Ecommerce
Upcoming SlideShare
Loading in...5
×
 

Ecommerce

on

  • 2,203 views

Les différents modes de paiement d'un site d'ecommerce. Avec des parenthèses sur des questions d'hébergement et de sécurité

Les différents modes de paiement d'un site d'ecommerce. Avec des parenthèses sur des questions d'hébergement et de sécurité

Statistics

Views

Total Views
2,203
Views on SlideShare
2,037
Embed Views
166

Actions

Likes
0
Downloads
86
Comments
0

3 Embeds 166

http://www.olek.fr 161
http://www.slideshare.net 3
http://www.linkedin.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Ecommerce Ecommerce Presentation Transcript

  • L’e-commerce : sécurité et paiements en ligne La corde sensible d’Internet : état des lieux Jean David Olekhnovitch www.olek.fr V1.2 - 29/01/10 mercredi 3 février 2010
  • Evolution du marché français Evolution du CA B to C en milliards d’euros 20,00 15,00 10,00 5,00 2002 2003 2004 0 2005 2006 2007 2008 mercredi 3 février 2010
  • Faire son site d’ecommerce • Comment ça marche ? • Quels prestataires ? • Quelles technologies ? • Quels budgets ? mercredi 3 février 2010
  • Différentes offres • ASP : Application Service Provider • Communautaire (eBay) • Prestation agence web • Sur mesure mercredi 3 février 2010
  • ASP : clé en main • Le site est hébergé sur un serveur distant, avec une solution toute prête • Aucune préoccupation technique à avoir • Mais pas de souplesses, fonctions limitées • Ex : PrestaStore, PowerBoutique, WiziShop mercredi 3 février 2010
  • Commaunautaire • On passe par un service ‘full ASP’, mais hébergé par un site gérant sa communauté • Garantie d’un trafic plus important • Mais se fait souvent payer au prix fort (% élevé sur les ventes, etc...) mercredi 3 février 2010
  • eBay : Un leader...déclinant • Propose divers services, allant de l’enchère jusqu’à la petite annonce • Nombreuses fonctions de mise en avant • Coût rapidement élevé • Site en perte de vitesse • Concurrence du ‘Bon coin’ en France mercredi 3 février 2010
  • Parenthèse : comparer deux donne des indicateurs • Des sites tels qu’Alexa services sur le trafic • Fiabilité <100%, mais les ‘proportions’ sont souvent les bonnes mercredi 3 février 2010
  • Autres modes ‘communautaires’ en • Comparateur de prix : s’apparentent de plus plus à des catalogues rémunérés par les vendeurs • Ex : Kelkoo • Boutiques d’affiliation : Zlio permet de créer une boutique de produits vendus par des tiers mercredi 3 février 2010
  • Prestation par une agence Web • Se basent en général sur une solution OpenSource existante (PrestaShop, Thelia, Magento...) • Disclaimer : je suis partie prenante dans la société éditrice de Thelia • Permet de se reposer sur un prestataire • Personnalisations possibles (charte graphique...) • Coût bien plus élevé mercredi 3 février 2010
  • Sur mesure • Faire travailler un ou plusieurs développeurs pour construire son site sur mesure • Souplesse absolue • Coût énorme • Fiabilité aléatoire • A réserver aux très gros projets mercredi 3 février 2010
  • Etat des lieux de l’eCommerce En France et à l’international mercredi 3 février 2010
  • Panier moyen en France 90 euros mercredi 3 février 2010
  • Abandon d’un panier entre 50 et 60% des cas Part de la peur du paiement ? mercredi 3 février 2010
  • Fraude 0,235% du CA Internet en 2008 (contre 0,036% tous secteurs confondus) mercredi 3 février 2010
  • Répartition des fraudes Electr. grand public Informatique 5 % Tourisme 4 % 1 % 30 % Téléphonie Habillement 10 % Alimentation Petit matériel élec. Divers 7 % 25 % 18 % Source : Fia-Net mercredi 3 février 2010
  • Les paiements “classiques” mercredi 3 février 2010
