1. L’e-commerce : sécurité
et paiements en ligne
La corde sensible d’Internet : état des lieux
Jean David Olekhnovitch
www.olek.fr
V1.2 - 29/01/10
mercredi 3 février 2010
2. Evolution du marché
français
Evolution du CA B to C en milliards d’euros
20,00
15,00
10,00
5,00
2002
2003
2004 0
2005
2006
2007
2008
mercredi 3 février 2010
3. Faire son site
d’ecommerce
• Comment ça marche ?
• Quels prestataires ?
• Quelles technologies ?
• Quels budgets ?
mercredi 3 février 2010
4. Différentes offres
• ASP : Application Service Provider
• Communautaire (eBay)
• Prestation agence web
• Sur mesure
mercredi 3 février 2010
5. ASP : clé en main
• Le site est hébergé sur un serveur distant, avec
une solution toute prête
• Aucune préoccupation
technique à avoir
• Mais pas de
souplesses, fonctions
limitées
• Ex : PrestaStore,
PowerBoutique,
WiziShop
mercredi 3 février 2010
6. Commaunautaire
• On passe par un service ‘full ASP’, mais
hébergé par un site gérant sa communauté
• Garantie d’un trafic plus important
• Mais se fait souvent payer au prix fort (%
élevé sur les ventes, etc...)
mercredi 3 février 2010
7. eBay : Un
leader...déclinant
• Propose divers services, allant de l’enchère
jusqu’à la petite annonce
• Nombreuses fonctions de
mise en avant
• Coût rapidement élevé
• Site en perte de vitesse
• Concurrence du
‘Bon coin’ en France
mercredi 3 février 2010
8. Parenthèse : comparer
deux donne des indicateurs
• Des sites tels qu’Alexa
services
sur le trafic
• Fiabilité <100%, mais les ‘proportions’ sont
souvent les
bonnes
mercredi 3 février 2010
9. Autres modes
‘communautaires’ en
• Comparateur de prix : s’apparentent de plus
plus à des catalogues rémunérés par les
vendeurs
• Ex : Kelkoo
• Boutiques d’affiliation : Zlio
permet de créer une
boutique de produits vendus
par des tiers
mercredi 3 février 2010
10. Prestation par une
agence Web
• Se basent en général sur une solution
OpenSource existante (PrestaShop, Thelia,
Magento...)
• Disclaimer : je suis partie prenante dans la
société éditrice de Thelia
• Permet de se reposer sur un prestataire
• Personnalisations possibles (charte
graphique...)
• Coût bien plus élevé
mercredi 3 février 2010
11. Sur mesure
• Faire travailler un ou plusieurs développeurs
pour construire son site sur mesure
• Souplesse absolue
• Coût énorme
• Fiabilité aléatoire
• A réserver aux très gros projets
mercredi 3 février 2010
12. Etat des lieux de
l’eCommerce
En France et à l’international
mercredi 3 février 2010
18. Paiement en ligne via sa
banque
• La plupart des banques proposent aujourd’hui
des terminaux “en ligne”
• Paiement via la saisie d’un numéro de carte
bancaire sur le site
• Les transactions sont gérées par la banque
comme tout TPE (Terminal de Paiement
Electronique)
mercredi 3 février 2010
19. Principe de
fonctionnement
%
!"#$%
! ,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<%
•
&'($#)*+&$'! %
!"#$%&'(')*&+,#&#"(-%+
1ère étape : après sélection du produit et
%
!
validation du panier, on demande le paiement
!"#"$
!
%&'()*+,*-.$/&$01$+21'&$+1*&3&.,$
! ! !
! !
!
!
!
!
!
!
"#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'!
16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!!
!
!"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%(
!
mercredi 3 février 2010
20. %
!
!"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$
!
! ! !
Saisie numéro de carte
! !
!
!
•
!
!
L’internaute est ensuite rerouté sur le site de
!
!
"#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'!
paiement de la banque, via une liaison
16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!!
!
!"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%(
sécurisée SSL !
Multiples cartes
Saisie à la
charge de
Le look de l’internaute
l’interface est
volontairement
vieillot (donne
l’impression de
robustesse) Contrôle
cryptogramme
mercredi 3 février 2010
!
21. %
!
"!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(!'-(!*+7(!)$%-582,+.%8-!+9(1!
'-! #%(-! :)8-.! #(! .(;.(! (&.! *(2&8--+#%&+3#(</! 4'%! *(2,(.! =! #$+16(.('2! )(! 2(.8'2-(2! &'2! #(!
Confirmation paiement
&%.(!)'!18,,(2>+-.!?!
!
!
!"#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&(
(
!
• Après validation de la carte, un écran
confirme la commande et renvoie sur le site
du marchand
!
!
mercredi 3 février 2010 !
22. %
!"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0*
Gestion des paiements
!"#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;(
(
• La banque fournit au
marchant un
“BackOffice” de gestion
des paiements
• La plupart de ces
services restent très
rudimentaires
mercredi 3 février 2010
23. "#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&!
