Sécurité et paiement en ligne

Processus logique d’achat en ligne

2
 Sécurité des transactions en ligne
• Un des enjeux majeurs des
transactions électroniques
concerne leur sécurité.

• La question de la confiance
est un élément essentiel dans
le commerce électronique.

• Pendant longtemps, c’était un frein à l’expansion du

commerce électronique au niveau des particuliers.

3
 Sécurité des transactions en ligne
• La sécurité est un défi important pour le commerce
électronique.

• le commerce électronique B2B utilise les réseaux EDI,

beaucoup plus sécurisé que Internet.

4
Sécurité des transactions en ligne sur Internet
• A sa naissance, Internet n’avait pas pris en compte les
questions de sécurité.
• Ce sont des protocoles ultérieurs qui ont pris en charge cette
question.
• Cryptage des données, mécanismes d’authentification.
Protocolaires suffisants…
• Mais chaque jour apparait des problèmes de sécurité
nouveaux , usurpation d’identité, hameçonnage, etc.
• Ces nouveaux problèmes nécessitent des efforts d’éducation
des internautes

5
Sécurité des transactions en ligne sur Internet
 Des problèmes de sécurité existent et sont vus différemment par
le client et l’entreprise.

 Pour un client en ligne, la sécurité inclut les problématiques

suivantes :
– Authentification: comment s’assurer que le site sur lequel le client
réalise un achat est bien celui qu’il prétend être ?
– Code malicieux ou malware: comment assurer le client que le site sur
lequel il effectue un achat ne contient pas du code informatique
dangereux qui pourrait prendre le contrôle de son ordinateur.
– Hameçonnage ou phishing: comment éviter les détournements de
clients, à partir de faux courriers électroniques, vers des faux sites
répliquant les sites marchands.
– Intégrité des données: lorsque le client transmet des informations de
paiement (numéro de carte bancaire par exemple), comment garantir6
Sécurité des transactions en ligne sur Internet
 Pour l’entreprise, il existe en plus d’autres enjeux de
sécurité :
– Authentification: comment être sûr de l’identité du client
qui effectue un achat ? S’agit-il d’un fraudeur ?
– Intégrité: comment garantir la protection physique des
données collectées lors de la transaction commerciale ?
– Vie privée: comment rassurer le client sur l’usage des
données privées que le site collecte ?

7
Sécurité des transactions en ligne sur Internet
• Authentification des parties: un enjeu majeur des
transactions électroniques.
• Utilisation des technologies de certificats numériques
et le chiffrement.
• TLS/SSL : l’essentiel des transactions repose sur ce
protocole, largement répandu.
– Par contre, la détection des fraudes et des
usurpations demeure un problème plus complexe
techniquement.

8
Authentification des parties prenantes à la transaction
• La question principale est celle de l’identité des
parties en présence dans l’échange.
• Comment s’assurer que l’on effectue bien une
transaction sur le site de l’entreprise que l’on a
choisie ?
• Comment le site de e-commerce peut-il être
réellement certain d’être en présence du bon client
et non d’une personne qui usurpe son identité ?
• En cas de litige, une des parties peut nier avoir
participer à la transaction. On a introduit le principe
de non-répudiation.
9
Authentification des parties prenantes à la transaction

• La non-répudiation vise à apporter la preuve de

l’identité des parties
– Aucune partie ne peut contester avoir participé à la
transaction et ne peut refuser donc, par exemple, d’honorer
une facture reçue électroniquement.
• Ce principe est assuré dans les réseaux EDI/RVA pour
le commerce B2B
• Dans l’environnement Internet, ce principe est mis en
œuvre à travers les certificats numériques et les
infrastructures à clé publique (Public Key
Infrastructure ou PKI )
. 10
Authentification des parties prenantes à la transaction

 Un tiers de confiance à la relation commerciale (une

autorité de certification) délivre à une entreprise ou à
une personne physique un certificat numérique
– Une réelle pièce d’identité numérique.
 Il existe plusieurs niveaux de certification (
www.ssi.gouv.fr ).
 L’autorité émettrice garantit par la délivrance du
certificat l’identité de l’utilisateur.
 Cette autorité gère aussi la validité des certificats dans
le temps (révocation).
11
Authentification des parties prenantes à la transaction
 Les certificats numériques permettent de crypter les documents
échangés, offrant ainsi un niveau élevé de sécurisation des
transactions.
 Lors de la création d’un certificat numérique, l’autorité de
certification délivre deux clés,
‒ l’une privée, l’autre publique.
‒ On parle de chiffrement asymétrique.

