Your SlideShare is downloading. ×
0
L’e-commerce : sécurité
                       et paiements en ligne
                          La corde sensible d’Interne...
Evolution du marché
                                  français
                             Evolution du CA B to C en mill...
Faire son site
                                 d’ecommerce

                      •   Comment ça marche ?
               ...
Différentes offres

                      •   ASP : Application Service Provider
                      •   Communautaire (...
ASP : clé en main
      •       Le site est hébergé sur un serveur distant, avec
              une solution toute prête
  ...
Commaunautaire

                      •   On passe par un service ‘full ASP’, mais
                          hébergé par u...
eBay : Un
                 leader...déclinant
•     Propose divers services, allant de l’enchère
      jusqu’à la petite a...
Parenthèse : comparer
                    deux donne des indicateurs
    • Des sites tels qu’Alexa
                       ...
Autres modes
                   ‘communautaires’ en
    •       Comparateur de prix : s’apparentent de plus
            pl...
Prestation par une
                                  agence Web
                   •      Se basent en général sur une sol...
Sur mesure

                      •   Faire travailler un ou plusieurs développeurs
                          pour constru...
Etat des lieux de
                           l’eCommerce
                            En France et à l’international




me...
Panier moyen en France



                          90 euros

mercredi 3 février 2010
Abandon d’un panier


                          entre 50 et 60%
                              des cas
                    ...
Fraude

            0,235% du CA Internet
                   en 2008
   (contre 0,036% tous secteurs confondus)




mercre...
Répartition des fraudes
                           Electr. grand public
                           Informatique           ...
Les paiements
                           “classiques”



mercredi 3 février 2010
Paiement en ligne via sa
                             banque
                      •   La plupart des banques proposent au...
Principe de
                               fonctionnement
                                                                ...
%
                                                !
                                                !"#"$     %&'()*+,*-.$...
%
                           !
                               "!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(...
%
                             !"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0*



                 Gestion des paiements
    ...
"#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&!
                           ($...
Cryptage des transferts

                      •   Via SSL, l’algorithme géré par les navigateurs
                        ...
SSL dans la pratique
                      •   L’adresse du site doit être précédée de
                          HTTPS://
...
Solidité SSL ?

                      •   SSL comme tous les algos de cryptage, n’est
                          pas à l’ab...
Principaux problèmes
                               rencontrés
                      •   Vol de numéro de carte bancaire
 ...
Usurpation de carte
                               bancaire
                          Les numéros de carte
               ...
Génération de faux
                           numéros de CB

•       Des logiciels existent
•       Permet de simuler
    ...
Codes de contrôle
                          (cryptogramme visuel)
         •       Numéro inscrit à l’arrière des cartes, ...
Parades plus avancées
                      •   Si un commerçant ‘emprunte’ votre carte, il
                          va p...
3D Secure
                      •   Mis au point en 2008 par un consortium de
                          banque
           ...
3D Secure : un
                                    handicap ?
                      •   Pour les marchands, 3D Secure est ...
Certification et
                                  vérification
                      •   FIA-Net
                      •   ...
Contact Data
                                 Management
                      •   Vérification d’une adresse postale
     ...
PayPal



mercredi 3 février 2010
PayPal


                      •   Créé à l’initiative d’eBay
                      •   Disponible désormais pour n’import...
Principes de PayPal
                      •   Les transactions ne passent plus par un
                          organisme ...
Principe d’un paiement
                              Qu’est-ce que PayPal?




                              ! PayPal est ...
Intérêt de PayPal

                      •   Pour l’utilisateur :
                          •   Pas de coordonnées bancair...
Boutiques PayPal

                      •   La principale : eBay
                          •   Les transactions PayPal son...
PayPal sur une boutique
                         d’e-commerce
                      •   Simple création de compte en ligne...
PayPal sans compte
                               Paiement avec ou sans création de compte : « sans »




                ...
PayPal avec un compte
                               Paiement avec ou sans création de compte : « avec »

                ...
Paiements
                                   pré-approuvés        Paiements pré-approuvés : principe




                 ...
Fraude sur PayPal
                      •   Taux annoncé : 0,5%
                          •   Pas si bas que cela... (poss...
Micropaiements



mercredi 3 février 2010
Les micropaiements

                      •   Problématique :
                          •   Faciliter l’acte d’achat
     ...
Principaux commerces
                      •   Musique en ligne
                      •   Accès privatif à des sites adult...
Marché visé
                                 0 à $4,99   $5 à $49          > à $50


                                     ...
Principaux médias de
                             micropaiement

                      •   Tél surtaxé
                   ...
Le téléphone : un
                          terminal de paiement
                      •   Il devient possible d’utiliser ...
Utilisation du téléphone
             •       Démocratisé pour
                     les sites XXX
             •       Dép...
Micropaiement via son
                           fournisseur d’accès
                      •   Certains FAI (Orange, Free)...
Micropaiement via le FAI




                          (d’après www.w-ha.com)


mercredi 3 février 2010
Terminal portable

       •        L’exemple de Square, Startup fondée en 2009
       •        Utilise un iPhone et
      ...
Phishing et autres
                              arnaques



mercredi 3 février 2010
Le phishing
                               (hameçonnage)
                      •   Principe : faire croire qu’un email vou...
Exemple de phishing




mercredi 3 février 2010
Comment détecter du
                              phishing ?

