ecommerce: Ce sont toujours les mêmes qui payent à la fin

La question des fraudes CB est généralement taboue dans l'e-commerce. En particulier les fraudes massives.Il a été très pénible de battre en brèche l'idée totalement fausse que Internet est moins sécurisé que d'autres canaux d'achat. Ce n'est donc pas terrible de raviver des craintes infondées auprès des e-consommateurs qui mélangent souvent méthodes de détournement et usages frauduleux !

ID THEFT, première mise en ligne par eeyorenada.

Si par malheur quelqu'un parvient à pirater et/ou extraire un grand nombre de no CB valides, ce sont d'abord les e-marchands qui en font les frais et non les porteurs ! Encore moins les banques sauf pour ce qui est des coûts de remplacement des CB...

Les Echos du net indiquent:"tout dans la "finesse" pour une faille réelle et dangereuse pour le site et ses clients." Cela est faux: La récupération frauduleuse de no de CB sur un site quelconque n'est pas dangereuse pour ses clients. Quoi qu'il advienne, les clients d'entreparticuliers n'ont rien à craindre  !

C'est surtout  problématique pour les autres sites e-commerce. En particulier ceux qui vendent des produits sensibles comme Discounteo: Nous sommes sérieusement exposés au vu de notre volumétrie et de notre important catalogue high-tech.

Le problème est double:

• Une fraude massive pourrait engendrer à une vague d'achats frauduleux exploitant la base piratée, ce d'autant plus difficile à détecter que le pirate a aussi récupéré les noms, adresses et téléphones véritables des porteurs. Le scoring étant du coup très dur à réaliser efficacement. Ceci dit les pirates peuvent aussi se servir des cb à l'international.
• Toute fraude attise les craintes et relance les idées reçues, donc peut freiner certains internautes dans leur démarche d'achat en ligne. Il faut alors remonter au créneau pour expliquer aux journalistes (comme celui des Echos du net) que Internet est sûr pour faire ses achats. Seuls les marchands trinquent en cas de pépin !!

En France aucun détournement massif de carte bleue n'a été rendu public a ce jour. Les seuls exemples connus sont à l''étranger (USA, Canada...). Comme par exemple en amérique du nord il y a deux ans: 27500 cartes détournées. VISA & Mastercard n'ont jamais divulgué la source du détournement.

A la suite de ces graves incidents, l'observatoire français des cartes bleues à émis un rapport qui préconise la mise en place du standard PCI-DSS. Cela interdit le stockage du cryptogramme et préconise différent niveau d'audit réguliers.

Pour aller plus loin:

• Relire le très bon article du JnD de 2004: "dans le système actuel, la véritable victime de la fraude en ligne n'est ni le porteur de carte, ni la banque, mais le site marchand lui-même". Rien n'a changé depuis...
• Rapport annuel de l'observatoire cartes bleues en 2006

CNIL: A la croisée du ecommerce et de la securité

from artland bookstore in taipei, première mise en ligne par hey-gem.

J'ignore ce que va devenir la plainte portée par entreparticuliers suite à cet article de 01net.

Après m'être un peu plus documenté, ce serait à la CNIL qu'un internaute doit se référer en cas de problème de sécurité. Tout particulièrement si le site visé tarde à agir, car personne n'est à l'abri d'une panne ou d'une erreur.

La fausse bonne idée

Contrairement à ce que je pensais, ce n'est pas du tout recommandé de conserver des données confidentielles et/ou privées. Même si c'est pour fournir une preuve comme le propose Laurent (je pense que ça part d'une bonne intention mais au final c'est tout de même des no de CB donc du recel...). L'attitude d'Arnaud est à mon avis plus correcte vis à vis du droit.
Au final, comme il l'écrit, ce sont les journalistes de 01net qui ont fait les choses comme il se doit.

VISA & MASTERCARD: Que font ils au juste ?

Dans un tel cas, il semblerait que ces sociétés n'aient comme rôle que de répercuter les alertes au niveau de la banque du e-marchand.
Je n'ai pas connaissance de cas ou ces entreprises sont intervenues concrètement dans le cas d'un manquement grave. Et si cela se produit elles n'ont aucun intérêt à le rendre public, donc personne n'est beaucoup plus avancé pour savoir à quel point c'est efficace.
C'est un peu le problème avec les paiements: personne n'a intérêt à ébruiter un problème, donc la moindre anicroche peut vite se compliquer inutilement, et c'est parti pour les fantasmes...

