Les systèmes de paiement électroniques Electronic payment systems Par Groupe Mohammed Alami G5 Université de Montréal / HEC 15 décembre 2009
PLAN DU DOCUMENT Introduction I. Historique II. Modes de paiement - traditionnels - nouvelles technologies III. Fonctionnement IV. Exemples Conclusion Analyse cas Secure E-commerce Page 2
Introduction En 2000, le e-commerce commence à se développer. Au Canada notamment, Moneris Solutions est créée. Cette entreprise née d un investissement partenarial entre deux des six banques majeures au Canada (Banque Royale et Banque de Montréal) est aujourd hui le grand leader national du traitement de paiement par carte. Notons qu aujourd hui au Canada, le paiement par carte est un marché gigantesque de CAD 220 milliards $, dont environ12.5 milliards relatifs au commerce électronique (70 millions d opérations pour un paiement moyen de CAD 180 $), et entre 1990 et 2008, les transactions électroniques ont cru de 1459%1. De 2000 à 2004, les paiements électroniques se font essentiellement sous leur forme traditionnelle, c est-à-dire par carte (débit, crédit) ou encore par chèque. Ensuite (2005) apparaissent de nouvelles technologies qui nous permettent aujourd hui de parler de «digital wallets», de e-checks, ou encore de Paypal et Google Checkout entre autres. I. Historique L arrivée des systèmes électroniques de paiement a amélioré significativement les procédures de transferts monétaires. L achat à distance n est pas une nouveauté. Même s il s agit d une méthode de magasinage moins conventionnelle, bien des marchands y voient une manière d augmenter leurs ventes et de développer de nouveaux marchés. Commande téléphonique, achat par catalogue ou site web démonstrateur, la difficulté d une telle transaction résulte de l absence physique du client. Classiquement, l identité d un client et la légitimité de la transaction qu il désire effectuer en magasin est plus facilement contrôlable. Les méthodes pour détecter les faux-monnayeurs et les fraudeurs de carte de crédit sont établies depuis longtemps. Même si elles ne sont pas infaillibles, d autres facteurs permettent au commerçant de se protéger. La relation de confiance qui s établit tout au long de la transaction, la possibilité de vérifier la signature, de demander une carte d identité ou d exiger une autre méthode de paiement plus sécuritaire (comptant ou impliquant un numéro d identification personnelle comme avec Interac), le commerçant pouvait, mieux contrôler les paramètres de l achat. Il lui fallait ensuite entrer manuellement les numéros de la carte dans son terminal physique et espérer que tout allait bien se passer avec la transaction. Mais l arrivée de l achat à distance appela rapidement à une série d astuces visant à répondre à un besoin qu ultimement, les systèmes électroniques de paiement allaient adresser. 1 http://www.cdnpay.ca/about/facts.asp Analyse cas Secure E-commerce Page 3
Les méthodes pour vérifier l identité d un client se sont ainsi raffinées. Le commerçant, pour se protéger, apprit donc à demander plus d information. L adresse de facturation, l adresse de livraison, le numéro de carte de crédit ainsi que le code de vérification (CVC) présent au dos de la carte confirmaient que le client potentiel avait, à tout le moins, accès à certaines informations qui permettaient de présumer qu il avait la carte en sa possession et qu il connaissait l adresse physique rattachée à la carte. Mais cette information, dans plusieurs cas, peut être acquise par le simple vol d un portefeuille. Certains commerçants plus astucieux poussèrent alors le contrôle un peu plus loin en exigeant, par exemple, que le colis soit toujours livré à l adresse de facturation ou en procédant une petite transaction sur la carte de crédit pour que le client confirme le montant par lui-même. Si le client était en mesure de confirmer quel montant avait été prélevé sur la carte, il avait donc passé au travers des paramètres de sécurité de sa banque. D autres commerçants retardaient la vente pour assurer le transfert concret des fonds. En effectuant une pré-autorisation de la transaction auprès de la banque dès que la commande est prise et en capturant le montant au moment de la livraison, le marchand signalait donc à l institution qu une transaction