Mon compte Devenir membre Newsletters

Paiements en ligne: la sécurité avant tout

Publié le par

Qu'il s'agisse de votre banque habituelle ou d'un opérateur spécialiste du paiement sur le Web, les prestataires proposent plusieurs degrés de sécurité afin de fiabiliser les transactions. Revue de détail.

Paiements en ligne: la sécurité avant tout

Qui ne s'est jamais interrogé, en réglant ses achats sur le Web, sur la fiabilité de la transaction ? Qui n'a jamais craint de se faire pirater sa carte bancaire ? Selon le livre blanc de Certissim, opérateur de sécurisation des transactions dans l'e-commerce, la fraude aboutie représentait environ 0,10% des transactions de l'e-commerce en 2012, avec un panier moyen à 297€.

La fraude sur Internet fait l'objet de toutes les attentions et les moyens de sécuriser les transactions ne manquent pas. Tout d'abord, les sites d'e-commerce peuvent rassurer leurs clients en acquérant un certificat de sécurité auprès d'un tiers de confiance. La société Symantec, qui propose le sceau Norton Security (ex-VeriSign) utilise ainsi la norme internationale de cryptage SSL (Secure Sockets Layer) afin de garantir aux internautes qu'ils ont accès à un site légitime et d'éviter que les données sensibles soient interceptées de manière frauduleuse. "Le certificat crée un canal de communication sécurisé entre l'acheteur et le vendeur sur le Net", résume Laurent Heslault, directeur des stratégies de sécurité chez Symantec.

Cryptage des données

Plus spécifiquement lors du paiement, les différents opérateurs insistent tous sur la sécurité. "Un commerçant qui se lance sur le Web va d'abord se tourner vers sa banque habituelle, pour acquérir une solution de paiement en ligne", observe Marc Schillaci, p-dg d'Oxatis, créateur de sites d'e-commerce. Qu'il s'agisse de BNP Paribas avec Mercanet, ou de LCL avec Sherlock's, toutes les banques ont leur offre de paiement par carte sur le Web.

De plus, les banques détiennent les agréments nécessaires pour effectuer les transactions, dont le drastique PCI DSS (Payment Card Industry Data Security Standard), accordé aux organismes qui capturent, stockent et traitent des données de cartes bancaires. Pour obtenir le standard PCI DSS, les sociétés doivent répondre à des points de contrôle concernant leurs techniques informatiques mais aussi leur organisation et leurs procédures (par exemple: le fait de crypter les données stockées).

Autre niveau de sécurité: l'authentification des porteurs de cartes. "Notre offre packagée de paiement Sherlock's intègre le système d'authentification 3D Secure, pour les cartes Visa ou Mastercard, explique Laurent Bergamelli, responsable monétique chez LCL. Nous envoyons à l'internaute un code à usage unique sur son téléphone portable, afin de sécuriser la transaction." Un fraudeur aurait ainsi la lourde tâche de posséder les coordonnées de la carte, le téléphone et le code unique envoyé par la banque pour parachever son piratage.

Vérification de l'identité

Très rassurant, le système 3D Secure n'en est pas moins une étape supplémentaire dans la transaction, que certains jugent contraignante. C'est pourquoi de nombreux sites d'e-commerce recourent aux systèmes de porte-monnaie électronique (ou e-wallet). Qu'il s'agisse de PayPal, Kwixo, Hipay, Buyster ou autres prestataires, tous requièrent que l'acheteur se crée un compte chez eux et communique ses coordonnées bancaires, une seule fois. Après quoi, il n'aura qu'à entrer son identifiant et son code pour utiliser son porte-monnaie électronique (en fait, sa carte de paiement) et payer. Ce qui évite la saisie régulière des données sur le Net, donc les risques de captation. "Nous allons enrichir notre offre e-commerce du portefeuille électronique V.me de Visa, où l'utilisateur pourra payer facilement avec ses cartes sans avoir à indiquer ses coordonnées bancaires à chaque transaction", indique Laurent Bergamelli (LCL).

Filiale de Fia-Net, sceau de confiance qui évalue les sites marchands d'après l'avis de leurs clients, le prestataire Kwixo propose lui aussi un système de portefeuille numérique: "Nous possédons l'agrément PCI DSS, ce qui évite au commerçant d'avoir lui-même à répondre à cette norme très stricte, puisqu'il ne gère aucune donnée bancaire", précise Alain Dias, directeur d'activités de Kwixo. Les prestataires proposent d'autres sécurités, en analysant les données de l'acheteur sur le Web: "nous vérifions si la carte de paiement est française ou étrangère et la comparons avec l'adresse IP de l'ordinateur, explique Bruno Gloaguen, dg Europe d'Hipay, plateforme de paiement sur Internet. Nous pouvons également tracer l'utilisation de la carte au cours des derniers mois, afin de détecter un comportement anormal. L'e-marchand définit lui-même quel degré de contrôle il souhaite instaurer."

Agréments bancaires

Enfin, dans la tendance au développement du m-commerce, certains opérateurs tels Buyster se lancent sur ce créneau: "Notre porte-monnaie électronique est très ergonomique pour les utilisateurs d'appareils mobiles et entièrement sécurisé, puisque nous répondons au standard PCI DSS et que nous sommes agréés par la Banque de France", relate Sébastien Trova, directeur commercial de Buyster. Côté commerçant, ces multiples acteurs sont autant de façons de répondre aux habitudes d'achat des clients. Mais ce sont aussi autant d'intermédiaires qui prélèvent une commission à chaque transaction et dont il faut vérifier les conditions commerciales.