Sans compter qu'en plus les intervenants tout au long de la chaîne sont en relation commerciale ce qui ajoute des interférences/intérêts divers.

La CNIL ?

Les peines en cas de manquement aux obligations de sécurité évoquées sur le site de la CNIL sont énormes.
Toutefois il faut se rappeler que l'organisme est largement sous-financé depuis des années alors que les problématiques se démultiplient.
Logique vu la croissance des activités sur le net !

Un effectif d'une centaine de personnes pour s'occuper tout à la fois du spam, des enregistrements de données, de la sécurité des paiements, de la traçabilité des informations personnelles, sans compter ce qui est en dehors du net (videosurveillance, etc...). Peut on croire que c'est suffisant ?

La récent flambée de cas judiciaires autour du net va peut être avoir du bon de ce côté là: Notamment en sensibilisant les autorités et  peut être apporter une augmentation de moyens à cet organisme indispensable ?

Entreparticulier sécurisé

Il n'y aurait plus de problème de sécurité sur le site d'entreparticulier et la société a annoncé avoir lancé une procédure judiciaire contre les blogueurs qui en ont fait état.

En me renseignant dans le cadre de cette affaire je me rend compte de plusieurs choses:
En cas de problème avec des paiements en ligne, si on constate un manque de sécurité il est finalement assez dangereux de le signaler à quiconque autre qu'un juge. En effet une capture d'écran ne prouverait rien et un huissier refuse de stocker des données type CB sans une ordonnance (données confidentielles).
Or ce type de démarche coute de l'argent. Il faut donc être motivé pour le faire.

Je m'interroge alors: Imaginons qu'un site laisse échapper des n° de CB. Qui a le rôle de lui faire pression pour corriger rapidement le problème ?
Si en dépit d'un e-mail amical le site ne corrige rien, est ce à un internaute de lancer des frais importants pour faire changer les choses ?

Au final, les blogueurs, moi compris, n'auraient probablement pas du rédiger de notes avant de lancer une démarche judiciaire. C'est lourd et couteux mais c'est comme ça si j'en crois les retours que j'ai eut de quelques professionnels du droit. Nous verrons bien ce que donne la suite des événements...

Point sur les paiements en ligne et la fraude [à compléter]

Préambule

Excellente soirée hier soir avec de nombreux acteurs du web Rhone-alpin (merci Olivier).

L'occasion de reparler des affaires récentes. A mon avis d'ici la fin de l'année tous les chefs d'entreprises du net vont devenir des cracks du cyber-droit !

Dans l'e-commerce, une question qui revient souvent concerne les paiements/transactions par CB. Voici une tentative de  synthèse de tout ce que j'ai pu glaner comme informations ces 3 dernières années.
Si vous relevez des erreurs ou des manques n'hésitez pas à le signaler: ça pourra servir aux futurs lecteurs et peut être aussi à mon équipe !

Mise en place

Le banquier - La mise en place d'un système de paiement se fait soit par l'intermédiaire du banquier, soit via des systèmes packagés (type Paybox). Le banquier exige un contrat de VAD (vente à distance). Il est très rare d'avoir un banquier qui sait comment les systèmes de CB sur le net fonctionnent. Pour des besoins spécifiques il faut arriver à mobiliser les personnes compétentes de la banque qui sont généralement au siège et connaissent les arcanes des flux virtuels.

Le programme - Au démarrage la solution est standard. Pour accéder à des fonctions avancées il faut soit être un expert des API informatiques et passer ses nuits sur les livres blancs, soit montrer patte blanche.
Au fur et à mesure que le chiffre d'affaire progresse les fonctionnalités deviennent subitement disponibles :-) (ex: possibilité de placer ses marqueurs publicitaires au niveau de la confirmation de paiement, dupliquer une empreinte pour générer plusieurs transaction à partir d'une seule saisie CB, etc...)

