idf.net  
   


Paiements sur Internet

L'avenement du paiement electronique recherche par tous les promoteurs de cartes bancaires sera probablement le big bang du commerce. La planete "commerce" va exploser pour se reconstituer autour de quelques constellations du commerce electronique. Des petits deviendront grands, mais il est aussi probable que quelques dinosaures de la distribution disparaissent a l'occasion de ce big bang. Des reticences psychologiques restent a surmonter par beaucoup d'acteurs du commerce electronique, mais de nombreux acteurs s'activent pour securiser les transactions. Ainsi il existe environ 20 millions de cartes bancaires en circulation en France alors 1.5 milliards le seraient dans le monde. Les experts s'attendent a ce que ce chiffre soit double d'ici 2002. Autant dire que cet instrument de paiement a tendance a se generaliser, meme si dans certains pays son usage est encore loin d'atteindre les niveaux francais ou americain. Il en est ainsi de la Suisse ou la population est encore reticente a payer à l'aide d'un rectangle de plastique.

LE RISQUE N'EST PEUT-ETRE PAS LA OU ON L'ATTEND

Alors que nous remettons sans aucun probleme notre carte de credit a n'importe quel commercant, que nous enregistrons notre numero sur les transactions Minitel sans aucun complexe, il semble que les touches des claviers europeens se soient spontanement gelees en ce qui concerne les paiements electroniques. Comment, 70 millions de personnes peuvent utiliser mon code pour prelever des sommes sur mon compte ! Madame Monchu est soudainement prise de panique. Crainte plus psychologique que reelle, car les transmissions effectuees au moyen de nos bons vieux Minitels sont loin d'etre aussi securisees que celles entreprises sur Internet.

D'un point de vue technique, le cryptage des informations a ete introduit avec le protocole SSL. Puis les banquiers ont planches pour repondre a la crainte, sans doute un peu exageree, des consommateurs de laisser des informations circuler sur le reseau. On fait plus confiance a un serveur anonyme ou un boutiquier de Bangkok, dont on ne sait rien sur sa moralite. Les professionnels veulent, a juste raison, se premunir des abus d'utilisation en introduisant un systeme de validation sans faille.

La crainte des banques n'est pas que le numero de carte soit pirate lors d'une utilisation (attention: a ce stade nous ne parlons pas d'Internet !). En fait les risques les plus importants sont doubles selon Gaetan DALIGAULT d'Europay :

"Il y a un risque qu'un petit malin genere un numero de carte (au hasard par exemple ou en utilisant des logiciels pirates) qui corresponde a un vrai numero. C'est ce qu'on appelle les "faux-vrais numeros de carte". Chez un commercant dans la rue, cela necessiterait d'encoder et d'embosser des vrais visuels de cartes avec ce numero, donc cela implique de disposer de moyens de contrefacon. Les cartes ainsi produites sont utilisees pour faire des achats de montants eleves (plus de 10.000 F par carte). Chaque annee, la Police (avec les indications des organismes gestionnaires de cartes) arrete plus d'une centaine de contrefacteurs en France. Sur Internet par contre, le phenomene est beaucoup plus facile, car il n'y a plus de carte physique (donc pas besoin de disposer de support et de les contrefaire). Et ce n'est pas SSL qui permet d'eviter ce type de fraude (SSL est generalement utilise pour proteger le contenu, et non pour authentifier le client). Les banques sont donc confrontees a un nombre important de fraudes, souvent de montant faible (une centaine de francs par numero), qui rendent difficiles et onereux le pistage et l'arrestation de ces "petits malins" ! D'ou l'interet de mettre en place des mecanismes qui permettent d'etre sur qu'il s'agit du bon porteur de la carte. Vous comprenez alors pourquoi les organismes gestionnaires de cartes cherchent a reintroduire l'usage physique de la carte pour le paiement sur Internet, puisque la puce permet d'authentifier avec certitude qu'il s'agit d'une vraie carte."

Pour resumer en caricaturant, le risque n'est pas qu'on pirate votre numero de carte lorsque vous payez, mais plutot qu'on utilise votre numero de carte lorsque vous ne l'avez jamais utilisee sur Internet !

