSL peut donc être considéré comme complètement fiable
Principaux problèmes rencontrés Vol de numéro de carte bancaire Ex : laisser sa carte quelques secondes à un commerçant peu scrupuleux Génération de faux numéros de cartes Les fameuses «Yes-Cards» Mauvaise foi de l acheteur
Usurpation de carte bancaire Les numéros de carte bancaire sont des suites numériques reproductibles en suivant certaines règles mathématiques
Génération de faux numéros de CB Des logiciels existent Permet de simuler une banque, un nom de porteur... Ces yescard permettent de passer les simples vérifications numériques (pas d appel direct avec les centraux bancaires)
Codes de contrôle (cryptogramme visuel) Numéro inscrit à l arrière des cartes, et est demandé pour chacune des transactions Ce numéro ne peut être généré Il fonctionne via un algorithme de cryptage unidirectionnel Il permet de valider un numéro de carte Ne peut être généré à partir de ce numéro Bonne parade aux yescard
Parades plus avancées Si un commerçant emprunte votre carte, il va pouvoir noter le numéro...et le cryptogramme Il faut donc des verrous plus puissants permettant un troisième niveau de contrôle : 1. Numéro de carte valide 2. Cryptogramme correspondant au numéro 3. Autre questionnement : 3DSecure
3D Secure Mis au point en 2008 par un consortium de banque Consiste en une question subsidiaire Suivant les banques, la question change : Ex : date de naissance Ex : code envoyé par SMS Ex : clé d authenfication
3D Secure : un handicap? Pour les marchands, 3D Secure est considéré comme un frein à la vente : trop de contraintes Pour une protection concernant un nombre de cas trop limités? Protection ultime? (ex : date de naissance peut être récupérée par Facebook, code postal par l annuaire, etc...)
Certification et vérification FIA-Net Deux rôles principaux : labellise les sites d e-commerce les plus reconnus Recense les mauvais payeurs et permet d éviter des transactions frauduleuses
Contact Data Management Vérification d une adresse postale Permet de filtrer les commandes les plus négligées Et aussi de s assurer d une livraison dans de bonnes conditions Leader : QAS
PayPal
PayPal Créé à l initiative d ebay Disponible désormais pour n importe quel site
Principes de PayPal Les transactions ne passent plus par un organisme bancaire Tout reste virtuel Vous obtenez l équivalent d un compte bancaire chez PayPal : Vous pouvez recevoir des paiements Et en effectuer
Principe d un paiement Qu est-ce que PayPal? PayPal est une solution de paiement en ligne Simple Rapide Internationale Sécurisée 3
Intérêt de PayPal Pour l utilisateur : Pas de coordonnées bancaires en ligne Transactions facilitées Pour PayPal : la somme des comptes PayPal constitue un capital à faire fructifier
Boutiques PayPal La principale : ebay Les transactions PayPal sont favorisées N importe quelle boutique PayPal : exemples de sites marchands Via une API Possibilité de widgets facilitant l acte d achat
PayPal sur une boutique d e-commerce Simple création de compte en ligne un compte de marchand est un compte PayPal classique Commission à la vente : entre 1,9% et 3,4% Solution reconnue internationalement Compte PayPal client non obligatoire... mais recommandé
PayPal sans compte Paiement avec ou sans création de compte : «sans» Un paiement similaire à un paiement sécurisé en ligne CB classique. La création du compte PayPal est optionnelle. 14
PayPal avec un compte Paiement avec ou sans création de compte : «avec» Un paiement en 2 clics sans partager mes données financières 15
Paiements pré-approuvés Paiements pré-approuvés : principe Cette option permet d établir une pré-approbat des paiements entre le site et l acheteur L acheteur s inscrit une fois Il se désinscrit à la demande Tous les achats se font en mode one-clic Facilite les achats impulsifss paiement récurrent Permet de regrouper les paiements Exemples : Modèle économique à la itunes 17 L équivalent électronique d une autorisation de prélèvem bancaire Intérêt : vos acheteurs vous paient en un clic Dès que l acheteur a approuvé la pré-facturation avec le marchand, il n a plus besoin d entrer ni login PayPal ni m passe. Permet au marchand de facturer et gérer l échéancier d
Fraude sur PayPal Taux annoncé : 0,5% Pas si bas que cela... (possibilité de phishing de comptes) Système de vérification des comptes Contrôle des crédits sur les comptes Structure dédiée à la sécurité, et non une antenne de structure bancaire
Micropaiements
Les micropaiements Problématique : Faciliter l acte d achat Permettre le paiement de petites sommes Ex : achat de musique, de sonnerie de tel.. Eviter l utilisation de la carte bancaire
Principaux commerces Musique en ligne Accès privatif à des sites adultes Accès à des services Premiums de sites Web Achat de documents en ligne Achat de sonneries, de fonds d écran de tél.. Des exemples sur www.biz-n-cash.fr
Marché visé 0 à $4,99 $5 à $49 > à $50 100 75 24 % 50 25 33 % 2004 2005 0 43 %
Principaux médias de micropaiement Tél surtaxé SMS surtaxé Paiement via son FAI
Le téléphone : un terminal de paiement Il devient possible d utiliser son téléphone pour effectuer des micro-paiements Principe : appel d un numéro surtaxé On obtient au téléphone un code Alternative : code reçu par SMS Le code doit être rentré sur le site pour donner accès au produit
Utilisation du téléphone Démocratisé pour les sites XXX Dépense indolore (passe par la facture téléphonique)
Micropaiement via son fournisseur d accès Certains FAI (Orange, Free) proposent des services de micropaiement Identification induite via la connexion La transaction s effectue directement entre le site d e-commerce et le FAI Paiement entièrement transparent (juste une validation) La facturation se fait en même temps que l abonnement
Micropaiement via le FAI (d après www.w-ha.com)
Terminal portable L exemple de Square, Startup fondée en 2009 Utilise un iphone et un petit accessoire Lit la piste magnétique Utilisable en France? Outil à la fois pour le revendeur et le client
Phishing et autres arnaques
Le phishing (hameçonnage) Principe : faire croire qu un email vous est adressé et vous faire saisir login et mot de passe Moyens : recréer à l identique l environnement du site d origine Le phishing est un cas particulier de Scam, ou fraude 4-1-9 (envoi de mail profitant de la crédulité des gens)
Exemple de phishing
Comment détecter du phishing? Problème : très difficile a détecter automatiquement Pas de logiciel anti-phishing Premier indice : l URL
Comment détecter du phishing? (2) Les vrais mails envoyés par de tels services intègrent maintenant systématiquement vos noms et prénoms Preuve que la base de données derrière est bien la vraie
Parades contre le phishing Les navigateurs modernes incluent des consultations de bases de données recensant les phishing les plus connus