Paiement sécurisé : indispensable pour instaurer la confiance

Un système de paiement sécurisé sur Internet doit remplir trois fonctions : authentifier le porteur de la carte bancaire, authentifier le commerçant et s’assurer qu’aucun tiers malveillant ne peut ni intercepter ni modifier les informations échangées.Le cryptage SSL (Secure Sockets Layer), mesure de sécurité le plus largement utilisée sur les sites de commerce électronique, garantit la confidentialité des échanges entre l’internaute et le site, même avec les clés réduites utilisées en Europe (40 bits au lieu de 128). Les solutions de paiement gérées par une banque ou une SSII n’améliorent pas réellement la sécurité des transactions, mais simplifient la mise en ?”uvre (le site serveur n’a plus à gérer le TPE – terminal de paiement électronique – lui-même) et peuvent rassurer le client quant au sérieux du commerçant.

Vers une carte bleue virtuelle

Toutes les offres – CyberMUT (Crédit Mutuel), Télécommerce (FT, BNP), SIPS (Atos), PAYline (Experian), etc. – exigent la souscription d’un contrat de VAD (vente à distance) par le commerçant. Le choix doit se faire en fonction des services proposés (multidevises, assurances, évolution des modes de paiement avec la technologie, etc. ) et du coût global. CyberMUT, qui arrive en tête des systèmes choisis par les sites marchands (voir illustration), est l’un des plus économiques avec 1 000 F ht (152 ?) de mise en service et des frais bancaires de 99 F ht (15 ?) par mois.Plus onéreux (à partir de 189 F ht, 29 ?, par mois, plus une commission en pourcentage), Télécommerce offre un service très complet incluant un système de Caddie électronique et des accords logistiques avec La Poste et Geodis.Pour les sites, le problème reste d’identifier le porteur de la carte bancaire afin de limiter les risques de fraude et de garantir au commerçant la non-répudiation du paiement. Ce que propose déjà une solution comme Cyber-COMM, fondée sur le protocole SET (Secure Electronic Transaction) et la carte à puce.Mais le soutien timide des banques et le coût élevé des lecteurs de carte (450 F ht, 69 €, environ) font que cette solution a bien du mal à décoller. La relève pourrait être assurée par le système de ” Carte Bleue Virtuelle “, développé par Visa et Carte Bleue et commercialisé dès l’été prochain.Il s’agit d’un logiciel permettant à l’internaute de générer à la demande un numéro de carte à usage unique. Considéré comme un numéro de carte normal par le site marchand et sur le plan légal, il permettra donc l’achat sur tous les sites sans modification de leur fonctionnement.

Cyber-COMM trouvera des adeptes dans le B-to-B

La solution Cyber-COMM n’atteindra probablement jamais le marché de masse. On imagine mal les internautes décider massivement de payer 450 F ht (69 ?) un lecteur de carte à puce Meerkat à seule fin de prouver leur identité auprès des marchands. Compatible avec des offres comme celles d’Atos et d’Experian, il continuera sans doute à coexister avec les autres modes de paiement.

À ce jour, c’est en effet la seule véritable solution de signature électronique opérationnelle. La transaction est signée électroniquement par le client et le commerçant, et la banque peut, si besoin est, jouer un rôle de juge et d’arbitre (même si, en temps normal, elle ignore le contrat). La carte à puce possède donc un certain attrait pour le business-to-business et les achats d’un montant élevé puisqu’il améliore la sécurité pour le commerçant.

Du moins si les sites qui décident de l’adopter ne proposent pas d’autres moyens de paiement en ligne. Enfin, comme nous l’explique Claude Megglé, directeur sécurité et normalisation de Cyber-COMM : ” Cyber-COMM ne s’intéresse pas uniquement au paiement, mais participe aussi à des projets européens de ” signature électronique avancée ” (e-Europe). Le logiciel des lecteurs peut être mis à jour par téléchargement afin de traiter n’importe quel type de carte et d’application. Ces projets s’adressent au marché du-business to-business, qui est beaucoup plus restreint en nombre de lecteurs et ne pose donc pas les problèmes de distribution du marché grand public. “Les lecteurs de cartes à puce deviendront-ils aussi communs que les télécopieurs dans les entreprises ?

Vendre sur le web : Cas d’entreprise : RueDuCommerce maintient sa confiance en SSL

” Le protocole SSL suffit à garantir que le numéro de carte de crédit ne sera pas intercepté et, pour plus de sécurité, nous ne stockons aucune information sur nos serveurs “, explique Patrick Jacquemin. Le vrai problème pour le site est de ne pas pouvoir identifier formellement si le porteur de la carte est bien celui qui passe la commande. Cartes volées ou numéros récupérés sur les facturettes issues de magasins, les fraudes sont nombreuses. Selon Patrick Jacquemin, il existe pourtant des astuces simples, et notamment vérifier la concordance entre le numéro de carte et les chiffres qui apparaissent dans la bande de signature au dos de la carte. ” Ce système, le CVV2, est déjà utilisé en Grande-Bretagne “, rappelle-t-il. Quant aux nouvelles solutions de paiement : ” Cyber-COMM est un bon projet d’ingénieur, mais la question du financement du lecteur a été négligée. Quant au projet de carte virtuelle du groupement Carte Bleue, il semble irréprochable sur le plan de la sécurité, mais le consommateur va-t-il avoir confiance ? “

RueDuCommerce

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Christophe Grosjean