Sécurisation

La facilité - En optant pour une solution packagée l'e-commerçant n'a aucun véritable problème de sécurisation puisque tout les soucis sont déportés sur le site du prestataire de paiement (ex: ATOS)

Ici le principal défi est surtout de mettre l'internaute en confiance en lui apportant les garanties que la solution adoptée.

En revanche dès que l'on commence à installer des briques de paiement sur ses machines pour faire certaines opérations les choses se compliquent... Même si on ne stock pas de numéro de carte sur ses serveurs, le simple fait qu'ils transitent par des pages du site marchand nécessite la mise en place de certificats SSL pour s'assurer que les pages fuitent pas les données ailleurs que prévu...

Les audits - Afin d'éviter tout problème grave, le marchand est tenu de faire des audits réguliers.
Le niveau des audits dépend du CA et du nombre de transactions par an.

Pour les petits sites un simple déclaratif suffit.

Pour les sites moyens il faut réaliser des scans avec un prestataire spécialisé (EY, Cybertrust, ...)

Pour les gros sites il faut un audit complet des bases de données et applicatifs par les mêmes organismes.

Le site qui ne se soumet pas à ces audits est potentiellement passible de poursuites de la part de Visa & Mastercard.

Extrait d'une plaquette Cybertrust:

"En tant que fournisseur de services de paiement ( en anglais Payment Service Provider ou PSP) ou commerçant important, vous devez faire face à des défis majeurs pour obtenir la conformité avec la standard de sécurisation des données pour les cartes de paiement (en anglais Payment Card Industry ou PCI) et pour maintenir cette conformité à jour.
Vous risquez également de graves sanctions si vous ne le faites pas : les amendes de non-conformité que MasterCard et Visa ont le droit d’appliquer, les frais d’investigation éventuels, votre responsabilité générale en cas de fraude ou, plus important encore, les dégâts qu’un incident peut provoquer au sein de votre organisation, en termes de réputation et de confiance."

En cas de fraude

La surprise - L'internaute qui se rend compte d'une utilisation frauduleuse de sa CB peut répudier son paiement jusqu'à 6 mois après la date de débit.
Pour cela il doit normalement porter plainte contre X et aller voir son banquier. L'e-commerçant a alors la surprise de voir les sous repartir de son compte en banque sans possibilité de faire quoi que ce soit.

En prime le décaissement est souvent accompagné de frais bancaires salés lorsqu'on démarre...

Le tribunal - Pendant un temps j'allais porter mes répudiations au commissariat pour porter plainte contre X. Un jour un commissaire lyonnais qui avait un peu de temps m'a expliqué qu'il était plus efficace d'écrire directement au tribunal d'instance le plus proche du consommateur afin qu'ils rapprochent ma plainte de celle du porteur de la CB. A ce jour aucune des deux méthode n'est plus efficace l'une que l'autre en terme d'escrocs coincés...
 

Le sale gosse - Avant de partir chez les experts à Lyon, ils faut savoir que dans une majorité de cas la répudiation vient d'un paiement fait par un proche du porteur sans son consentement. Exemple typique du gamin qui se commande une wii en cachette quand ses parents ont oublié de ranger la carte CB. il est donc à mon avis indispensable de choisir des services de livraison contre signature pour pouvoir attester que le produit a été livré ou non au domicile visé avant d'aller chercher plus loin.
 

Points à compléter

Flagrant-délit ? - Quand on détecte une fraude avant que le produit soit livré, comment faire pour prendre l'escroc sur le fait ? J'ai beau en discuter régulièrement avec mes transporteurs, je n'ai pas encore trouvé d'autre solution que faire revenir le produit à la maison et annuler la vente (et au passage perdre le montant des frais de ports...)
Si un lecteur à une méthode pour faciliter le flagrant-délit je suis preneur.

3Dsecure :-D - Les normes européennes devraient faire évoluer le système en dissociant la responsabilité de la société qui délivre la carte de celle qui encaisse le règlement. Il s'agit du fameux système 3D secure dont j'entend parler depuis que j'ai démarré le e-commerce mais dont aucune banque françaises ne veut car en France ce sont les même banques qui vendent les cartes CB aux consommateurs et encaissent les paiements des e-marchands... La suite au prochain épisode. En attendant on a tout de même la chance d'être faiblement commissionné par rapport à nos voisins !