 Ces clés autorisent la circulation de documents cryptés lors des

échanges.
‒ La clé privé encrypte les données envoyées (courriers électroniques,
documents, formulaires, etc.)
‒ Tandis que la clé publique permet le déchiffrement par le destinataire
du document; sans que la clé privée ne soit utilisée lors de cette phase.
12
Authentification des parties prenantes à la transaction

• Un internaute communique sa clé publique (un mot

de passe d’une longueur suffisante) à son
interlocuteur.
• Il expédie un courrier électronique qu’il crypte à
l’aide de sa clé privée.
• A la réception, pour décrypter le message, le
destinataire utilisera la clé publique pour lire le
courrier électronique.

13
Authentification des parties prenantes à la transaction

• Le protocole TLS (Transaction Layer Security)

utilise le chiffrement pour crypter les données
échangées lors d’une transaction commerciale.
• Tous les sites marchands emploient ce protocole
pour garantir l’intégrité des informations lors de
la transmission des données bancaires par le
client,
• Remarque : le protocole TLS n’utilise pas le
chiffrement asymétrique. Il utilise une autre
méthode plus souple pour les transactions
commerciales.
14
 Limiter les risques de fraude
• Le protocole TLS garantit l’intégrité des transactions.
– Mais il comporte des lacunes dans la partie authentification.

• Il existe des pratiques frauduleuses appelées phishing

ou hameçonnage.
– Cette fraude consiste à piéger l’internaute en lui envoyant
un courrier électronique qui lui demande de mettre à jour
ses informations sur un site marchand falsifié qui reproduit
le site original.

• Cette fraude est aujourd’hui limitée par l’éducation et

l’information des internautes, ainsi que les versions les
plus récentes des navigateurs Internet.
15
 Limiter les risques de fraude
• La fraude en ligne est un risque financier non
négligeable pour le site marchand.
– On peut être abusé par un client qui détient des codes de
cartes bancaires volées ou de fausses cartes bancaires.

16
Les solutions de paiement en ligne
Essentiellement pour le commerce B2C

17
 Choisir une solution de paiement en ligne
• Plusieurs options sont envisageables pour gérer les
règlements de transaction en ligne.
• Quatre formes principales :
– Emploi de plateforme bancaire
– Recours au prestataires de service de paiement (Payment
Service Provider, ou PSP)
– Facturation sur l’abonnement Internet de l’utilisateur
– Utilisation d’une solution de micro paiement

• Les critères de choix portent sur le montant des

transactions (panier moyen), les coûts de transaction
facturés par les prestataires, le volume des transactions…
18
Solutions bancaires

19
 Les solutions bancaires
• La plupart des banques ont développé des prestations de
paiement en ligne pour les clients professionnels (ex: les sites
marchands)  compte commercial Internet
• Déployer une telle solution est souvent le plus simple.
Le compte d’installer
– Nécessite essentiellement commercial des Internet
connecteurs entre le
serveur de commerce électronique
Un compte commercialetInternet
les serveurs bancaires
est accordé qui
par une
sont aptes à recevoir des demandes
institution financière etliées à l’exécution
permet à l’entreprised’une
qui en est
titulaire
transaction par carte d’accepter les paiements en ligne effectués par
bancaire.
carte de crédit.
• Les entreprises
La banque vérifie auprès doivent obtenir
du système un compte
de cartes commercial
bancaires
Internet distinct pour chaque type de carte de crédit
(Groupement interbanque) que laaccepter
qu’elles souhaitent carte(ex.
employée dans la
Visa, Mastercard,
transaction est valide et autorise
American Express). ou rejette la demande
d’autorisation qui a été transmise par le site marchand.
20
 Echanges sécurisés par iKP

21
Internet keyed payment (IPK)  Paiment chiffré sur Internet
Passerelles de paiement

22
 Les passerelles de paiement sécurisées
• Indépendance par rapport à un établissement
bancaire.
• Palette de prestations plus large que celle d’une
banque classique:
– Prise en charge d’un nombre plus grand de cartes
bancaires
– Acceptation de paiement en devises, prestations
additionnelles
• Le marché des PSP est devenu très concurrentiel,
et de nombreux offres existent, comme celles de
PayBox, Ogone, Kilk & Pay, etc.
23
Paybox, le tout en un!
Plateforme de paiement unique quel que
soit le canal de vente
Paybox traite à ce jour les flux de plus 35 000
marchands et 120 millions de transactions
par an. Paybox opère et exploite un service
de paiement en relation avec les différents
acteurs du commerce électronique :
• Le commerçant
• Les agences web et prestataires de
services
• Les établissements bancaires
• Les acheteurs
24
Disponibilité et performance de la plateforme
• disponible 24h/24, 365 jours par an
– Activation de la solution de paiement en moins de 48h
– Paybox possède deux plateformes de production hébergées sur des
sites différents, distants de plus de 500 km

• Ces deux sites sont agréés PCI DSS niveau 1 version 2.0 (le plus
haut niveau de certification à l’heure actuelle).

• A tout instant, les 2 plateformes disposent d’un ensemble de

données identiques et cohérentes.