avait été initiée et espérait que, si la carte avait été volée, la banque aurait le temps de bloquer la transaction avant que le produit ne quitte l entrepôt. Finalement, le commerçant avait à franchir beaucoup plus d étapes qu un simple achat en magasin. Ces étapes, bien souvent, en valaient la chandelle mais les risques de fraude n étaient pas éliminés. Qui plus est, la protection offerte par les banques et compagnies de crédit était inexistante. Encore aujourd hui, la preuve de transaction est constituée par la signature. Les achats à distance, par nature, empêchent ce genre de vérification. Un client, qu il ait reçu le produit ou non, peut donc contester la transaction en toute «légitimité» (d un point de vue légal). Les institutions financières, désireuses de conserver leurs clients, se contentaient alors de récupérer l argent dans le compte marchand pour le restituer au client sans questions. Elles entreprenaient ensuite certaines vérifications avec le marchand mais faute de pouvoir présenter la preuve légale de la transaction, le commerçant se retrouvait sans recours. L essor technologique des dernières années a finalement permis d améliorer l efficacité des étapes de vérification d identité. Lorsque le marchand contactait la banque via téléphone pour vérifier l adresse de facturation, il utilisait en fait certains intermédiaires pour accéder à sa base de données. Des systèmes téléphoniques et bientôt électroniques permirent d accélérer ces vérifications et de les automatiser. Les systèmes électroniques de vérification d adresse (AVS) permettent aujourd hui un premier filtre sur les adresses entrées par le client lors de la commande. Il s agit ainsi de corréler le numéro civique, le code Analyse cas Secure E-commerce Page 4
postal, le CVC et le numéro de carte de crédit pour effectuer un premier contrôle. La pré-autorisation initiale de commande et la capture du montant à la livraison sont maintenant aussi possibles via des systèmes automatisés. Certaines compagnies de crédit ont adopté de nouvelles mesures de protection en rendant disponible des cartes de crédit temporaires se limitant à un achat particulier. L arrivée des systèmes de vérification Verified by Visa et Mastercard Securecode représente aussi une couche de sécurité supplémentaire obligeant le client à s identifier en ligne auprès de sa compagnie de crédit et à utiliser son mot de passe identifiant lors des transactions effectuées sur différents sites. Le but avoué de toutes ces mesures est de faciliter toujours davantage l utilisation des paiements électroniques pour favoriser les transactions commerciales à distance, de limiter le risque financier en adoptant des procédures et des systèmes sécuritaires permettant d augmenter le niveau de confiance des parties et finalement, de rendre l identification des utilisateurs plus efficace pour éviter l usurpation d identité. En gardant en tête ces trois intérêts fondamentaux, il devient plus aisé de remarquer la part de marché que différentes compagnies ont tenté de s accaparer au gré du développement numérique. Des compagnies comme Moneris et WorldPay se sont «greffées» aux institutions financières pour s établir comme pont plus efficace entre les marchands et les clients. Veillant à automatiser différents processus de paiement et surtout, à rendre cette intégration numérique plus accessible, ces compagnies se spécialisent maintenant dans la gestion des transactions effectuées via les paniers d achat (physique ou virtuel), l intégration de systèmes de vérification variés (vérification d adresse ou d information de crédit en lien avec les compagnies de crédit), et complémentent même leur offre en vendant des systèmes «point-de-vente» complètement intégrés. Incluant ici le terminal de facturation, la caisse, le logiciel comptable et d autres fonctionnalités qui veillent à répondre aux besoins des commerçants. D autres compagnies se sont spécialisées dans la vérification des connexions liées à ces transactions. Des compagnies comme Verisign et Thawte s assurent ainsi que l accès au panier d achat et que la transaction qui en dépend s effectuent avec sécurité. D autres compagnies comme PayPal et Google Checkout offrent des services hybrides qui veillent à répondre à des besoins particuliers. Dans