La sécurisation des paiements par carte dans un environnement de vente à distance

Ce lundi 12 novembre Converteo était convié au colloque organisé à l’initiative de l’Observatoire de la sécurité des cartes de paiement sur le thème de la sécurisation des paiements par carte dans un environnement de vente à distance, pour ne pas dire … sur Internet.

Le public, venu nombreux, a pu assister à trois tables rondes où se sont exprimés plusieurs intervenants directement intéressés par les questions du bon fonctionnement des systèmes de paiement par carte sur Internet. Ils étaient prestataires techniques, représentants d’une banque, régulateurs, représentants d’une entreprise d’e-commerce ou encore membre d’une association de consommateurs.

L’objectif annoncé du colloque pendant l’introduction du remplaçant de Fleur Pellerin – qui avait eu un empêchement de dernière minute – était simple et plutôt ambitieux: dresser une feuille de route commune pour infléchir le taux de fraude sur les paiements par carte sur Internet. Ce dernier est en constante augmentation depuis plusieurs années, et avoisine aujourd’hui 0,35%, chiffre vingt fois supérieur à celui des paiements de proximité ! Or la fraude n’est pas seulement un agrégat économique, comme l’a rappelé Jean-Marc Bornet du Groupement des Cartes Bancaires, c’est aussi un phénomène susceptible de saper la confiance d’une population dans un moyen de paiement.

L’approche par les risques

La première table ronde traitait de l’approche qui prévaut aujourd’hui en France : l’approche par les risques.
Celle-ci consiste grosso modo dans le fait que l’e-commerçant est responsable de  « sa propre fraude » et il est censé déployer lui-même des outils de protection adaptés en fonction de certains critères tels que son secteur d’activité, ses produits, son panier moyen, ses modes de livraison, son exposition à la fraude, etc.

Au-delà des outils, les intervenants se sont accordés à dire que la coopération entre tous les acteurs doit prévaloir : les banques émettrices du moyen de paiement ont le devoir de détecter les points de compromission des cartes et en avertir les porteurs, les PSP (prestataire de service de paiement) doivent communiquer les historiques de données sur la fraude qu’ils possèdent, et les sites marchands, avec leurs banques acquéreuses (des transactions), doivent être vigilants dans leur choix de protection.

Les outils de protection qui existent aujourd’hui ne sont pas si nombreux, et un consensus semble avoir lieu autour du fait que pour les paiements par carte, seule l’authentification renforcée de l’utilisateur par code est vraiment efficace. Or cette méthode comporte un inconvénient majeur pour les sites marchands : elle alourdit énormément le parcours client sur la fin du tunnel d’achat et peut représenter un frein majeur à la conversion du site. Il s’agit alors de trouver un point d’équilibre entre ergonomie et sécurité.

Notons que parmi les autres outils, nous trouvons principalement les méthodes de scoring. Ce sont des analyses comportementales sophistiquées qui permettent de mettre les acheteurs d’un site marchand dans des catégories (fraudeur et non fraudeur par exemple) créées préalablement à partir de nombreuses variables comportementales observées empiriquement. Sur la base de cette catégorisation, le site peut autoriser ou non la transaction, ou même déclencher d’autres outils de protection.

Le faux consensus autour de 3-D Secure

Le débat a ensuite vite tourné sur le principal avatar de l’authentification forte que l’on trouve en France aujourd’hui : le fameux protocole 3-D Secure. Avec celui-ci, l’authentification a lieu une fois les informations bancaires renseignées par le prospect sur le site marchand, par l’ouverture d’une page demandant à l’utilisateur de renseigner un code (valable qu’une fois, donc « non rejouable ») qu’il aura reçu par sa banque, généralement par SMS.

Alors que de nombreux intervenants faisaient l’apologie de ce système d’authentification, la voix d’un des co-fondateurs du site vente-privee.com s’est élevée du public et a jeté un véritable pavé dans la mare. Pour lui (et pour d’autres visiblement), il n’y avait presque pas de sens à organiser un tel débat autour de ce système qui est quasiment mort-né aux Etats-Unis, et a un avenir très limité en France (et ailleurs) en raison du très fort développement du m-commerce et de son inadaptation à ce canal. Aussi, il s’est érigé contre le fait que l’on créait des dispositifs potentiellement très pénalisants pour la conversion d’un site, que l’on destine à l’ensemble des entreprises e-commerce, quand la fraude est un vrai sujet pour seulement quelques canards boiteux des 100 400 sites marchands recensés en France par la FEVAD.

