Ecommerce

2,647 views
2,484 views

Published on

Les différents modes de paiement d'un site d'ecommerce. Avec des parenthèses sur des questions d'hébergement et de sécurité

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,647
On SlideShare
0
From Embeds
0
Number of Embeds
212
Actions
Shares
0
Downloads
108
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Ecommerce

    1. 1. L’e-commerce : sécurité et paiements en ligne La corde sensible d’Internet : état des lieux Jean David Olekhnovitch www.olek.fr V1.2 - 29/01/10 mercredi 3 février 2010
    2. 2. Evolution du marché français Evolution du CA B to C en milliards d’euros 20,00 15,00 10,00 5,00 2002 2003 2004 0 2005 2006 2007 2008 mercredi 3 février 2010
    3. 3. Faire son site d’ecommerce • Comment ça marche ? • Quels prestataires ? • Quelles technologies ? • Quels budgets ? mercredi 3 février 2010
    4. 4. Différentes offres • ASP : Application Service Provider • Communautaire (eBay) • Prestation agence web • Sur mesure mercredi 3 février 2010
    5. 5. ASP : clé en main • Le site est hébergé sur un serveur distant, avec une solution toute prête • Aucune préoccupation technique à avoir • Mais pas de souplesses, fonctions limitées • Ex : PrestaStore, PowerBoutique, WiziShop mercredi 3 février 2010
    6. 6. Commaunautaire • On passe par un service ‘full ASP’, mais hébergé par un site gérant sa communauté • Garantie d’un trafic plus important • Mais se fait souvent payer au prix fort (% élevé sur les ventes, etc...) mercredi 3 février 2010
    7. 7. eBay : Un leader...déclinant • Propose divers services, allant de l’enchère jusqu’à la petite annonce • Nombreuses fonctions de mise en avant • Coût rapidement élevé • Site en perte de vitesse • Concurrence du ‘Bon coin’ en France mercredi 3 février 2010
    8. 8. Parenthèse : comparer deux donne des indicateurs • Des sites tels qu’Alexa services sur le trafic • Fiabilité <100%, mais les ‘proportions’ sont souvent les bonnes mercredi 3 février 2010
    9. 9. Autres modes ‘communautaires’ en • Comparateur de prix : s’apparentent de plus plus à des catalogues rémunérés par les vendeurs • Ex : Kelkoo • Boutiques d’affiliation : Zlio permet de créer une boutique de produits vendus par des tiers mercredi 3 février 2010
    10. 10. Prestation par une agence Web • Se basent en général sur une solution OpenSource existante (PrestaShop, Thelia, Magento...) • Disclaimer : je suis partie prenante dans la société éditrice de Thelia • Permet de se reposer sur un prestataire • Personnalisations possibles (charte graphique...) • Coût bien plus élevé mercredi 3 février 2010
    11. 11. Sur mesure • Faire travailler un ou plusieurs développeurs pour construire son site sur mesure • Souplesse absolue • Coût énorme • Fiabilité aléatoire • A réserver aux très gros projets mercredi 3 février 2010
    12. 12. Etat des lieux de l’eCommerce En France et à l’international mercredi 3 février 2010
    13. 13. Panier moyen en France 90 euros mercredi 3 février 2010
    14. 14. Abandon d’un panier entre 50 et 60% des cas Part de la peur du paiement ? mercredi 3 février 2010
    15. 15. Fraude 0,235% du CA Internet en 2008 (contre 0,036% tous secteurs confondus) mercredi 3 février 2010
    16. 16. Répartition des fraudes Electr. grand public Informatique 5 % Tourisme 4 % 1 % 30 % Téléphonie Habillement 10 % Alimentation Petit matériel élec. Divers 7 % 25 % 18 % Source : Fia-Net mercredi 3 février 2010
    17. 17. Les paiements “classiques” mercredi 3 février 2010
    18. 18. Paiement en ligne via sa banque • La plupart des banques proposent aujourd’hui des terminaux “en ligne” • Paiement via la saisie d’un numéro de carte bancaire sur le site • Les transactions sont gérées par la banque comme tout TPE (Terminal de Paiement Electronique) mercredi 3 février 2010
    19. 19. Principe de fonctionnement % !"#$% ! ,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<% • &'($#)*+&$'! % !"#$%&'(')*&+,#&#"(-%+ 1ère étape : après sélection du produit et % ! validation du panier, on demande le paiement !"#"$ ! %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! ! ! ! ! ! ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( ! mercredi 3 février 2010
    20. 20. % ! !"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! Saisie numéro de carte ! ! ! ! • ! ! L’internaute est ensuite rerouté sur le site de ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! paiement de la banque, via une liaison 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( sécurisée SSL ! Multiples cartes Saisie à la charge de Le look de l’internaute l’interface est volontairement vieillot (donne l’impression de robustesse) Contrôle cryptogramme mercredi 3 février 2010 !