le premier cas, PayPal rend disponible une forme de paiement électronique qui s inspire de différents services. On cherche à vérifier l identité de l utilisateur du compte par différents paramètre et on rassemble en un seul compte les différentes méthodes de paiement utilisées par le client. Google Checkout cherche lui aussi à ressembler ces différentes informations en tentant de prendre le marché des paniers d achat, en uniformisant cette partie spécifique du processus pour rassembler toutes les informations liées aux commandes dans un seul compte. Plus récemment, des systèmes de portefeuille en ligne (des e-wallets comme «The Vault») et autres services du genre ont confirmé le besoin d identifier une méthode plus Analyse cas Secure E-commerce Page 5
particulière. Certains paient même avec de l or ou de l argent virtuel gagné sur des univers comme SecondLife. Les options sont donc variées mais elles pointent généralement vers la nécessité de résoudre efficacement les trois besoins fondamentaux de facilité, d efficacité et de sécurité des systèmes de paiement électronique. Ces systèmes semblent prendre une tangente particulière : la centralisation des processus liés au paiement autour d un identifiant unique. II. Modes de paiement - traditionnels Cartes de crédit et de débit étant déjà abordées dans la section précédente (Historique), nous allons ici nous pencher sur le «cash», moyen de paiement par excellence surtout dans les marchés de niches tels le micro-paiement en ligne. Presque tous les consommateurs préfèrent utiliser du cash pour les achats de moins de 20$ selon Visa U.S.A. (2005). Source : http://www.ecommercetimes.com/story/making-micro-payment-models-work-online-68527.html Nous pouvons observer dans le tableau suivant que près des trois quarts des paiements d un montant inférieur à 10$ sont effectués par cash ; ce mode de paiement obéit ensuite à une distribution de Pareto. À mesure que le montant augmente, les utilisateurs préfèrent le chèque alors que le paiement par crédit demeure relativement constant en termes de part. Analyse cas Secure E-commerce Page 6
- nouvelles technologies De 2005 à aujourd hui ont été introduits de nouveaux procédés. Nous parlons même aujourd hui d ewallet (Source : www.iliumsoft.com ), ou digital wallet (c est un outil nous permettant de centraliser numériquement toute l information sensible que l on transporte de manière risquée dans nos poches), même si parfois le problème de la confiance se pose toujours. L on parle encore de e-cash, e-cheque avec Paypal notamment. Paypal, Google Checkout ou encore WorldPay ainsi que bien d autres entreprises de la nouvelle économie proposent des systèmes de paiement les faisant intervenir à titre d intermédiaires. Ce sont des fournisseurs de service de paiement ou PSP (Payment Service Providers). Le e-cash se distingue du cash en englobant ce dernier ainsi que tous ses équivalents, autrement dit les titres provisoires liquides tels les jetons, les tickets, les points accumulés sur certains sites, etc. Il couvre très bien les différents marchés de niches en ligne. Un marché qui se développe très rapidement, surtout en Europe et en Asie, est celui du paiement par téléphone mobile (on parle de M-Commerce pour «mobile commerce»). Par exemple la technologie NFC (Near Field Communication) permet le développement dans certains pays comme la Grande-Bretagne du paiement de transport public directement à partir de son téléphone mobile en utilisant de l e-cash. Le principe est le même que celui de la technologie RFID (identification par radio-fréquence) et permet d interagir avec un terminal. Beaucoup de banques proposent déjà des applications «mobile banking» ; et selon une étude des consultants financiers internationaux Celent, plus de 35% des ménages utilisant le «online banking» ou banque sur Internet, utiliseront aussi le mobile banking avant 2011 dans les pays les plus développés. Concernant le mobil toujours, la nouvelle technologie SCWS (Smart Card Web Server) ouvre de nouvelles opportunités (voir la vidéo des innovations de Visa en applications pour mobil). Analyse cas Secure E-commerce Page 7