($3$-5)#6&#! 0'! 7*-5*&#! 89:! -+'(&')'(! 0'! #$-)/*(03)(*7! ,&%! -+..)',&%! /);$&%! %0#! 0'&!
Intégration à un système
<+0#'$&!=!
!
"#$%&'#(!!"#$%)*+!,-'./.(&!0!!1&&23044555678.9'&/%&%.$6:84&.$.2;'./.(&!
d’information
Il est souvent possible
d’exporter les données
de paiement au format
XML, pour traitement
dans une autre
application (backend de
gestion commerciale...)
mercredi 3 février 2010
24. Cryptage des transferts
• Via SSL, l’algorithme géré par les navigateurs
Web (Internet Explorer, Firefox...)
• Ce mécanisme allie :
• Un certificat signant l’authenticité du
serveur
• Un algorithme de cryptage 128 bits
mercredi 3 février 2010
25. SSL dans la pratique
• L’adresse du site doit être précédée de
HTTPS://
• La liaison sécurisée est représentée par un
cadenas
• Si le serveur n’utilise pas de certificat, ou un
certificat périmé, le cryptage demeure
utilisable
mercredi 3 février 2010
26. Solidité SSL ?
• SSL comme tous les algos de cryptage, n’est
pas à l’abri de tout piratage
• Mais “cracker” une clé SSL nécessite de tels
moyens qu’une telle opération n’est dans la
pratique jamais effectuée
• SSL peut donc être considéré comme
complètement fiable
mercredi 3 février 2010
27. Principaux problèmes
rencontrés
• Vol de numéro de carte bancaire
• Ex : laisser sa carte quelques secondes à un
commerçant peu scrupuleux
• Génération de faux numéros de cartes
• Les fameuses «Yes-Cards»
• Mauvaise foi de l’acheteur
mercredi 3 février 2010
28. Usurpation de carte
bancaire
Les numéros de carte
bancaire sont des
suites numériques
reproductibles en
suivant certaines
règles mathématiques
mercredi 3 février 2010
29. Génération de faux
numéros de CB
• Des logiciels existent
• Permet de simuler
une banque, un nom
de porteur...
• Ces “yescard” permettent de passer les
simples vérifications numériques (pas d’appel
direct avec les centraux bancaires)
mercredi 3 février 2010
30. Codes de contrôle
(cryptogramme visuel)
• Numéro inscrit à l’arrière des cartes, et est
demandé pour chacune des transactions
• Ce numéro ne peut être généré
• Il fonctionne via un algorithme de cryptage
unidirectionnel
• Il permet de valider un numéro de carte
• Ne peut être généré à partir de ce numéro
➡Bonne parade aux “yescard”
mercredi 3 février 2010
31. Parades plus avancées
• Si un commerçant ‘emprunte’ votre carte, il
va pouvoir noter le numéro...et le
cryptogramme
• Il faut donc des verrous plus puissants
permettant un troisième niveau de contrôle :
1. Numéro de carte valide
2. Cryptogramme correspondant au numéro
3. Autre questionnement : 3DSecure
mercredi 3 février 2010
32. 3D Secure
• Mis au point en 2008 par un consortium de
banque
• Consiste en une question ‘subsidiaire’
• Suivant les banques, la question change :
• Ex : date de naissance
• Ex : code envoyé par SMS
• Ex : clé d’authenfication
mercredi 3 février 2010
33. 3D Secure : un
handicap ?
• Pour les marchands, 3D Secure est considéré
comme un frein à la vente : trop de
contraintes
• Pour une protection concernant un
nombre de cas trop limités ?
• Protection ‘ultime’ ? (ex : date de naissance
peut être récupérée par Facebook, code
postal par l’annuaire, etc...)
mercredi 3 février 2010
34. Certification et
vérification
• FIA-Net
• Deux rôles principaux :
• ‘labellise’ les sites d’e-commerce les plus
reconnus
• Recense les mauvais payeurs et permet
d’éviter des transactions frauduleuses
mercredi 3 février 2010
35. Contact Data
Management
• Vérification d’une adresse postale
• Permet de filtrer les commandes les plus
négligées
• Et aussi de s’assurer d’une livraison dans de
bonnes conditions
• Leader : QAS
mercredi 3 février 2010
37. PayPal
• Créé à l’initiative d’eBay
• Disponible désormais pour n’importe quel
site
mercredi 3 février 2010
38. Principes de PayPal
• Les transactions ne passent plus par un
organisme bancaire
• Tout reste “virtuel”
• Vous obtenez l’équivalent d’un compte
bancaire chez PayPal :
• Vous pouvez recevoir des paiements
• Et en effectuer
mercredi 3 février 2010
39. Principe d’un paiement
Qu’est-ce que PayPal?