    21. 21. % ! "!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(!'-(!*+7(!)$%-582,+.%8-!+9(1! '-! #%(-! :)8-.! #(! .(;.(! (&.! *(2&8--+#%&+3#(</! 4'%! *(2,(.! =! #$+16(.('2! )(! 2(.8'2-(2! &'2! #(! Confirmation paiement &%.(!)'!18,,(2>+-.!?! ! ! !"#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&( ( ! • Après validation de la carte, un écran confirme la commande et renvoie sur le site du marchand ! ! mercredi 3 février 2010 !
    22. 22. % !"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0* Gestion des paiements !"#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;( ( • La banque fournit au marchant un “BackOffice” de gestion des paiements • La plupart de ces services restent très rudimentaires mercredi 3 février 2010
    23. 23. "#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&! ($3$-5)#6&#! 0'! 7*-5*&#! 89:! -+'(&')'(! 0'! #$-)/*(03)(*7! ,&%! -+..)',&%! /);$&%! %0#! 0'&! Intégration à un système <+0#'$&!=! ! "#$%&'#(!!"#$%)*+!,-'./.(&!0!!1&&23044555678.9'&/%&%.$6:84&.$.2;'./.(&! d’information Il est souvent possible d’exporter les données de paiement au format XML, pour traitement dans une autre application (backend de gestion commerciale...) mercredi 3 février 2010
    24. 24. Cryptage des transferts • Via SSL, l’algorithme géré par les navigateurs Web (Internet Explorer, Firefox...) • Ce mécanisme allie : • Un certificat signant l’authenticité du serveur • Un algorithme de cryptage 128 bits mercredi 3 février 2010
    25. 25. SSL dans la pratique • L’adresse du site doit être précédée de HTTPS:// • La liaison sécurisée est représentée par un cadenas • Si le serveur n’utilise pas de certificat, ou un certificat périmé, le cryptage demeure utilisable mercredi 3 février 2010
    26. 26. Solidité SSL ? • SSL comme tous les algos de cryptage, n’est pas à l’abri de tout piratage • Mais “cracker” une clé SSL nécessite de tels moyens qu’une telle opération n’est dans la pratique jamais effectuée • SSL peut donc être considéré comme complètement fiable mercredi 3 février 2010
    27. 27. Principaux problèmes rencontrés • Vol de numéro de carte bancaire • Ex : laisser sa carte quelques secondes à un commerçant peu scrupuleux • Génération de faux numéros de cartes • Les fameuses «Yes-Cards» • Mauvaise foi de l’acheteur mercredi 3 février 2010
    28. 28. Usurpation de carte bancaire Les numéros de carte bancaire sont des suites numériques reproductibles en suivant certaines règles mathématiques mercredi 3 février 2010
    29. 29. Génération de faux numéros de CB • Des logiciels existent • Permet de simuler une banque, un nom de porteur... • Ces “yescard” permettent de passer les simples vérifications numériques (pas d’appel direct avec les centraux bancaires) mercredi 3 février 2010
    30. 30. Codes de contrôle (cryptogramme visuel) • Numéro inscrit à l’arrière des cartes, et est demandé pour chacune des transactions • Ce numéro ne peut être généré • Il fonctionne via un algorithme de cryptage unidirectionnel • Il permet de valider un numéro de carte • Ne peut être généré à partir de ce numéro ➡Bonne parade aux “yescard” mercredi 3 février 2010
    31. 31. Parades plus avancées • Si un commerçant ‘emprunte’ votre carte, il va pouvoir noter le numéro...et le cryptogramme • Il faut donc des verrous plus puissants permettant un troisième niveau de contrôle : 1. Numéro de carte valide 2. Cryptogramme correspondant au numéro 3. Autre questionnement : 3DSecure mercredi 3 février 2010