III. Fonctionnement Voici le déroulement d une transaction en ligne : (Source: ftp://ftp-developpez.com/thierry-godin/php/atos/solution-paiement-e-commerce.pdf ) Les différentes étapes du déroulement d'une telle transaction sont les suivantes: 1- Le client remplit le caddie et valide pour procéder au paiement 2- Un fichier (call_request.php dans l'exemple) est exécuté et interroge le binaire (request) 3- Affichage des moyens de paiement 4- L'utilisateur clique sur la carte bancaire. Les données de la transaction sont envoyées au serveur du fournisseur 5- Affichage du formulaire de saisie de la carte bancaire 6- Le client saisit ses numéros de carte et valide. En cas d'abandon de la part de l'utilisateur, il est redirigé vers la page d'annulation (étapes 6.a et 6.b sur le schéma) Analyse cas Secure E-commerce Page 8
7- Le serveur du fournisseur demande l'autorisation 8- La réponse est traitée par le réseau bancaire 9- La requête est renvoyée vers le fichier de réponse automatique (call_autoresponse.php) et le fichier de réponse manuelle (call_response.php) aux étapes 9 et 9.a 10- Ces deux fichiers sont exécutés et interrogent le binaire response pour interpréter le résultat (10 et 10.a) 11- Le fichier de réponse manuelle call_response.php affiche la page de résultat (retourne booléenne: succès ou échec) Bien entendu, de tels échanges de données électroniques ou informatisées (EDI) impliquent des besoins importants en sécurité dans ses 6 composantes 2 : - L authentification (preuve de l identité des interlocuteurs) - La non-répudiation (que personne ne puisse nier qu une transaction a eu lieu) - La confidentialité (assurer que la conversation reste privée) - Le contrôle des accès et les autorisations (ne permettre aux parties de faire que ce qu elles ont le droit de faire) - L intégrité des données échangées ( documents restent intacts même après des années d exploitation), et - La disponibilité (DOS : «denial of service» ou déni de service) La référence en ce moment en matière de sécurisation des échanges est le protocole TLS (Transport Layer Security 3 ), plus connu sous son ancienne appellation SSL (Secure Sockets Layer). Ce protocole répond aux différentes exigences de sécurité mais est en plus «transparent» (c est la transparence qui a contribué à sa popularité) c'est-à-dire que la connexion sécurisée TLS est indépendante des protocoles de la couche d application. Il permet entre autres l authentification d un client à l aide de certificat numérique. Le protocole TLS est décrit dans la RFC 5246 («request for comments», ou demande de commentaires.). 2 IFT6801 cours sur la sécurité A. S. Hafid 3 http://fr.wikipedia.org/wiki/transport_layer_security Analyse cas Secure E-commerce Page 9
IV. Exemples Dans l image précédente nous faisons un inventaire non exhaustif des différentes entreprises qui jouent actuellement un rôle dans les marchés de paiement électroniques. Par exemple Western Union est spécialisé dans les transferts instantanés. MoneyBookers permet d envoyer (admet aussi l envoi par courriel), recevoir et détenir des fonds à travers Internet dans plus d une trentaine de devises et offre des paiements locaux dans près d une cinquantaine de pays 4. Ukash permet de détenir de l argent liquide dans une e-wallet et payer partout dans le Web où est indiqué le logo de l e-wallet, un peu comme le modèle que Google est en train d introduire avec Checkout en indiquant la possibilité de payer avec Google Checkout dans les résultats de recherche. Conclusion Après avoir vu les différents moyens de paiement existant, il est conseillé pour les sites d e-commerce d offrir plusieurs solutions pour augmenter leurs ventes en ligne, un constat qui résulte d'une enquête en 2004 auprès de 147 responsables de sites marchands américains. Ainsi, en proposant au moins quatre modes de paiement différents, un site d'e-commerce obtient un taux de conversion de 72%, mais 4 http://en.wikipedia.org/wiki/moneybookers Analyse cas Secure E-commerce Page 10