                      •   Problème : très difficile a détecte...
Comment détecter du
                             phishing ? (2)
      •        Les “vrais” mails envoyés par de tels servi...
Parades contre le
                              phishing
    •       Les navigateurs modernes incluent des
            con...
Upcoming SlideShare
Loading in...5
×

Ecommerce

1,847

Published on

Les différents modes de paiement d'un site d'ecommerce. Avec des parenthèses sur des questions d'hébergement et de sécurité

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,847
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
92
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Transcript of "Ecommerce"

    1. 1. L’e-commerce : sécurité et paiements en ligne La corde sensible d’Internet : état des lieux Jean David Olekhnovitch www.olek.fr V1.2 - 29/01/10 mercredi 3 février 2010
    2. 2. Evolution du marché français Evolution du CA B to C en milliards d’euros 20,00 15,00 10,00 5,00 2002 2003 2004 0 2005 2006 2007 2008 mercredi 3 février 2010
    3. 3. Faire son site d’ecommerce • Comment ça marche ? • Quels prestataires ? • Quelles technologies ? • Quels budgets ? mercredi 3 février 2010
    4. 4. Différentes offres • ASP : Application Service Provider • Communautaire (eBay) • Prestation agence web • Sur mesure mercredi 3 février 2010
    5. 5. ASP : clé en main • Le site est hébergé sur un serveur distant, avec une solution toute prête • Aucune préoccupation technique à avoir • Mais pas de souplesses, fonctions limitées • Ex : PrestaStore, PowerBoutique, WiziShop mercredi 3 février 2010
    6. 6. Commaunautaire • On passe par un service ‘full ASP’, mais hébergé par un site gérant sa communauté • Garantie d’un trafic plus important • Mais se fait souvent payer au prix fort (% élevé sur les ventes, etc...) mercredi 3 février 2010
    7. 7. eBay : Un leader...déclinant • Propose divers services, allant de l’enchère jusqu’à la petite annonce • Nombreuses fonctions de mise en avant • Coût rapidement élevé • Site en perte de vitesse • Concurrence du ‘Bon coin’ en France mercredi 3 février 2010
    8. 8. Parenthèse : comparer deux donne des indicateurs • Des sites tels qu’Alexa services sur le trafic • Fiabilité <100%, mais les ‘proportions’ sont souvent les bonnes mercredi 3 février 2010
    9. 9. Autres modes ‘communautaires’ en • Comparateur de prix : s’apparentent de plus plus à des catalogues rémunérés par les vendeurs • Ex : Kelkoo • Boutiques d’affiliation : Zlio permet de créer une boutique de produits vendus par des tiers mercredi 3 février 2010
    10. 10. Prestation par une agence Web • Se basent en général sur une solution OpenSource existante (PrestaShop, Thelia, Magento...) • Disclaimer : je suis partie prenante dans la société éditrice de Thelia • Permet de se reposer sur un prestataire • Personnalisations possibles (charte graphique...) • Coût bien plus élevé mercredi 3 février 2010
    11. 11. Sur mesure • Faire travailler un ou plusieurs développeurs pour construire son site sur mesure • Souplesse absolue • Coût énorme • Fiabilité aléatoire • A réserver aux très gros projets mercredi 3 février 2010
    12. 12. Etat des lieux de l’eCommerce En France et à l’international mercredi 3 février 2010
    13. 13. Panier moyen en France 90 euros mercredi 3 février 2010
    14. 14. Abandon d’un panier entre 50 et 60% des cas Part de la peur du paiement ? mercredi 3 février 2010
    15. 15. Fraude 0,235% du CA Internet en 2008 (contre 0,036% tous secteurs confondus) mercredi 3 février 2010
    16. 16. Répartition des fraudes Electr. grand public Informatique 5 % Tourisme 4 % 1 % 30 % Téléphonie Habillement 10 % Alimentation Petit matériel élec. Divers 7 % 25 % 18 % Source : Fia-Net mercredi 3 février 2010
    17. 17. Les paiements “classiques” mercredi 3 février 2010
    18. 18. Paiement en ligne via sa banque • La plupart des banques proposent aujourd’hui des terminaux “en ligne” • Paiement via la saisie d’un numéro de carte bancaire sur le site • Les transactions sont gérées par la banque comme tout TPE (Terminal de Paiement Electronique) mercredi 3 février 2010
    19. 19. Principe de fonctionnement % !"#$% ! ,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<% • &'($#)*+&$'! % !"#$%&'(')*&+,#&#"(-%+ 1ère étape : après sélection du produit et % ! validation du panier, on demande le paiement !"#"$ ! %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! ! ! ! ! ! ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( ! mercredi 3 février 2010