    32. 32. 3D Secure • Mis au point en 2008 par un consortium de banque • Consiste en une question ‘subsidiaire’ • Suivant les banques, la question change : • Ex : date de naissance • Ex : code envoyé par SMS • Ex : clé d’authenfication mercredi 3 février 2010
    33. 33. 3D Secure : un handicap ? • Pour les marchands, 3D Secure est considéré comme un frein à la vente : trop de contraintes • Pour une protection concernant un nombre de cas trop limités ? • Protection ‘ultime’ ? (ex : date de naissance peut être récupérée par Facebook, code postal par l’annuaire, etc...) mercredi 3 février 2010
    34. 34. Certification et vérification • FIA-Net • Deux rôles principaux : • ‘labellise’ les sites d’e-commerce les plus reconnus • Recense les mauvais payeurs et permet d’éviter des transactions frauduleuses mercredi 3 février 2010
    35. 35. Contact Data Management • Vérification d’une adresse postale • Permet de filtrer les commandes les plus négligées • Et aussi de s’assurer d’une livraison dans de bonnes conditions • Leader : QAS mercredi 3 février 2010
    36. 36. PayPal mercredi 3 février 2010
    37. 37. PayPal • Créé à l’initiative d’eBay • Disponible désormais pour n’importe quel site mercredi 3 février 2010
    38. 38. Principes de PayPal • Les transactions ne passent plus par un organisme bancaire • Tout reste “virtuel” • Vous obtenez l’équivalent d’un compte bancaire chez PayPal : • Vous pouvez recevoir des paiements • Et en effectuer mercredi 3 février 2010
    39. 39. Principe d’un paiement Qu’est-ce que PayPal? ! PayPal est une solution de paiement en ligne ! Simple ! Rapide ! Internationale ! Sécurisée 3 mercredi 3 février 2010
    40. 40. Intérêt de PayPal • Pour l’utilisateur : • Pas de coordonnées bancaires en ligne • Transactions facilitées • Pour PayPal : • la somme des comptes PayPal constitue un capital à faire fructifier mercredi 3 février 2010
    41. 41. Boutiques PayPal • La principale : eBay • Les transactions PayPal sont favorisées • N’importe quelle boutique PayPal : exemples de sites marchands • Via une API • Possibilité de widgets facilitant l’acte d’achat mercredi 3 février 2010
    42. 42. PayPal sur une boutique d’e-commerce • Simple création de compte en ligne • un compte de marchand est un compte PayPal classique • Commission à la vente : entre 1,9% et 3,4% • Solution reconnue internationalement • Compte PayPal client non obligatoire... mais recommandé mercredi 3 février 2010
    43. 43. PayPal sans compte Paiement avec ou sans création de compte : « sans » • Un paiement similaire à un paiement sécurisé en ligne CB classique. • La création du compte PayPal est optionnelle. 14 mercredi 3 février 2010
    44. 44. PayPal avec un compte Paiement avec ou sans création de compte : « avec » Un paiement en 2 clics sans partager mes données financières 15 mercredi 3 février 2010
    45. 45. Paiements pré-approuvés Paiements pré-approuvés : principe • ! Cette option permet d’établir une pré-approbat L’acheteur s’inscrit une fois des paiements entre le site et l’acheteur ! L’équivalent électronique d’une autorisation de prélèvem • Il se désinscrit à la demande bancaire • ! Intérêt : vos acheteurs vous paient en un clic Tous les achats se font en mode “one-clic” ! Dès que l’acheteur a approuvé la pré-facturation avec le marchand, il n’a plus besoin d’entrer ni login PayPal ni m • Facilite les achats impulsifss passe. ! Permet au marchand de facturer et gérer l’échéancier d’ • paiement récurrent Permet de regrouper les paiements !Exemples : • Modèle économique “à la iTunes” 17 mercredi 3 février 2010