s'il n'offre qu'un moyen de paiement, son taux n'atteint alors que 60%, d'après une étude de «Cybersource». Toutefois, nous nous devons de concentrer nos efforts sur la carte bancaire qui est fortement utilisée dans les solutions de transaction en ligne (80% en moyenne selon Cybersource), comme on peut le constater sur le graphe suivant : Source : Statistique Canada, Enquête canadienne sur l utilisation d Internet par les individus, 2005. Ainsi les paiements directs sur site plus ceux exécutés par téléphone en fournissant la carte de crédit totalisent presque 90% des paiements effectués en e-commerce. Les autres moyens de paiement tels que le virement ou chèque à la livraison ainsi que les autres types de paiement restent marginaux. Par ailleurs, il est révélé que le duopole de Visa et de MasterCard détient une part de 94 % du marché canadien des cartes de crédit. Aux états unis il représente 80 % des paiements en ligne par carte, comme sur l image ci-dessous : Le problème des cartes de paiement en général réside dans les cas de fraude et arnaque qui se produisent lorsque quelqu un obtient, sans notre consentement, nos cartes de crédit ou de débit dans le but d en faire une copie ou de les utiliser pour obtenir un bien frauduleusement, un service ou de l argent. Au Canada, il y avait environ 56,4 millions de cartes de crédit en circulation en 2005 (Source : Mastercard et Visa). En 2006, les pertes découlant de la fraude par cartes de débit se chiffraient à 95 millions de dollars. (Source : Sûreté du Québec) Ceci représente un risque important pour le commerçant car la législation lui fait assumer les pertes de l'opération en cas de fraude. Le vol d identité étant difficile à limiter, il faut donc trouver un moyen de sécuriser le paiement en ligne par cartes et Nous notamment concernant le duopole VISA et MasterCard. avons donc opté pour la solution : Secure E-commerce. Analyse cas Secure E-commerce Page 11
Secure E-Commerce : Paiements par cartes Visa, MasterCard en toute sécurité sur Internet Avec Verified by Visa et MasterCard SecureCode, les deux principales entreprises de cartes dans le monde ont lancé une nouvelle norme de sécurité pour les achats en ligne. Basée sur la technologie 3D- Secure, cette norme rend les paiements avec les cartes de crédit Visa et MasterCard via Internet nettement plus sûrs. Haute sécurité et facilité d emploi : lors d un achat avec Verified by Visa ou MasterCard SecureCode, le titulaire de la carte s identifie auprès de sa banque émettrice à l aide d un mot de passe personnel, comparable au code NIP ou à la signature exigés lors d un paiement dans un magasin traditionnel. Le mot de passe personnel est remis gratuitement au titulaire par la banque émettrice de sa carte. Toutefois au Canada comme aux Étais unis aucune date n a été fixée pour ce transfert de responsabilité (en anglais nommé "merchant only liability shift"). En juin 2006 MasterCard International annonçait que plus de 2200 marchands en ligne ont intégré cette solution. "Désormais, seule la banque du porteur de la carte est responsable financièrement" Le commerçant a quelques réticences à adopter cette sécurité supplémentaire car cela effraie les consommateurs et comme le rapportait André-Jacques Selezneff, responsable du business developpent des paiements avancés chez Mastercard Europe "Beaucoup de marchands ont commencé par dire qu'ils perdaient 30 % de clients si le paiement était sécurisé". Dell, Toys'R'Us et Adidas ont été pionniers pour adopter la solution et il faudrait qu ils soient suivis. Analyse cas Secure E-commerce Page 12
Le commerçant doit donc choisir un acquéreur ou entité de traitement pour la technologie: Acquéreur Commission Moneris 2,50% Global Payment 2,30% Chase payment 2,10% Option Processor 2,10% Admeris 2,05% A ces commissions applicables aux commandes en cours, viendront s ajouter des charges telles que : le setup du compte initial, les charges supplémentaires pour les achats hors territoire de la carte de crédit, un montant fixe par opération, des charges mensuelles et les frais de passerelles, frais pour annulations...etc. Mais toutes ces conditions font parties d ores et déjà de la négociation e-marchant et sa banque. Pour les opérations récurrentes. Il suffit d obtenir une demande écrite du client pour les biens et services devant être facturés au compte du client précisant la fréquence des frais récurrents et la période durant laquelle ils doivent être facturés. Enfin nous précisons qu il s agit d un service gratuit pour le client qui décide d activer son code secret et entraime des frais minimum pour le marchand afin d adapter son site. Analyse cas Secure E-commerce Page 13