  • Paiement en ligne via sa banque • La plupart des banques proposent aujourd’hui des terminaux “en ligne” • Paiement via la saisie d’un numéro de carte bancaire sur le site • Les transactions sont gérées par la banque comme tout TPE (Terminal de Paiement Electronique) mercredi 3 février 2010
  • Principe de fonctionnement % !"#$% ! ,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<% • &'($#)*+&$'! % !"#$%&'(')*&+,#&#"(-%+ 1ère étape : après sélection du produit et % ! validation du panier, on demande le paiement !"#"$ ! %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! ! ! ! ! ! ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( ! mercredi 3 février 2010
  • % ! !"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! Saisie numéro de carte ! ! ! ! • ! ! L’internaute est ensuite rerouté sur le site de ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! paiement de la banque, via une liaison 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( sécurisée SSL ! Multiples cartes Saisie à la charge de Le look de l’internaute l’interface est volontairement vieillot (donne l’impression de robustesse) Contrôle cryptogramme mercredi 3 février 2010 !
  • % ! "!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(!'-(!*+7(!)$%-582,+.%8-!+9(1! '-! #%(-! :)8-.! #(! .(;.(! (&.! *(2&8--+#%&+3#(</! 4'%! *(2,(.! =! #$+16(.('2! )(! 2(.8'2-(2! &'2! #(! Confirmation paiement &%.(!)'!18,,(2>+-.!?! ! ! !"#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&( ( ! • Après validation de la carte, un écran confirme la commande et renvoie sur le site du marchand ! ! mercredi 3 février 2010 !
  • % !"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0* Gestion des paiements !"#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;( ( • La banque fournit au marchant un “BackOffice” de gestion des paiements • La plupart de ces services restent très rudimentaires mercredi 3 février 2010
  • "#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&! ($3$-5)#6&#! 0'! 7*-5*&#! 89:! -+'(&')'(! 0'! #$-)/*(03)(*7! ,&%! -+..)',&%! /);$&%! %0#! 0'&! Intégration à un système <+0#'$&!=! ! "#$%&'#(!!"#$%)*+!,-'./.(&!0!!1&&23044555678.9'&/%&%.$6:84&.$.2;'./.(&! d’information Il est souvent possible d’exporter les données de paiement au format XML, pour traitement dans une autre application (backend de gestion commerciale...) mercredi 3 février 2010
  • Cryptage des transferts • Via SSL, l’algorithme géré par les navigateurs Web (Internet Explorer, Firefox...) • Ce mécanisme allie : • Un certificat signant l’authenticité du serveur • Un algorithme de cryptage 128 bits mercredi 3 février 2010
  • SSL dans la pratique • L’adresse du site doit être précédée de HTTPS:// • La liaison sécurisée est représentée par un cadenas • Si le serveur n’utilise pas de certificat, ou un certificat périmé, le cryptage demeure utilisable mercredi 3 février 2010
  • Solidité SSL ? • SSL comme tous les algos de cryptage, n’est pas à l’abri de tout piratage • Mais “cracker” une clé SSL nécessite de tels moyens qu’une telle opération n’est dans la pratique jamais effectuée • SSL peut donc être considéré comme complètement fiable mercredi 3 février 2010
  • Principaux problèmes rencontrés • Vol de numéro de carte bancaire • Ex : laisser sa carte quelques secondes à un commerçant peu scrupuleux • Génération de faux numéros de cartes • Les fameuses «Yes-Cards» • Mauvaise foi de l’acheteur mercredi 3 février 2010
  • Usurpation de carte bancaire Les numéros de carte bancaire sont des suites numériques reproductibles en suivant certaines règles mathématiques mercredi 3 février 2010
  • Génération de faux numéros de CB • Des logiciels existent • Permet de simuler une banque, un nom de porteur... • Ces “yescard” permettent de passer les simples vérifications numériques (pas d’appel direct avec les centraux bancaires) mercredi 3 février 2010
