Ecommerce

L’e-commerce : sécurité et paiements en ligne La corde sensible d’Internet : état des lieux Jean David Olekhnovitch www.olek.fr V1.2 - 29/01/10 mercredi 3 février 2010

Evolution du marché français Evolution du CA B to C en milliards d’euros 20,00 15,00 10,00 5,00 2002 2003 2004 0 2005 2006 2007 2008 mercredi 3 février 2010

Faire son site d’ecommerce • Comment ça marche ? • Quels prestataires ? • Quelles technologies ? • Quels budgets ? mercredi 3 février 2010

Différentes offres • ASP : Application Service Provider • Communautaire (eBay) • Prestation agence web • Sur mesure mercredi 3 février 2010

ASP : clé en main • Le site est hébergé sur un serveur distant, avec une solution toute prête • Aucune préoccupation technique à avoir • Mais pas de souplesses, fonctions limitées • Ex : PrestaStore, PowerBoutique, WiziShop mercredi 3 février 2010

Commaunautaire • On passe par un service ‘full ASP’, mais hébergé par un site gérant sa communauté • Garantie d’un traﬁc plus important • Mais se fait souvent payer au prix fort (% élevé sur les ventes, etc...) mercredi 3 février 2010

eBay : Un leader...déclinant • Propose divers services, allant de l’enchère jusqu’à la petite annonce • Nombreuses fonctions de mise en avant • Coût rapidement élevé • Site en perte de vitesse • Concurrence du ‘Bon coin’ en France mercredi 3 février 2010

Parenthèse : comparer deux donne des indicateurs • Des sites tels qu’Alexa services sur le traﬁc • Fiabilité <100%, mais les ‘proportions’ sont souvent les bonnes mercredi 3 février 2010

Autres modes ‘communautaires’ en • Comparateur de prix : s’apparentent de plus plus à des catalogues rémunérés par les vendeurs • Ex : Kelkoo • Boutiques d’afﬁliation : Zlio permet de créer une boutique de produits vendus par des tiers mercredi 3 février 2010

Prestation par une agence Web • Se basent en général sur une solution OpenSource existante (PrestaShop, Thelia, Magento...) • Disclaimer : je suis partie prenante dans la société éditrice de Thelia • Permet de se reposer sur un prestataire • Personnalisations possibles (charte graphique...) • Coût bien plus élevé mercredi 3 février 2010

Sur mesure • Faire travailler un ou plusieurs développeurs pour construire son site sur mesure • Souplesse absolue • Coût énorme • Fiabilité aléatoire • A réserver aux très gros projets mercredi 3 février 2010

Etat des lieux de l’eCommerce En France et à l’international mercredi 3 février 2010

Panier moyen en France 90 euros mercredi 3 février 2010

Abandon d’un panier entre 50 et 60% des cas Part de la peur du paiement ? mercredi 3 février 2010

Fraude 0,235% du CA Internet en 2008 (contre 0,036% tous secteurs confondus) mercredi 3 février 2010

Répartition des fraudes Electr. grand public Informatique 5 % Tourisme 4 % 1 % 30 % Téléphonie Habillement 10 % Alimentation Petit matériel élec. Divers 7 % 25 % 18 % Source : Fia-Net mercredi 3 février 2010

Les paiements “classiques” mercredi 3 février 2010

Paiement en ligne via sa banque • La plupart des banques proposent aujourd’hui des terminaux “en ligne” • Paiement via la saisie d’un numéro de carte bancaire sur le site • Les transactions sont gérées par la banque comme tout TPE (Terminal de Paiement Electronique) mercredi 3 février 2010

Principe de fonctionnement % !"#$% ! ,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<% • &'($#)*+&$'! % !"#$%&'(')*&+,#&#"(-%+ 1ère étape : après sélection du produit et % ! validation du panier, on demande le paiement !"#"$ ! %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! ! ! ! ! ! ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( ! mercredi 3 février 2010

% ! !"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! Saisie numéro de carte ! ! ! ! • ! ! L’internaute est ensuite rerouté sur le site de ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! paiement de la banque, via une liaison 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( sécurisée SSL ! Multiples cartes Saisie à la charge de Le look de l’internaute l’interface est volontairement vieillot (donne l’impression de robustesse) Contrôle cryptogramme mercredi 3 février 2010 !

% ! "!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(!'-(!*+7(!)$%-582,+.%8-!+9(1! '-! #%(-! :)8-.! #(! .(;.(! (&.! *(2&8--+#%&+3#(</! 4'%! *(2,(.! =! #$+16(.('2! )(! 2(.8'2-(2! &'2! #(! Conﬁrmation paiement &%.(!)'!18,,(2>+-.!?! ! ! !"#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&( ( ! • Après validation de la carte, un écran conﬁrme la commande et renvoie sur le site du marchand ! ! mercredi 3 février 2010 !