Conclusions

Balance des risques - Le consommateur français qui utilise sa carte bleue sur le net pour payer est extrêmement bien protégé contre tout détournement de son moyen de paiement. En revanche côté e-marchand on est très largement sur-exposé aux failles du système et on dispose de peu de moyens efficaces pour faire avancer les choses car la profession est trop fragmentée. De plus le droit en matière de données personnelles est l'un des plus strict du monde.

A COMPLETER - MERCI DE VOS COMMENTAIRES/COMPLEMENTS

Doute

Quelles sont parmi les infos suivantes publiées ces dernières 24 heures les poissons d'avril et les vraies patates chaudes ?

Le président de la FEVAD annonce de nouvelles mesure contre l'ecommerce dans le JdN :
Luc Chatel envisagerait sérieusement d'imposer la facturation à la réception des colis et créer un comparateur de prix financé par le service public.

Grand recrutement de riders chez Décathlon pour devenir  rejoindre l''hiver prochain le team de Candide et Enak (nouvelle marque Weed'ze).

La CCI de Lyon n'a pas parlé d'un seul service Internet dans sa feuille de chou institutionnelle depuis plusieurs mois.

Lancement de FranceCrunch ce midi dans les kiosques pour mieux comprendre le web 3.0, c'est à dire le papier où on clique.

Je suis toujours dans le top 100 Wikio des blogs spécialistes du high-tech sans jamais avoir écrit le mot iPhone (mince c'est fait)

Après les rendez-vous ou tout le monde s'immobilise pendant quelques minutes dans un lieu public, après les batailles de polochon géantes devant la tour Eiffel, une grande chatbite party est organisée à Paris ce mois-ci

Le site entreparticuliers.com permettrait de récupérer les no de CB avec cryptogramme et date d'expiration (et nom du client) de plusieurs personnes.

Entreparticuliers.com: Merci de les prévenir

Si vous connaissez quelqu'un qui travaille chez cette société, il serait bon de leur indiquer qu'une faille de sécurité ça peut exister.
Qu'elle permetterait de sortir les n° de CB avec crypto et date d'expiration c'est vraiment pas cool.
Mais qu'en plus elle ne soit pas corrigée une semaine après notification ça n'est pas sérieux.

C'est typiquement le genre de problème qui peut porter le discrédit sur tous les systèmes de paiement en ligne si elle arrive aux oreilles de certains internautes !

Pourtant un site qui stock les no CB doit passer des audits de sécurité réguliers par des organismes certifiés et indépendants. Je suis curieux de savoir qui a fait le dernier contrôle d'Entreparticuliers.com ?! (et pourquoi se compliquerait ils la vie à stocker ce type d'information chez eux plutôt que le laisser aux spécialistes comme ATOS ?)

Baromètre plaintes DGCCRF: e-commerce en question

Luc Chatel n'aime pas l'e-commerce et à semble t'il décidé de tout faire pour discréditer ce canal de distribution.

Aujourd'hui le ministère des finances a publié le baromètre des plaintes de consommateurs (réalisé d'après les données de la DGCCRF)

Dans sa présentation, Luc Chatel n'a pas manqué de stigmatiser le canal de vente sur le net en mettant en avant la présence de 3 vendeurs à distance dans le top 10 des entreprises ayant généré le plus de plainte.
Notez l'ambiguité de la petite phrase à la fin de la page officielle qui indique plus de 40% lié à la VAD alors que dans le même temps le nombre de plaintes sur la VAD de produits de grande consommation est stable...

De fait comme je l'ai ensuite entendu à la radio, les media relayent un message complètement biaisé en indiquant que l'ecommerce est devenu une des 2 plus grandes sources de plaintes sur le net.

En lisant attentivement le baromètre du ministère, on y voit au contraire clairement indiqué que la tendance pour les plaintes sur l'e-commerce est STABLE (écrit tel quel sur le site du ministère !)

Au contraire c'est dans la vente en magasin que se posent de nombreux problèmes d'étiquettes et de publicité mensongère. La vente en magasin reste d'ailleurs loin devant l'e-commerce en terme de volume de plaintes !

