Mon compte Devenir membre Newsletters

Sécurisation des paiements en ligne : les dispositifs antifraudes

Publié le par

La fraude à la carte bancaire sévit toujours sur Internet. Pour éviter les impayés, les sites marchands peuvent externaliser la gestion de leurs paiements et se doter d'outils permettant de repérer les fraudeurs.


Comment être certain que l'internaute qui passe commande d'un ensemble home-cinéma tape bien sur son clavier les numéros de sa carte bancaire et non ceux dérobés à un inconnu ? Cette question, la majorité des e-marchands se la posent aujourd'hui encore. Car si la paranoïa du paiement en ligne tend à s'estomper chez les internautes – les banques remboursant quasi systématiquement les achats effectués avec une carte bancaire volée –, la fraude on-line touche beaucoup plus gravement les e-marchands. « La fraude à la carte bancaire représente en moyenne 2 à 3 % des ventes sur Internet, constate David Botvinik, directeur général de Fia-Net, courtier d'assurances. C'est pire qu'un manque à gagner, c'est du vol pur et simple ! Car lorsque le véritable détenteur de la carte s'aperçoit de la supercherie et fait opposition, le site, lui, a déjà validé la commande et livré la marchandise. À ses frais ! » Sans oublier que la banque, pour recréditer son client lésé, s'est servie directement sur le compte du VADiste.

Confier la gestion de ses paiements

Quels dispositifs les sites peuvent-ils mettre en place pour se prémunir de ces incidents ? « Dans un premier temps, l'e-marchand peut décider de gérer lui-même ses paiements en ligne, ce qui signifie récupérer les numéros de cartes et lancer des ordres de virement de banque à banque, explique Laurent Evain, responsable e-business au sein de l'agence Web Cyo. Il doit alors sécuriser les parties du site à l'intérieur desquelles il stocke ces coordonnées bancaires. Le risque, ici, c'est le piratage mais il faut vraiment que le site génère un très fort volume de ventes pour qu'il soit pris pour cible… » Deuxième option : confier le traitement des transactions à un tiers de confiance, une banque ou un opérateur multibanque comme Pay Box Services ou Experian. « Notre rôle est le même que celui d'un terminal de paiement sur un comptoir, lance Frédéric Loos, directeur commercial de Pay Box Services. Nous récoltons les numéros de cartes et leurs dates d'expiration, puis nous interrogeons les serveurs d'autorisation bancaire à distance. Une réponse est délivrée dans les huit à dix secondes. Cela décharge l'e-marchand de la collecte d'informations. » Mais ne le prémunit pas totalement des mauvaises surprises : le système ne peut déceler une carte bancaire utilisée frauduleusement que si l'internaute a déjà fait opposition sur son compte. Pour l'heure, la meilleure arme antifraude reste la vigilance. « Les e-marchands ne sont pas toujours assez prudents. Une fois le numéro de carte bancaire vérifié, ils valident la commande et livrent les yeux fermés, souligne Frédéric Loos. Ils doivent à tout prix apprendre à repérer les commandes à risques. » Et là, les indices ne manquent pas. Une adresse e-mail farfelue ou qui ne dévoile pas l'identité de l'internaute, un montant de commande exorbitant, etc. « S'il ne croule pas sous les commandes, l'e-marchand peut traiter lui-même celles qui lui paraissent douteuses en interrogeant, par exemple, l'annuaire inversé de France Télécom pour vérifier les coordonnées d'un client, poursuit le porte-parole de Pay Box Services. S'il doit faire face, au contraire, à un afflux important de commandes, il peut automatiser la procédure et mettre en place un système de scoring. » Il s'agit d'utiliser un logiciel intégré à l'outil de gestion des commandes qui, en se basant sur un certain nombre de critères, permet de détecter les commandes frauduleuses. Fia-Net commercialise une solution de ce type auprès de quelque 800 e-marchands. « Pour chaque commande, environ soixante-dix analyses sont effectuées, indique David Botvinik. Le système consulte le fichier “fraudeurs” et vérifie que le numéro de carte délivré n'a jamais été utilisé lors d'une fraude, puis il décortique l'historique d'achat de l'internaute sur l'ensemble des sites adhérents au système Fia-Net. » En cas de doute, l'e-marchand demande un complément d'informations à l'internaute, soit par mail, soit par téléphone. « Cela peut être une copie de ses papiers d'identité, une facture attestant de son domicile ou encore un chèque certifié si le montant de la commande est particulièrement élevé », observe Henri de Montblanc, président de l'association pour le commerce et les services en ligne (ACSEL). Chez Fia-Net, le système de détection des fraudes s'accompagne d'une garantie d'assurance. « Bien sûr, la machine n'est pas infaillible. Si le système passe à côté d'un fraudeur, l'e-marchand est assuré et remboursé », indique David Botvinik.

