ecommerce: Ce sont toujours les mêmes qui payent à la fin
La question des fraudes CB est généralement taboue dans l'e-commerce. En particulier les fraudes massives.Il a été très pénible de battre en brèche l'idée totalement fausse que Internet est moins sécurisé que d'autres canaux d'achat. Ce n'est donc pas terrible de raviver des craintes infondées auprès des e-consommateurs qui mélangent souvent méthodes de détournement et usages frauduleux !
Si par malheur quelqu'un parvient à pirater et/ou extraire un grand nombre de no CB valides, ce sont d'abord les e-marchands qui en font les frais et non les porteurs ! Encore moins les banques sauf pour ce qui est des coûts de remplacement des CB...
Les Echos du net indiquent:"tout dans la "finesse" pour une faille réelle et dangereuse pour le site et ses clients." Cela est faux: La récupération frauduleuse de no de CB sur un site quelconque n'est pas dangereuse pour ses clients. Quoi qu'il advienne, les clients d'entreparticuliers n'ont rien à craindre !
C'est surtout problématique pour les autres sites e-commerce. En particulier ceux qui vendent des produits sensibles comme Discounteo: Nous sommes sérieusement exposés au vu de notre volumétrie et de notre important catalogue high-tech.
Le problème est double:
- Une fraude massive pourrait engendrer à une vague d'achats frauduleux exploitant la base piratée, ce d'autant plus difficile à détecter que le pirate a aussi récupéré les noms, adresses et téléphones véritables des porteurs. Le scoring étant du coup très dur à réaliser efficacement. Ceci dit les pirates peuvent aussi se servir des cb à l'international.
- Toute fraude attise les craintes et relance les idées reçues, donc peut freiner certains internautes dans leur démarche d'achat en ligne. Il faut alors remonter au créneau pour expliquer aux journalistes (comme celui des Echos du net) que Internet est sûr pour faire ses achats. Seuls les marchands trinquent en cas de pépin !!
En France aucun détournement massif de carte bleue n'a été rendu public a ce jour. Les seuls exemples connus sont à l''étranger (USA, Canada...). Comme par exemple en amérique du nord il y a deux ans: 27500 cartes détournées. VISA & Mastercard n'ont jamais divulgué la source du détournement.
A la suite de ces graves incidents, l'observatoire français des cartes bleues à émis un rapport qui préconise la mise en place du standard PCI-DSS. Cela interdit le stockage du cryptogramme et préconise différent niveau d'audit réguliers.
Pour aller plus loin:
- Relire le très bon article du JnD de 2004: "dans le système actuel, la véritable victime de la fraude en ligne n'est ni le porteur de carte, ni la banque, mais le site marchand lui-même". Rien n'a changé depuis...
- Rapport annuel de l'observatoire cartes bleues en 2006
Je suis on-ne-peux-plus d'accord avec toi. C'est bien le commerçant qui prend tous les risques.
Mais en cas de vol de numéro, le client a quand même quelques petits désagréments (devoir se justifier, porter plainte, changer de carte, attendre les remboursements...), la plus part du temps parce que les banques ne jouent pas le jeu.
Les banques ne font pas de communication correcte sur le sujet. Par exemple, elles ne valorisent pas assez leurs systèmes de paiement : la plus part du temps, le commerçant ne connait pas le numéro de CB ! Idem pour les systèmes "e-carte-bleue", très peu de communication, alors qu'il est gratuit dans la plus part des banques.
Rédigé par: olivier - 42stores | 14/04/2008 at 10:03
En effet, les consommateurs sont remboursés par leurs banques quand leur carte est détournée ... mais je ne comprends pas comment la banque n'est pas perdante dans ce cas ? Tu veux dire que c'est le e-marchand qui rembourse la banque pour faille de système de paiement ... installé par la banque elle-même en général ?
Rédigé par: Samir | 15/04/2008 at 15:45
Olivier > oui mais ces désagréments sont les memes si tu te fais piquer ta CB dans ton sac. Il n'y a pas d'inquiétude supplémentaire à avoir. Au contraire, sur le net meme pas besoin de faire fonctionner l'assurance
Samir > Oui c'est le marchand qui rembourse la banque. Ils sont très fort n'est ce pas ? En fait ils se servent directement dans ton compte en banque sans te demander car c'est prévu dans le contrat de VAD.
Rédigé par: Daniel Broche | 15/04/2008 at 16:33