  • Codes de contrôle (cryptogramme visuel) • Numéro inscrit à l’arrière des cartes, et est demandé pour chacune des transactions • Ce numéro ne peut être généré • Il fonctionne via un algorithme de cryptage unidirectionnel • Il permet de valider un numéro de carte • Ne peut être généré à partir de ce numéro ➡Bonne parade aux “yescard” mercredi 3 février 2010
  • Parades plus avancées • Si un commerçant ‘emprunte’ votre carte, il va pouvoir noter le numéro...et le cryptogramme • Il faut donc des verrous plus puissants permettant un troisième niveau de contrôle : 1. Numéro de carte valide 2. Cryptogramme correspondant au numéro 3. Autre questionnement : 3DSecure mercredi 3 février 2010
  • 3D Secure • Mis au point en 2008 par un consortium de banque • Consiste en une question ‘subsidiaire’ • Suivant les banques, la question change : • Ex : date de naissance • Ex : code envoyé par SMS • Ex : clé d’authenfication mercredi 3 février 2010
  • 3D Secure : un handicap ? • Pour les marchands, 3D Secure est considéré comme un frein à la vente : trop de contraintes • Pour une protection concernant un nombre de cas trop limités ? • Protection ‘ultime’ ? (ex : date de naissance peut être récupérée par Facebook, code postal par l’annuaire, etc...) mercredi 3 février 2010
  • Certification et vérification • FIA-Net • Deux rôles principaux : • ‘labellise’ les sites d’e-commerce les plus reconnus • Recense les mauvais payeurs et permet d’éviter des transactions frauduleuses mercredi 3 février 2010
  • Contact Data Management • Vérification d’une adresse postale • Permet de filtrer les commandes les plus négligées • Et aussi de s’assurer d’une livraison dans de bonnes conditions • Leader : QAS mercredi 3 février 2010
  • PayPal mercredi 3 février 2010
  • PayPal • Créé à l’initiative d’eBay • Disponible désormais pour n’importe quel site mercredi 3 février 2010
  • Principes de PayPal • Les transactions ne passent plus par un organisme bancaire • Tout reste “virtuel” • Vous obtenez l’équivalent d’un compte bancaire chez PayPal : • Vous pouvez recevoir des paiements • Et en effectuer mercredi 3 février 2010
  • Principe d’un paiement Qu’est-ce que PayPal? ! PayPal est une solution de paiement en ligne ! Simple ! Rapide ! Internationale ! Sécurisée 3 mercredi 3 février 2010
  • Intérêt de PayPal • Pour l’utilisateur : • Pas de coordonnées bancaires en ligne • Transactions facilitées • Pour PayPal : • la somme des comptes PayPal constitue un capital à faire fructifier mercredi 3 février 2010
  • Boutiques PayPal • La principale : eBay • Les transactions PayPal sont favorisées • N’importe quelle boutique PayPal : exemples de sites marchands • Via une API • Possibilité de widgets facilitant l’acte d’achat mercredi 3 février 2010
  • PayPal sur une boutique d’e-commerce • Simple création de compte en ligne • un compte de marchand est un compte PayPal classique • Commission à la vente : entre 1,9% et 3,4% • Solution reconnue internationalement • Compte PayPal client non obligatoire... mais recommandé mercredi 3 février 2010
  • PayPal sans compte Paiement avec ou sans création de compte : « sans » • Un paiement similaire à un paiement sécurisé en ligne CB classique. • La création du compte PayPal est optionnelle. 14 mercredi 3 février 2010
  • PayPal avec un compte Paiement avec ou sans création de compte : « avec » Un paiement en 2 clics sans partager mes données financières 15 mercredi 3 février 2010