% !"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0* Gestion des paiements !"#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;( ( • La banque fournit au marchant un “BackOfﬁce” de gestion des paiements • La plupart de ces services restent très rudimentaires mercredi 3 février 2010

"#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&! ($3$-5)#6&#! 0'! 7*-5*&#! 89:! -+'(&')'(! 0'! #$-)/*(03)(*7! ,&%! -+..)',&%! /);$&%! %0#! 0'&! Intégration à un système <+0#'$&!=! ! "#$%&'#(!!"#$%)*+!,-'./.(&!0!!1&&23044555678.9'&/%&%.$6:84&.$.2;'./.(&! d’information Il est souvent possible d’exporter les données de paiement au format XML, pour traitement dans une autre application (backend de gestion commerciale...) mercredi 3 février 2010

Cryptage des transferts • Via SSL, l’algorithme géré par les navigateurs Web (Internet Explorer, Firefox...) • Ce mécanisme allie : • Un certiﬁcat signant l’authenticité du serveur • Un algorithme de cryptage 128 bits mercredi 3 février 2010

SSL dans la pratique • L’adresse du site doit être précédée de HTTPS:// • La liaison sécurisée est représentée par un cadenas • Si le serveur n’utilise pas de certiﬁcat, ou un certiﬁcat périmé, le cryptage demeure utilisable mercredi 3 février 2010

Solidité SSL ? • SSL comme tous les algos de cryptage, n’est pas à l’abri de tout piratage • Mais “cracker” une clé SSL nécessite de tels moyens qu’une telle opération n’est dans la pratique jamais effectuée • SSL peut donc être considéré comme complètement ﬁable mercredi 3 février 2010

Principaux problèmes rencontrés • Vol de numéro de carte bancaire • Ex : laisser sa carte quelques secondes à un commerçant peu scrupuleux • Génération de faux numéros de cartes • Les fameuses «Yes-Cards» • Mauvaise foi de l’acheteur mercredi 3 février 2010

Usurpation de carte bancaire Les numéros de carte bancaire sont des suites numériques reproductibles en suivant certaines règles mathématiques mercredi 3 février 2010

Génération de faux numéros de CB • Des logiciels existent • Permet de simuler une banque, un nom de porteur... • Ces “yescard” permettent de passer les simples vériﬁcations numériques (pas d’appel direct avec les centraux bancaires) mercredi 3 février 2010

Codes de contrôle (cryptogramme visuel) • Numéro inscrit à l’arrière des cartes, et est demandé pour chacune des transactions • Ce numéro ne peut être généré • Il fonctionne via un algorithme de cryptage unidirectionnel • Il permet de valider un numéro de carte • Ne peut être généré à partir de ce numéro ➡Bonne parade aux “yescard” mercredi 3 février 2010

Parades plus avancées • Si un commerçant ‘emprunte’ votre carte, il va pouvoir noter le numéro...et le cryptogramme • Il faut donc des verrous plus puissants permettant un troisième niveau de contrôle : 1. Numéro de carte valide 2. Cryptogramme correspondant au numéro 3. Autre questionnement : 3DSecure mercredi 3 février 2010

3D Secure • Mis au point en 2008 par un consortium de banque • Consiste en une question ‘subsidiaire’ • Suivant les banques, la question change : • Ex : date de naissance • Ex : code envoyé par SMS • Ex : clé d’authenﬁcation mercredi 3 février 2010

3D Secure : un handicap ? • Pour les marchands, 3D Secure est considéré comme un frein à la vente : trop de contraintes • Pour une protection concernant un nombre de cas trop limités ? • Protection ‘ultime’ ? (ex : date de naissance peut être récupérée par Facebook, code postal par l’annuaire, etc...) mercredi 3 février 2010

Certiﬁcation et vériﬁcation • FIA-Net • Deux rôles principaux : • ‘labellise’ les sites d’e-commerce les plus reconnus • Recense les mauvais payeurs et permet d’éviter des transactions frauduleuses mercredi 3 février 2010

Contact Data Management • Vériﬁcation d’une adresse postale • Permet de ﬁltrer les commandes les plus négligées • Et aussi de s’assurer d’une livraison dans de bonnes conditions • Leader : QAS mercredi 3 février 2010

PayPal mercredi 3 février 2010

PayPal • Créé à l’initiative d’eBay • Disponible désormais pour n’importe quel site mercredi 3 février 2010

Principes de PayPal • Les transactions ne passent plus par un organisme bancaire • Tout reste “virtuel” • Vous obtenez l’équivalent d’un compte bancaire chez PayPal : • Vous pouvez recevoir des paiements • Et en effectuer mercredi 3 février 2010

Principe d’un paiement Qu’est-ce que PayPal? ! PayPal est une solution de paiement en ligne ! Simple ! Rapide ! Internationale ! Sécurisée 3 mercredi 3 février 2010

Intérêt de PayPal • Pour l’utilisateur : • Pas de coordonnées bancaires en ligne • Transactions facilitées • Pour PayPal : • la somme des comptes PayPal constitue un capital à faire fructiﬁer mercredi 3 février 2010

Boutiques PayPal • La principale : eBay • Les transactions PayPal sont favorisées • N’importe quelle boutique PayPal : exemples de sites marchands • Via une API • Possibilité de widgets facilitant l’acte d’achat mercredi 3 février 2010