! PayPal est une solution de paiement en ligne
! Simple
! Rapide
! Internationale
! Sécurisée
3
mercredi 3 février 2010
40. Intérêt de PayPal
• Pour l’utilisateur :
• Pas de coordonnées bancaires en ligne
• Transactions facilitées
• Pour PayPal :
• la somme des comptes PayPal constitue un
capital à faire fructifier
mercredi 3 février 2010
41. Boutiques PayPal
• La principale : eBay
• Les transactions PayPal sont favorisées
• N’importe quelle boutique
PayPal : exemples de sites marchands
• Via une API
• Possibilité de widgets facilitant l’acte d’achat
mercredi 3 février 2010
42. PayPal sur une boutique
d’e-commerce
• Simple création de compte en ligne
• un compte de marchand est un compte
PayPal classique
• Commission à la vente : entre 1,9% et 3,4%
• Solution reconnue internationalement
• Compte PayPal client non obligatoire... mais
recommandé
mercredi 3 février 2010
43. PayPal sans compte
Paiement avec ou sans création de compte : « sans »
• Un paiement
similaire à un
paiement
sécurisé en ligne
CB classique.
• La création du
compte PayPal
est optionnelle.
14
mercredi 3 février 2010
44. PayPal avec un compte
Paiement avec ou sans création de compte : « avec »
Un paiement en 2 clics sans partager mes données financières
15
mercredi 3 février 2010
45. Paiements
pré-approuvés Paiements pré-approuvés : principe
•
! Cette option permet d’établir une pré-approbat
L’acheteur s’inscrit une fois des paiements entre le site et l’acheteur
! L’équivalent électronique d’une autorisation de prélèvem
• Il se désinscrit à la demande bancaire
• ! Intérêt : vos acheteurs vous paient en un clic
Tous les achats se font en mode “one-clic”
! Dès que l’acheteur a approuvé la pré-facturation avec le
marchand, il n’a plus besoin d’entrer ni login PayPal ni m
• Facilite les achats impulsifss passe.
! Permet au marchand de facturer et gérer l’échéancier d’
•
paiement récurrent
Permet de regrouper les paiements
!Exemples :
• Modèle économique “à la iTunes”
17
mercredi 3 février 2010
46. Fraude sur PayPal
• Taux annoncé : 0,5%
• Pas si bas que cela... (possibilité de phishing
de comptes)
• Système de vérification des comptes
• Contrôle des crédits sur les comptes
• Structure dédiée à la sécurité, et non une
antenne de structure bancaire
mercredi 3 février 2010
48. Les micropaiements
• Problématique :
• Faciliter l’acte d’achat
• Permettre le paiement de petites sommes
• Ex : achat de musique, de sonnerie de tel..
• Eviter l’utilisation de la carte bancaire
mercredi 3 février 2010
49. Principaux commerces
• Musique en ligne
• Accès privatif à des sites adultes
• Accès à des services “Premiums” de sites
Web
• Achat de documents en ligne
• Achat de sonneries, de fonds d’écran de tél..
• Des exemples sur www.biz-n-cash.fr
mercredi 3 février 2010
50. Marché visé
0 à $4,99 $5 à $49 > à $50
100
75
24 %
50
33 %
25
0
2004
2005
43 %
mercredi 3 février 2010
51. Principaux médias de
micropaiement
• Tél surtaxé
• SMS surtaxé
• Paiement via son FAI
mercredi 3 février 2010
52. Le téléphone : un
terminal de paiement
• Il devient possible d’utiliser son téléphone
pour effectuer des micro-paiements
• Principe : appel d’un numéro surtaxé
• On obtient au téléphone un code
• Alternative : code reçu par SMS
• Le code doit être rentré sur le site pour
donner accès au “produit”
mercredi 3 février 2010
53. Utilisation du téléphone
• Démocratisé pour
les sites XXX
• Dépense
“indolore” (passe
par la facture
téléphonique)
mercredi 3 février 2010
54. Micropaiement via son
fournisseur d’accès
• Certains FAI (Orange, Free) proposent des
services de micropaiement
• Identification “induite” via la connexion
• La transaction s’effectue directement entre
le site d’e-commerce et le FAI
• Paiement entièrement transparent (juste
une validation)
• La facturation se fait en même temps que
l’abonnement
mercredi 3 février 2010
56. Terminal portable
• L’exemple de Square, Startup fondée en 2009
• Utilise un iPhone et
un petit accessoire
• Lit la piste magnétique
• Utilisable en France ?
• Outil à la fois pour le
revendeur et le client
mercredi 3 février 2010
58. Le phishing
(hameçonnage)
• Principe : faire croire qu’un email vous est
adressé et vous faire saisir login et mot de
passe
• Moyens : recréer à l’identique
l’environnement du site d’origine
• Le phishing est un cas particulier de Scam, ou
fraude 4-1-9 (envoi de mail profitant de la
crédulité des gens)
mercredi 3 février 2010
60. Comment détecter du
phishing ?
• Problème : très difficile a détecter
automatiquement
• Pas de logiciel “anti-phishing”
• Premier indice : l’URL
mercredi 3 février 2010
61. Comment détecter du
phishing ? (2)
• Les “vrais” mails envoyés par de tels services
intègrent maintenant systématiquement vos
noms et prénoms
• Preuve que la base de données derrière est
bien la vraie
mercredi 3 février 2010
62. Parades contre le
phishing
• Les navigateurs modernes incluent des
consultations de bases de données recensant
les phishing les plus connus
mercredi 3 février 2010