    46. 46. Fraude sur PayPal • Taux annoncé : 0,5% • Pas si bas que cela... (possibilité de phishing de comptes) • Système de vérification des comptes • Contrôle des crédits sur les comptes • Structure dédiée à la sécurité, et non une antenne de structure bancaire mercredi 3 février 2010
    47. 47. Micropaiements mercredi 3 février 2010
    48. 48. Les micropaiements • Problématique : • Faciliter l’acte d’achat • Permettre le paiement de petites sommes • Ex : achat de musique, de sonnerie de tel.. • Eviter l’utilisation de la carte bancaire mercredi 3 février 2010
    49. 49. Principaux commerces • Musique en ligne • Accès privatif à des sites adultes • Accès à des services “Premiums” de sites Web • Achat de documents en ligne • Achat de sonneries, de fonds d’écran de tél.. • Des exemples sur www.biz-n-cash.fr mercredi 3 février 2010
    50. 50. Marché visé 0 à $4,99 $5 à $49 > à $50 100 75 24 % 50 33 % 25 0 2004 2005 43 % mercredi 3 février 2010
    51. 51. Principaux médias de micropaiement • Tél surtaxé • SMS surtaxé • Paiement via son FAI mercredi 3 février 2010
    52. 52. Le téléphone : un terminal de paiement • Il devient possible d’utiliser son téléphone pour effectuer des micro-paiements • Principe : appel d’un numéro surtaxé • On obtient au téléphone un code • Alternative : code reçu par SMS • Le code doit être rentré sur le site pour donner accès au “produit” mercredi 3 février 2010
    53. 53. Utilisation du téléphone • Démocratisé pour les sites XXX • Dépense “indolore” (passe par la facture téléphonique) mercredi 3 février 2010
    54. 54. Micropaiement via son fournisseur d’accès • Certains FAI (Orange, Free) proposent des services de micropaiement • Identification “induite” via la connexion • La transaction s’effectue directement entre le site d’e-commerce et le FAI • Paiement entièrement transparent (juste une validation) • La facturation se fait en même temps que l’abonnement mercredi 3 février 2010
    55. 55. Micropaiement via le FAI (d’après www.w-ha.com) mercredi 3 février 2010
    56. 56. Terminal portable • L’exemple de Square, Startup fondée en 2009 • Utilise un iPhone et un petit accessoire • Lit la piste magnétique • Utilisable en France ? • Outil à la fois pour le revendeur et le client mercredi 3 février 2010
    57. 57. Phishing et autres arnaques mercredi 3 février 2010
    58. 58. Le phishing (hameçonnage) • Principe : faire croire qu’un email vous est adressé et vous faire saisir login et mot de passe • Moyens : recréer à l’identique l’environnement du site d’origine • Le phishing est un cas particulier de Scam, ou fraude 4-1-9 (envoi de mail profitant de la crédulité des gens) mercredi 3 février 2010
    59. 59. Exemple de phishing mercredi 3 février 2010
    60. 60. Comment détecter du phishing ? • Problème : très difficile a détecter automatiquement • Pas de logiciel “anti-phishing” • Premier indice : l’URL mercredi 3 février 2010
    61. 61. Comment détecter du phishing ? (2) • Les “vrais” mails envoyés par de tels services intègrent maintenant systématiquement vos noms et prénoms • Preuve que la base de données derrière est bien la vraie mercredi 3 février 2010
    62. 62. Parades contre le phishing • Les navigateurs modernes incluent des consultations de bases de données recensant les phishing les plus connus mercredi 3 février 2010

    ×