PayPal sur une boutique d’e-commerce • Simple création de compte en ligne • un compte de marchand est un compte PayPal classique • Commission à la vente : entre 1,9% et 3,4% • Solution reconnue internationalement • Compte PayPal client non obligatoire... mais recommandé mercredi 3 février 2010

PayPal sans compte Paiement avec ou sans création de compte : « sans » • Un paiement similaire à un paiement sécurisé en ligne CB classique. • La création du compte PayPal est optionnelle. 14 mercredi 3 février 2010

PayPal avec un compte Paiement avec ou sans création de compte : « avec » Un paiement en 2 clics sans partager mes données financières 15 mercredi 3 février 2010

Paiements pré-approuvés Paiements pré-approuvés : principe • ! Cette option permet d’établir une pré-approbat L’acheteur s’inscrit une fois des paiements entre le site et l’acheteur ! L’équivalent électronique d’une autorisation de prélèvem • Il se désinscrit à la demande bancaire • ! Intérêt : vos acheteurs vous paient en un clic Tous les achats se font en mode “one-clic” ! Dès que l’acheteur a approuvé la pré-facturation avec le marchand, il n’a plus besoin d’entrer ni login PayPal ni m • Facilite les achats impulsifss passe. ! Permet au marchand de facturer et gérer l’échéancier d’ • paiement récurrent Permet de regrouper les paiements !Exemples : • Modèle économique “à la iTunes” 17 mercredi 3 février 2010

Fraude sur PayPal • Taux annoncé : 0,5% • Pas si bas que cela... (possibilité de phishing de comptes) • Système de vériﬁcation des comptes • Contrôle des crédits sur les comptes • Structure dédiée à la sécurité, et non une antenne de structure bancaire mercredi 3 février 2010

Micropaiements mercredi 3 février 2010

Les micropaiements • Problématique : • Faciliter l’acte d’achat • Permettre le paiement de petites sommes • Ex : achat de musique, de sonnerie de tel.. • Eviter l’utilisation de la carte bancaire mercredi 3 février 2010

Principaux commerces • Musique en ligne • Accès privatif à des sites adultes • Accès à des services “Premiums” de sites Web • Achat de documents en ligne • Achat de sonneries, de fonds d’écran de tél.. • Des exemples sur www.biz-n-cash.fr mercredi 3 février 2010

Marché visé 0 à $4,99 $5 à $49 > à $50 100 75 24 % 50 33 % 25 0 2004 2005 43 % mercredi 3 février 2010

Principaux médias de micropaiement • Tél surtaxé • SMS surtaxé • Paiement via son FAI mercredi 3 février 2010

Le téléphone : un terminal de paiement • Il devient possible d’utiliser son téléphone pour effectuer des micro-paiements • Principe : appel d’un numéro surtaxé • On obtient au téléphone un code • Alternative : code reçu par SMS • Le code doit être rentré sur le site pour donner accès au “produit” mercredi 3 février 2010

Utilisation du téléphone • Démocratisé pour les sites XXX • Dépense “indolore” (passe par la facture téléphonique) mercredi 3 février 2010

Micropaiement via son fournisseur d’accès • Certains FAI (Orange, Free) proposent des services de micropaiement • Identiﬁcation “induite” via la connexion • La transaction s’effectue directement entre le site d’e-commerce et le FAI • Paiement entièrement transparent (juste une validation) • La facturation se fait en même temps que l’abonnement mercredi 3 février 2010

Micropaiement via le FAI (d’après www.w-ha.com) mercredi 3 février 2010

Terminal portable • L’exemple de Square, Startup fondée en 2009 • Utilise un iPhone et un petit accessoire • Lit la piste magnétique • Utilisable en France ? • Outil à la fois pour le revendeur et le client mercredi 3 février 2010

Phishing et autres arnaques mercredi 3 février 2010

Le phishing (hameçonnage) • Principe : faire croire qu’un email vous est adressé et vous faire saisir login et mot de passe • Moyens : recréer à l’identique l’environnement du site d’origine • Le phishing est un cas particulier de Scam, ou fraude 4-1-9 (envoi de mail proﬁtant de la crédulité des gens) mercredi 3 février 2010

Exemple de phishing mercredi 3 février 2010

Comment détecter du phishing ? • Problème : très difﬁcile a détecter automatiquement • Pas de logiciel “anti-phishing” • Premier indice : l’URL mercredi 3 février 2010

Comment détecter du phishing ? (2) • Les “vrais” mails envoyés par de tels services intègrent maintenant systématiquement vos noms et prénoms • Preuve que la base de données derrière est bien la vraie mercredi 3 février 2010

Parades contre le phishing • Les navigateurs modernes incluent des consultations de bases de données recensant les phishing les plus connus mercredi 3 février 2010

Ecommerce

by Jean David Olekhnovitch on Feb 03, 2010

Accessibility

Categories

Tags

Upload Details

Usage Rights

2 Embeds 107

Statistics

Ecommerce — Presentation Transcript

http://www.olek.fr	104
http://www.slideshare.net	3