• Une 3ème plateforme est dédiée aux tests et à la pré-

production. 25
 Fonctionnalités
• Multi moyens de paiements

26
 Cycle de vie d’une transaction en vente à
distance
Demande Ordre de débit partiel / total Remboursement
d’autorisation de l’autorisation, Mise à partiel / total
Consultation disposition de la transaction (historique
serveurs à la prochaine télécollecte disponible 13 mois)
bancaires / privatifs bancaire

Télécol-
Capture lecte /
Demande Rembour-
/ ordre Remise
d’autorisation sement
de débit en
banque

An
nu
lati
o n

Jour J J+7
Remboursement dans la limite de la
27
date de validité de la carte
Fonctionnalités
• La personnalisation de la page de paiement est gratuite, La
page de paiement au format mobile s’adapte par simple
paramétrage d’une variable.
• Grâce à la personnalisation de page :
▪ Intégrez votre charte graphique
▪ Rassurez vos clients dans le tunnel d’achat en
évitant la sensation de rupture
• La page de présélection des moyens de paiement
• Le logo de l’enseigne ou bannière
• Le choix de la langue d’affichage et de la devise
• Le fond d’écran, La police de caractères, la taille et la
couleur des textes

• Ticket de paiement (adressé par mail à vos clients) …

28
 Fonctionnalité
• Outils anti-fraude
Afin de détecter les comportements frauduleux, Paybox vous met à disposition
plusieurs outils d’aide à la décision :

▪ Localisation de l’acheteur (BIN carte et nationalité IP)

▪ Activité de la carte (Alerte paiements multiples)

▪ Liste d’opposition de cartes

▪ Mise en place de filtres

• Dans cette configuration, c’est à vous que revient la décision de valider

ou annuler la transaction. Filtrez et bloquez selon des critères.
• On peut confier à Paybox la gestion anti-fraude.
– Des critères d’acceptation et/ou de refus sont paramétrés sur les serveurs Paybox
selon vos besoins.
29
Fonctionnalité
• Back-office de uivi et gestion des transactions.
• Interface sécurisée, multilangue , mise à jour en temps
réel
• Reflet exact de l’ensemble des paiements et tentatives
• Consultation des indicateurs anti-fraude
• Extraction de date à date des détails des transactions
(XLS / CSV / XML)
• Annulation de transactions
• Remboursement total ou partiel
• Saisie Manuelle d’un paiement pour une commande par
téléphone ou par courrier

On peut importer directement dans votre SI une extraction

quotidienne des données.
30
 Pourquoi choisir Paybox
• Pour le propriétaire du site
– L’encaissement des
transactions par Paybox
– Un choix de moyens de
paiement adéquat à
l’activité et à la clientèle
– Une flexibilité
d’encaissements, de
remboursements pour
satisfaire et fidéliser ses
clients
• Pour la clientèle
– Le paiement avec les moyens
qu’elle préfère
– Un confort de débit à
l’expédition colis, en plusieurs
fois par abonnement ou en
un clic
– Remboursement rapide en
cas de retour sur le moyen de
paiement utilisé
31
Paiement par facturation Internet,
sms …

32
Paiement par facturation sur l’abonnement Internet
• Proposition du débit de la transaction marchande
sur la facture Internet/Mobile.
• Destiné aux services ou contenus multimédia
payant.
• L’achat est intégré à la prochaine facture ou débité
en temps réel pour un forfait bloqué ou une carte
prépayé.
• Cas de www.internetplus.fr en France
• Plus d’informations sur
www.infoconso-multimedia.fr
33
Autres moyens de paiement

34
Autres solutions de paiement électronique
• PayPal: acteur majeur dans le domaine du paiement
électronique.
– Le client crée un•compte
Paypal sechez
targuePaypal
de fairequ’il
plus depeut alimente
$4 milliards à
de chiffre
partir de son compte bancaire
d'affaires (2011)de façonplus
et d'avoir sécurisée.
de 200 millions de
– Tous les autres paiements
clients. électroniques sont effectués à
partir de son compte Paypal
• La société quispécialisée
eBay, ne nécessite
dans lapasventedededonnées
particulier
sur son compte bancaire (www.paypal.fr)
à particulier, en a d'ailleurs fait l'acquisition en 2002,

• Google Wallet … afin de faciliter les paiements entre ses clients

internautes.
• Carte prépayée: actuellement en vogue au Sénégal.
– Le client achète une carte bancaire (UBA, CBAO) sans
disposer de compte bancaire.
– Il peut créditer la carte et effectuer des paiements en ligne.
35
 Autres modalités de paiement

• Le paiement des transactions en ligne ne

s’effectue pas forcement en ligne.
• Le paiement en ligne n’est qu’une modalité
parmi d’autres.
• On peut payer
– par chèque,
– voir par espèces à la livraison du produit, par
exemple (à domicile ou dans un point de retrait.
Ex: www.cdiscount.sn, www.pixmania.com)
36
Sécurité et paiement en ligne