"L'autre risque majeur concerne les petits commercants qui n'ont pas la capacite (financiere) de mettre en place des protections anti-intrusion, d'ou un risque que des pirates recuperent une liste entiere de vrais numeros de cartes, en vue de les utiliser par ailleurs sur Internet ou de fabriquer des fausses cartes pour les utiliser chez des commercants habituels."

LES MOYENS DE SECURISATION OUVERTS

SSL

Cet acronyme signifie "Secure Sockets Layer" (SSL), il s'agit d'une procedure de transmission d'informations confidentielles sur Internet. Les donnees sont cryptees de maniere a ce que personne ne puisse interpreter les flux transmis sur le reseau que cela soit dans vos courriers electronique, vos achats, vos transactions avec une banque ou toute autre forme de communication.

Vous pouvez facilement reconnaitre une transaction securisee lorsque vous utilisez le navigateur Netscape qui affiche une clef ou Internet Explorer de Microsoft qui presente un cadenas au bas de l'ecran selon l'illustration. Dans ces deux cas vous etes assure d'avoir les conditions optimum de securite, seuls des ordinateurs extremement puissants sont en mesure de reconstituer l'algorithme de cryptage.

Les systemes de SG2/Payline, Atos et France Telecom (Telecommerce.fr) utilisent pour l'instant ce type de securite pour les paiements en ligne.

Le protocole S.E.T.

SET SECURE ELECTRONIC TRANSACTIONtm est un standard destine a authentifier les personnes impliquees lors d'achats en ligne. Le systeme utilise des protocoles de cryptographie afin de rechercher une confidentialite maximum des transactions. Contrairement a d'autres systemes (SSL), S.E.T. delivre des certificats d'authenticite des transactions electroniques. Le site, en anglais, de SET LLC pourra satisfaire les plus curieux.

Les paiements sur Internet avec C-SET et e-Comm

C-SET

C-SET est un dispositif de paiement sur Internet securise par carte a puce. Il a ete defini par le Groupement des Cartes Bancaires, qui a adapte le protocole SET (pour "Secure Electronic Transaction") developpe par MasterCard et VISA.

Ce dispositif de paiement prend en compte un environnement securitaire physique en etendant SET a l'environnement "carte a puce". C-Set, mieux securise que SET, reste neanmoins compatible avec cette norme internationale. C-Set permet donc d'effectuer des paiements en France comme a l'etranger grace a la mise en place par le GIE Carte Bancaire d'un service "traducteur" entre SET et C-SET.

C-SET signifie "Chip-Secure Electronique Transaction", c'est a dire en francais "Transaction de paiement Electronique (sur Internet) Securisee par carte a Puce".

Un millier de clients de cartes Eurocard - MasterCard ont deja recu de leur banque un lecteur de carte a memoire connectable a leur micro ordinateur. Ils peuvent effectuer, en toute securite, grace a leur carte a puce, des paiements sur Internet.

Le dispositif de paiement C-Set repond a cette preoccupation, en offrant le niveau de securite plus eleve. Rappelons que SET est une norme internationale de paiement sur Internet par carte bancaire sans puce. C-Set et e-COMM reprennent son principe de fonctionnement en y ajoutant un niveau de securite physique grace a l'utilisation de cartes a puce et de lecteurs securises.

Le niveau de securité C-Set est tel, que pour les clients francais avec une carte a puce, le paiement du commercant peut etre garanti par sa banque. Pour les clients internationaux, plusieurs cas peuvent se produire :

La mise en oeuvre logistique de C-Set avec Cybercard est simple pour le commercant puisqu'elle ne necessite qu'une seule certification.

Si vous avez des questions concernant C-SET n'hesitez pas a interroger le responsable de ce programme.

e-COMM

Tout comme C-Set, e-COMM est une application du protocole SET s'appuyant sur une carte a puce. Cette initiative avait ete prise par la BNP, la Societe Generale et le Credit Lyonnais.

Le flux de transactions securise s'articule autour de trois acteurs que sont le clients, la banque et le serveur bancaire de paiement.

Dans les deux cas, les acteurs doivent etre accredites prealablement a leur participation, ceci afin de permettre de delivrer des certificats d'authentification digitaux reconnus par le serveur de paiement bancaire.