Les intervenants ont ensuite répondu que 3-D S n’était certainement pas un « endgame », une fin en soi, mais cela restait un des outils les plus efficaces du moment, en attendant que la technologie ouvre la voie à d’autres solutions… Quid de la biométrie ?

La deuxième table ronde sur les retours d’expérience des entreprises ayant éprouvé le 3-D Secure, pouvait alors commencer sereinement !

Max Moreau nous a parlé du cas de voyages-sncf pour qui les retours sont positifs, avec plus de 60% des paiements du site concernés en 2012, même s’il a lui-même daigné concéder que la situation monopolistique de son entreprise pouvait biaiser la donne… Globalement, il constate une bonne acceptation client et une baisse significative des impayés, notamment grâce au transfert de responsabilité du site marchand vers la banque émettrice que 3-D Secure opère. Certains points de vigilance ont été soulignés, tels que la lourdeur de la mise en en place et du suivi au niveau du service client et la nécessité de compléter ce système par un autre sur le canal mobile, où il est difficilement opérable (car l’enlever ne créerait qu’une translation de la fraude du web fixe vers le mobile, les fraudeurs s’adaptant).
Philippe Bruand du site delamaison a dressé un constat similaire sur l’efficacité de 3-D S, mais a mis l’accent sur les effets négatifs sur la conversion du tunnel d’achat. Le site a donc préféré coupler l’authentification forte à un système de scoring préalable, qui redirige le client vers 3-D S ou non en fonction du niveau de risque estimé.

Les portefeuilles électroniques (wallets)

La dernière table ronde de l’après-midi portait sur les nouvelles solutions de paiement qui consistent à confier à un tiers, gestionnaire de portefeuille, l’exécution des transactions suite à une authentification. Vous l’aurez reconnu, il s’agit des portefeuilles électroniques, ou encore « wallets ».

Ces solutions ont l’avantage d’être ergonomiques étant donné que le paiement sur un site marchand ne nécessite généralement que de renseigner deux champs (identification + mot de passe/code secret). Mais la praticité n’est pas pour autant sacrifiée à la sécurité, puisque les clients n’ont pas à communiquer leurs données bancaires au moment de l’achat, et que  l’inscription au wallet se fait avec une authentification forte de l’utilisateur.
Notons que le wallet, en s’affranchissant de la carte bancaire, est une solution tout à fait compatible avec d’autres canaux que le web : le mobile (dont le numéro peut même servir d’identifiant) et même la proximité !

Les représentants des principales solutions de wallet se sont exprimés sur leurs produits. Nous avions Eric Gontier (DG de Buyster), Gimena Diaz (DG France de Paypal) et Roland Entz (Visa Europe). Ce dernier nous a présenté en exclusivité le wallet que visa va sortir très prochainement : le V.me. Il semblerait que seule la solution Kwixo de Fia-Net manquait à l’appel.

Ce colloque a eu le mérite de dresser un état des lieux du phénomène de la fraude sur Internet pour les paiements par carte, et des principaux outils qui existent et peuvent être déployés. La participation du public a aussi permis de mettre l’accent sur les limites de ces mêmes outils et  sur la nécessité de se tourner vers d’autres solutions, en regardant peut-être ce qui se fait à l’étranger. Quoiqu’il en soit, la lutte contre la fraude sur Internet est une nécessité, et elle ne sera couronnée de succès que grâce à la coopération de l’ensemble des acteurs concernés de près ou de loin, à une échelle la plus grande possible.
Il était tout de même difficile de ne pas remarquer que nombreux étaient ceux – dirigeants de sites e-commerce pour la plupart – venus cherchés une boite à outil à appliquer directement à leur cas particulier, qui sont restés sur leur faim après ces quelques heures d’exposé.