  • Paiements pré-approuvés Paiements pré-approuvés : principe • ! Cette option permet d’établir une pré-approbat L’acheteur s’inscrit une fois des paiements entre le site et l’acheteur ! L’équivalent électronique d’une autorisation de prélèvem • Il se désinscrit à la demande bancaire • ! Intérêt : vos acheteurs vous paient en un clic Tous les achats se font en mode “one-clic” ! Dès que l’acheteur a approuvé la pré-facturation avec le marchand, il n’a plus besoin d’entrer ni login PayPal ni m • Facilite les achats impulsifss passe. ! Permet au marchand de facturer et gérer l’échéancier d’ • paiement récurrent Permet de regrouper les paiements !Exemples : • Modèle économique “à la iTunes” 17 mercredi 3 février 2010
  • Fraude sur PayPal • Taux annoncé : 0,5% • Pas si bas que cela... (possibilité de phishing de comptes) • Système de vérification des comptes • Contrôle des crédits sur les comptes • Structure dédiée à la sécurité, et non une antenne de structure bancaire mercredi 3 février 2010
  • Micropaiements mercredi 3 février 2010
  • Les micropaiements • Problématique : • Faciliter l’acte d’achat • Permettre le paiement de petites sommes • Ex : achat de musique, de sonnerie de tel.. • Eviter l’utilisation de la carte bancaire mercredi 3 février 2010
  • Principaux commerces • Musique en ligne • Accès privatif à des sites adultes • Accès à des services “Premiums” de sites Web • Achat de documents en ligne • Achat de sonneries, de fonds d’écran de tél.. • Des exemples sur www.biz-n-cash.fr mercredi 3 février 2010
  • Marché visé 0 à $4,99 $5 à $49 > à $50 100 75 24 % 50 33 % 25 0 2004 2005 43 % mercredi 3 février 2010
  • Principaux médias de micropaiement • Tél surtaxé • SMS surtaxé • Paiement via son FAI mercredi 3 février 2010
  • Le téléphone : un terminal de paiement • Il devient possible d’utiliser son téléphone pour effectuer des micro-paiements • Principe : appel d’un numéro surtaxé • On obtient au téléphone un code • Alternative : code reçu par SMS • Le code doit être rentré sur le site pour donner accès au “produit” mercredi 3 février 2010
  • Utilisation du téléphone • Démocratisé pour les sites XXX • Dépense “indolore” (passe par la facture téléphonique) mercredi 3 février 2010
  • Micropaiement via son fournisseur d’accès • Certains FAI (Orange, Free) proposent des services de micropaiement • Identification “induite” via la connexion • La transaction s’effectue directement entre le site d’e-commerce et le FAI • Paiement entièrement transparent (juste une validation) • La facturation se fait en même temps que l’abonnement mercredi 3 février 2010
  • Micropaiement via le FAI (d’après www.w-ha.com) mercredi 3 février 2010
  • Terminal portable • L’exemple de Square, Startup fondée en 2009 • Utilise un iPhone et un petit accessoire • Lit la piste magnétique • Utilisable en France ? • Outil à la fois pour le revendeur et le client mercredi 3 février 2010
  • Phishing et autres arnaques mercredi 3 février 2010
  • Le phishing (hameçonnage) • Principe : faire croire qu’un email vous est adressé et vous faire saisir login et mot de passe • Moyens : recréer à l’identique l’environnement du site d’origine • Le phishing est un cas particulier de Scam, ou fraude 4-1-9 (envoi de mail profitant de la crédulité des gens) mercredi 3 février 2010
  • Exemple de phishing mercredi 3 février 2010
  • Comment détecter du phishing ? • Problème : très difficile a détecter automatiquement • Pas de logiciel “anti-phishing” • Premier indice : l’URL mercredi 3 février 2010
  • Comment détecter du phishing ? (2) • Les “vrais” mails envoyés par de tels services intègrent maintenant systématiquement vos noms et prénoms • Preuve que la base de données derrière est bien la vraie mercredi 3 février 2010
  • Parades contre le phishing • Les navigateurs modernes incluent des consultations de bases de données recensant les phishing les plus connus mercredi 3 février 2010