La convergence e-Comm et C-SET

Avec l'annonce faite en juin 1998 par le Groupement des Cartes Bancaires, Europay et e-Comm de mettre en oeuvre une solution technique commune la Cybercard a de fortes chances de devenir un standard mondial de securisation sur Internet par carte a puce. Cette solution sera particulierement simples pour pour les clients et leur banque. Les clients ne sont pas deroutes, ils payent comme ils ont deja l'habitude de le faire: insertion de la carte a puce dans la fente d'un lecteur qui viendra s'ajouter a leur equipement informatique (soit sur le clavier, l'ecran ou comme unite peripherique). La lecture du montant sur l'afficheur, la composition du code confidentiel a quatre chiffres, appui de la touche "Valider", appel d'autorisation, et edition d'un ticket. Aucune donnee confidentielle circule sur le reseau, le commercant n'a, a aucun moment, acces au numero de la carte du porteur en clair.

Le client peut payer ou il le desire: a la maison, au bureau, chez un ami, dans un Cybercafe ou dans des lieux publics disposant de bornes Internet... Le client n'est pas lie a un ordinateur. Toutes les informations necessaires au paiement d'un client sont stockees sur sa carte a puce. Il peut donc payer a partir de toute machine disposant d'un lecteur de cartes securise.

Pour la Banque, la seule logistique supplementaire a prevoir est la diffusion des lecteurs de carte et des logiciels associes... du moins dans un 1er temps, puisqu'ensuite ils seront integres dans les claviers des PC, les "webphones, ou les telecommandes de consoles Internet/TV. La Banque n'a pas a diffuser les fameux certificats clients, comme c'est le cas pour SET sans carte a puce.

Dans un premier temps, les consommateurs utiliseront leur carte "francaise". Par la suite le standard international sera mis en oeuvre.

Les moyens de securisation privatifs

Plusieurs systemes de paiements securises existent en France depuis plusieurs annees: Payline decrit ci-dessus, lance par la societe SG2 et Kleline. GlobeID, une societe francaise, offre des solutions adaptables y compris une variete de moyens de paiements, tel que les cartes de credit, les e-check, les debits directs, la monnaie virtuelle, les micro paiements et les porte-monnaie electroniques.

La technologie developpee par cette societe prevoie de supporter, outre le protocole GlobeID lui meme, les protocoles de paiements standards comme S.E.T. et C.SET ainsi que les normes de securite comme SSL. Cette technologie est utilisee par Kleline, elle est egalement integree dans les principaux systemes de commerce electroniques du marche (Microsoft, Intershop, Oracle, iCat et Ilog).

Le portefeuille virtuel

Une autre materialisation des paiements electroniques est la creation et l'utilisation d'un portefeuille electronique. Ainsi, MS Wallet est un logiciel qui injecte des capacites de gestion commerciale dans Microsoft Windows et Internet Explorer. Grace a ce celui-ci les consommateurs peuvent a leur convenance et en toute securite effectuer des achats sur l'Internet. Avec Microsoft Wallet, pour acheter, il faut qu'existe un service (SSL) et que le consommateur ait "place" dans son portefeuille electronique le ou les instruments de paiement supportes par ce service. Les extensions SET seront livrees avec la version 3.0 du MS Wallet. Globe ID dans sa version operationnelle (version 1.2) dispose d'un WIM (Wallet Interface Module) qui est une forme proprietaire (specifique a GlobeID) de portefeuille electronique (appele Klebox chez KLEline). Dans sa prochaine version GlobeID utilisera les portefeuilles standards du marche et donc en premier lieu le MS Wallet en se contentant d'y ajouter des modules pour la prise en compte des services additionnels specifiques du systeme GlobeID. De meme il existe un portefeuille "cybercard" pour effectuer des paiements C-SET. Ce portefeuille gere la carte et le lecteur sur votre PC de consommateur une autre partie du logiciel gere le protocole C-SET ou prochainement e-COMM. Le MS Wallet (comme peut-etre le futur Java Wallet) sont des logiciels "portefeuille electronique" assez generiques, bien integre a Windows, offrant l'acces a divers modes de paiement en standard pouvant recevoir des "modules" additionnels pour traiter de nouveaux moyens de paiement dont C-SET, E-COMM et le "porte- monnaie" GlobeID pour les petits montants. Les consommateurs doivent avoir installe un portefeuille virtuel sur leur PC (automatique avec la futur version de Windows) et avoir lie une ou plusieurs cartes de credit a ce dernier. Les numeros des cartes sont entres de maniere securisee une seule fois. Les transactions suivantes ne necessitent alors plus la saisie de ces numeros. Donc une operation simple pour toute personne sachant utiliser un clavier !