Vigilance et scoring

Enfin, pour limiter la fraude on-line, le Groupement des cartes bancaires teste depuis six mois un protocole baptisé 3 D Secure. Le principe ? Permettre à l'e-marchand de se décharger de la vérification de l'identité de l'internaute, la responsabilité étant assumée par l'établissement bancaire du client. En clair, la banque doit, en amont, valider dans sa base les clients qu'elle estime “sérieux” et leur fournir un numéro d'identification (différent pour chaque commande) à justifier lors d'un achat en ligne. Un projet – encore embryonnaire – qui, à ce jour, remporte une faible adhésion. Pour les établissements bancaires, la raison est simple. En décidant d'adopter ce protocole, les banques s'engagent à se porter garantes de l'identité des clients en ligne, et d'endosser, par conséquent, les fraudes on-line. Pour les e-marchands, la réticence est tout aussi justifiée. Certes, les e-marchands souhaitent faire la guerre aux fraudeurs, mais pas au détriment du business. Selon eux, mettre en place un nouveau système d'identification comme 3D Secure risque de rendre complexe un acte aujourd'hui très simple, et de “diaboliser” l'achat en ligne.

TEMOIGNAGE : « Nous vérifions l'identité d'un client avant de valider une commande »

« Nous vérifions l'identité d'un client avant de valider une commande » Pour Jan Löning, la détection des fraudes est une affaire sérieuse. Depuis la création du site Fnac.com en 1999, une équipe de cinq limiers traque les internautes malveillants. La technique retenue ? Le scoring. « Ce système nous permet de repérer les commandes louches, indique le p-dg. Si, par exemple, vous êtes déjà client et que vous achetez deux DVD, pas de problème. Si, en revanche, vous effectuez votre premier achat et que vous commandez d'emblée trois ordinateurs portables, un contrôle va être effectué. » Grâce à un logiciel ad hoc, l'équipe de facturation vérifie alors l'adresse du client, la concordance entre cette adresse et le numéro de téléphone d'où provient l'appel, l'historique de l'internaute, etc. Si cela ne suffit pas, l'entreprise contacte directement le client, par mail ou par téléphone, afin d'obtenir un complément d'information. « Quand il est de bonne foi, le client ne s'offusque nullement de cette démarche », conclut-il.

nec plus ultra : Le cryptogramme visuel, une sécurité en plus

Le terme cryptogramme visuel désigne les trois chiffres indiqués au dos des cartes bancaires dont seul leur porteur a connaissance car ils n'apparaissent sur aucun justificatif de paiement. « Pour le site, demander ce cryptogramme visuel est une sécurité en plus, souligne Henri de Montblanc, président de l'ACSEL. L'assurance d'échapper à un achat effectué avec le seul numéro de carte volé. Car logiquement, à moins d'avoir la carte en sa possession, le fraudeur ne connaît pas ce numéro complémentaire. » Conséquen-ce : pour éviter des piratages éventuels, les sites ont interdiction de conserver le cryptogramme visuel dans leur base de données. En 2005, les e-marchands seront censés demander systématiquement ce numéro à leurs clients.