37
Conseils pour réduire les risques en matière
de sécurité et de la protection
des renseignements personnels associés
au e-commerce

39
Conseils pour réduire les risques d’insécurité
• Passez en revue les fonctions et les services
relatifs à la sécurité offerts par votre hébergeur
Web, votre fournisseur de services Internet,
votre concepteur Web et votre fournisseur de
logiciels.
• Soyez attentif aux alertes de sécurité et installez
les correctifs de sécurité nécessaires.
• Procédez régulièrement à la mise à jour du
logiciel de sécurité et à la recherche de logiciels
espions et de virus. 40
Conseils pour réduire les risques d’insécurité
• Faites régulièrement des copies de sauvegarde
des systèmes et des données.
• La conception d’un site de commerce
électronique doit réduire au minimum les
risques pour la sécurité.
– Par exemple, lorsque le consommateur appuie sur
le bouton « Acheter », le bouton « Précédent »
devrait être désactivé.

41
Conseils pour réduire les risques d’insécurité
• Procurez-vous un certificat numérique pour
votre site Web.
– Ce certificat indique que les renseignements
personnels transmis à votre site seront chiffrés
(codés).
• Verisign (http://www.verisign.com) et Thawte
(http://thawte.com) sont deux des principaux
fournisseurs de certificats numériques sur
Internet.

42
Conseils pour réduire les risques d’insécurité
• Évitez de stocker sur votre ordinateur
l’information relative aux cartes de crédit des
clients.
– Si vous laissez ces renseignements sur votre
ordinateur, assurez-vous que ni vos employés ni
les pirates informatiques n’y ont accès.

43
 Conseils pour réduire les risques d’insécurité
• Rédigez une politique de protection des renseignements personnels. Cette
politique devrait encadrer la collecte et l’utilisation des renseignements
ainsi que les procédures de sécurité utilisées pour protéger ces
renseignements de la perte, du vol ou de toute modification.
• Vous pourriez afficher cette politique sur votre site. Vous pourriez
également demander un sceau de garantie de protection des
renseignements personnels.
• L’icône du sceau de garantie de protection des renseignements personnels
s’affiche sur votre site et augmente la confiance des consommateurs.
– Selon le site Entrepreneur (www.entrepreneur.com/article/171506), les deux
principaux programmes de garantie de protection des renseignements personnels
sont TRUSTe (www.truste.com) et BBBOnline (
www.bbb.org/canada/business/bbbonline).

44
Conseils pour réduire les risques d’insécurité
• Assurez-vous d’être muni du protocole SSL qui
permet de crypter les renseignements confidentiels
pendant la transmission des transactions et leur
autorisation.

45
Conseils pour réduire les risques d’insécurité
• Assurez-vous d’avoir le matériel de sécurité nécessaire pour stocker les
renseignements.
• Par exemple, une carte PCI (interconnexion de composants
périphériques) est souvent installée pour rehausser le niveau de
protection.
• Une autre approche utilisée est le protocole SET (Secure Electronic
Transaction) élaboré conjointement par VISA et MasterCard. Avec ce
protocole, l’entreprise n’a pas accès aux renseignements sensibles et
ceux-ci ne sont pas stockés sur le serveur de l’entreprise.
– Il y a le protocole 3-D Secure qui est aujourd’hui sont remplaçant (Verified By Visa
et MasterCard SecureCode).

• Des coupe-feu devraient être utilisés pour protéger le réseau et les

ordinateurs des virus et des pirates informatiques.
– Seuls les employés autorisés devraient avoir accès aux renseignements et
particulièrement aux renseignements sensibles. 46
Conseils pour réduire les risques d’insécurité
• Passez en revue les autres outils de prévention des fraudes et
évaluez leur pertinence dans le cadre de vos opérations.
– Par exemple, un service de vérification des adresses (AVS) compare
l’adresse du client avec celle qui est inscrite dans le registre de la
banque ayant émis la carte.

• Les grandes sociétés émettrices de cartes de crédit ont

également des systèmes de vérification.
– Le code à trois chiffres imprimé à l’arrière des cartes de crédit peut
vous aider à déterminer la validité de la carte des clients.

• Vérifiez toujours l’adresse du client.

47
Conseils pour réduire les risques d’insécurité
• Méfiez-vous des commandes importantes ou des commandes
de plusieurs exemplaires du même produit, en particulier si le
client demande une livraison urgente.
– Si vous vendez des articles de valeur qui peuvent se revendre
facilement, vous pourriez envisager de faire appel aux services évolués
de protection contre les fraudes offerts par les fournisseurs de services
de passerelle.
– Ex., les filtres antifraude qui détectent les activités suspectes.

48