Vers un standard

On peut dire que l'apparition des portefeuilles generiques correspond a une attente des consommateurs. Je ne pense pas etre le seul a vouloir placer mes differentes "cartes", de l'argent liquide, mes formulaires de cheques dans une meme pochette. Pouvoir payer en utilisant differents services disponibles a partir d'un logiciel unique est l'objectif recherche. Madame Monchu comprendra alors un peu mieux cette sequence technique, encore un peu complexe pour elle a ce stade de la vulgarisation de la technologie. Comme pour les Euros, lorsque la diffusion de ces outils sera generale alors le concept sera admissible par un plus grand nombre d'utilisateurs. C'est pour cela que le MS Wallet (le portefeuille electronique) fera partie des versions futures d'Internet Explorer et de Windows.

Les puces nous sauveront-elles ?

Le challenge des responsables de la securite est depuis de nombreuses annees de garantir a vos clients que les numeros de cartes bancaires qu'ils vous transmettent, ne soient utilises que pour l'acte d'achat en cours ? Comment traiter en ligne l'identification du porteur et l'acceptation de son paiement ? Comment obtenir une confirmation de l'organisme financier concerne ? Comment transmettre les donnees pour que le paiement soit comptabilise au profit de votre entreprise ?

La generalisation de l'utilisation des cartes a puces pour les paiements en ligne est une solution recherchee par de nombreux acteurs du cyberespace. Un groupe de travail, comprenant Bull, Gemplus, Hewlett-Packard, IBM , Microsoft, Schlumberger, Siemens Nixdorf Information Systems, Sun Microsystems, Toshiba, et Verifone, s'est attache a definir les specifications d'un standard. Celui-ci sera incorpore dans la prochaine version de Windows NT 5.0. Les fabricants de materiel s'activent de leur cote pour proposer des lecteurs de cartes incorpores au clavier (Key Tronic) ou comme unite attachee au PC.

La prevention interne

Tous les vendeurs de produits et services en ligne peuvent esperer etre couverts a la fois par les organismes gestionnaires des cartes bancaires, et par la technologie mise en oeuvre pour eviter des fraudes. Quelques mesures simples de protection peuvent aussi vous eviter les tracas lies aux refus de paiements :

Des logiciels "anti fraudes" peuvent egalement vous aider a automatiser ces taches. Nous avons retenu l'offre de Cybersource et son module IVSTM fraud protection. En utilisant une centaine de regles d'un systeme expert, les transactions sont verifiees, analysees, de meme que la coherence des differentes adresses obtenues (IP, email, type de navigateur, adresses physiques,...).

Toutes les transactions du commerce electronique ne demandent pas un paiement en ligne !

L'exemple du restaurant parisien Yin et Yang est interessant car il enregistre simplement les commandes sur son site. La livraison et le paiement se font a domicile. Comme quoi il est possible, dans certains cas, de contourner le probleme du risque lie aux paiements en ligne. D'autres commercants futes utilisent une procedure tres simple (trop simple) pour valider ses achats en ligne : introduire dans un terminal commercant (que leur ont, sans plus de formalite, accordes leur banque) le numero de carte et la date de validite que lui font parvenir leurs clients (souvent etrangers, majoritairement americains). La banque prend la precaution officielle de leur demander de ne pas faire circuler ces informations par le reseau (par mail). Dans les faits, elle n'a bien sur aucun moyen de s'en assurer. Et de fait, toutes ces informations circulent par le biais du courrier electronique, sans que les clients ne s'inquietent jamais d'un hypothetique piratage, qui restent des phenomenes d'exception.


l'auteur de cet article

Jean-Claude MORAND est le concepteur du site CYBERSTRAT et avec l'aimable contribution de Paul Andre PAYS de Globe ID et de Gaetan DALIGAULT de Europay France.