Il faut donc agir sur les entreprises non sérieuses qui portent atteintes à toute la profession des e-marchands. Mais aussi continuer à travailler avec les transporteurs pour mieux gérer les flux nouveaux de la VAD (Luc Chatel devrait peut etre commencer par s'intéresser à La Poste...)

C'est vraiment déplorable pour tous les entrepreneurs qui se lancent sur le web d'avoir un secrétaire d'état pareil !

Le même jour je lis qu'eBay arrête son système de notation des e-marchands. (correction: eBay supprime la possiblité pour les marchands de noter les acheteurs afin de bloquer les représailles) Mais que leur arrive t'il pour se mettre à contre-sens du net de cette manière ?!?
Ils ont rencontré Luc Chatel lors d'un apéro ?

Bonnes intentions

Les propositions du Forum des Droits sur Internet pour le e-commerce sont pleines de bon sens et de bonnes intentions.
J'attend de voir quelle suite va être donnée par les autorités.

Discounteo applique tout cela depuis le démarrage du site (du moins ce qui nous concerne directement) mais ce ne semble pas être la règle générale puisqu'il faut un groupe de travail pour rappeler ces base...

En ce qui concerne les délais, la livraison et les services type garanties; je reste surpris de constater qu'aucun comparateur de prix ou guide d'achat n'ait encore annoncé une avancée dans ce domaine, ni même une intention.

Il faut bien reconnaître qu'à l'heure actuelle on est au niveau zero de la comparaison entre les offres dès que l'on fait entrer en jeu ces paramètres entre marchands !

Essayez de comparer le prix d'une machine à laver  avec livraison et garantie 5 ans chez quelques grands e-marchands pour voir: Un véritable casse tête !

Quand les banquiers racontent n'importe quoi

Trois bonnes heures de perdues ce matin au commissariat.
Tout cela parce que le banquier d'une de nos cliente a cru bon de lui expliquer qu'il etait plus simple de porter plainte et répudier son paiement plutôt que d'attendre le remboursement d'un site e-commerce !

Résultat: la cliente a porté plainte le lendemain puis a constaté qu'elle avait été remboursé le surlendemain.
Un peu gênée elle a préféré jeter sa plainte à la poubelle plutot que passer à nouveau au commissariat. Tout cela sans nous prévenir...

La plainte a suivi son cours pour finir par une convocation. Et voilà une bonne heure de perdue a rédiger un rapport avec un agent de police pour rien. Agent qui soit dit au passage m'a indiquée qu'elle voyait le nombre de plainte liées à Internet exploser...

Pas étonnant avec des conseils aussi avisés de mr le banquier !

ecommerce: questions paiements

• Le paiement en ligne est-il sécurisé de la même manière sur tous les sîtes e-marchands ?

La très grande majorité des ecommerçants disposent de solutions parfaitement sécurisées en France. A l'étranger c'est une autre histoire.

• Comment faire pour contrer les hackers qui font de "faux paiements en ligne"?

On peut faire appel à un prestataire tel que Fia-net qui évalue et assure les risques éventuels.

Ou bien attendre l'arrivée en France de la technologie de paiement 3Dsecure...

Mais pas besoin d'être hacker pour usurper l'identité d'un porteur de carte CB sur le net. Un ado peut très bien chiper la carte de sa mère dans son sac. La faille de sécurité n'a alors rien à voir avec le web...

• En cas d'achat d'un bien sur site et que le compte a été débité sans ayant reçu la marchandise , Quelles sont les démarches à entreprendre?

Bien souvent il faut attendre la marchandise. Le site à un délai légal de 30 jours pour livrer.

Si ce débit pose un probleme vous pouvez commander sur les sites qui proposent Receive & pay comme Discounteo. Le débit est alors garanti apres livraison !

• Comment savoir si un site est sécurisé concernant le paiement et si il existe une liste des sites 100% fiable?

Le paiement doit s'effectuer en basculant sur le site officiel d'une banque avec un protocole sécurisé (adresse en https). Plus simplement il faut vérifier qu'un petit cadenas apparait fermé dans le navigateur.

• Comment insprirer la confiance aux consommateurs concernant les produits et aussi leur paiements ?

En faisant sérieusement son métier pendant de long mois ou alors il faut déjà disposer d'un sacré capital de notoriété comme la SNCF ou Air-France.