    20. 20. % ! !"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! Saisie numéro de carte ! ! ! ! • ! ! L’internaute est ensuite rerouté sur le site de ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! paiement de la banque, via une liaison 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( sécurisée SSL ! Multiples cartes Saisie à la charge de Le look de l’internaute l’interface est volontairement vieillot (donne l’impression de robustesse) Contrôle cryptogramme mercredi 3 février 2010 !
    21. 21. % ! "!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(!'-(!*+7(!)$%-582,+.%8-!+9(1! '-! #%(-! :)8-.! #(! .(;.(! (&.! *(2&8--+#%&+3#(</! 4'%! *(2,(.! =! #$+16(.('2! )(! 2(.8'2-(2! &'2! #(! Confirmation paiement &%.(!)'!18,,(2>+-.!?! ! ! !"#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&( ( ! • Après validation de la carte, un écran confirme la commande et renvoie sur le site du marchand ! ! mercredi 3 février 2010 !
    22. 22. % !"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0* Gestion des paiements !"#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;( ( • La banque fournit au marchant un “BackOffice” de gestion des paiements • La plupart de ces services restent très rudimentaires mercredi 3 février 2010
    23. 23. "#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&! ($3$-5)#6&#! 0'! 7*-5*&#! 89:! -+'(&')'(! 0'! #$-)/*(03)(*7! ,&%! -+..)',&%! /);$&%! %0#! 0'&! Intégration à un système <+0#'$&!=! ! "#$%&'#(!!"#$%)*+!,-'./.(&!0!!1&&23044555678.9'&/%&%.$6:84&.$.2;'./.(&! d’information Il est souvent possible d’exporter les données de paiement au format XML, pour traitement dans une autre application (backend de gestion commerciale...) mercredi 3 février 2010
    24. 24. Cryptage des transferts • Via SSL, l’algorithme géré par les navigateurs Web (Internet Explorer, Firefox...) • Ce mécanisme allie : • Un certificat signant l’authenticité du serveur • Un algorithme de cryptage 128 bits mercredi 3 février 2010
    25. 25. SSL dans la pratique • L’adresse du site doit être précédée de HTTPS:// • La liaison sécurisée est représentée par un cadenas • Si le serveur n’utilise pas de certificat, ou un certificat périmé, le cryptage demeure utilisable mercredi 3 février 2010
    26. 26. Solidité SSL ? • SSL comme tous les algos de cryptage, n’est pas à l’abri de tout piratage • Mais “cracker” une clé SSL nécessite de tels moyens qu’une telle opération n’est dans la pratique jamais effectuée • SSL peut donc être considéré comme complètement fiable mercredi 3 février 2010
    27. 27. Principaux problèmes rencontrés • Vol de numéro de carte bancaire • Ex : laisser sa carte quelques secondes à un commerçant peu scrupuleux • Génération de faux numéros de cartes • Les fameuses «Yes-Cards» • Mauvaise foi de l’acheteur mercredi 3 février 2010
    28. 28. Usurpation de carte bancaire Les numéros de carte bancaire sont des suites numériques reproductibles en suivant certaines règles mathématiques mercredi 3 février 2010
    29. 29. Génération de faux numéros de CB • Des logiciels existent • Permet de simuler une banque, un nom de porteur... • Ces “yescard” permettent de passer les simples vérifications numériques (pas d’appel direct avec les centraux bancaires) mercredi 3 février 2010
    30. 30. Codes de contrôle (cryptogramme visuel) • Numéro inscrit à l’arrière des cartes, et est demandé pour chacune des transactions • Ce numéro ne peut être généré • Il fonctionne via un algorithme de cryptage unidirectionnel • Il permet de valider un numéro de carte • Ne peut être généré à partir de ce numéro ➡Bonne parade aux “yescard” mercredi 3 février 2010
    31. 31. Parades plus avancées • Si un commerçant ‘emprunte’ votre carte, il va pouvoir noter le numéro...et le cryptogramme • Il faut donc des verrous plus puissants permettant un troisième niveau de contrôle : 1. Numéro de carte valide 2. Cryptogramme correspondant au numéro 3. Autre questionnement : 3DSecure mercredi 3 février 2010
    32. 32. 3D Secure • Mis au point en 2008 par un consortium de banque • Consiste en une question ‘subsidiaire’ • Suivant les banques, la question change : • Ex : date de naissance • Ex : code envoyé par SMS • Ex : clé d’authenfication mercredi 3 février 2010
    33. 33. 3D Secure : un handicap ? • Pour les marchands, 3D Secure est considéré comme un frein à la vente : trop de contraintes • Pour une protection concernant un nombre de cas trop limités ? • Protection ‘ultime’ ? (ex : date de naissance peut être récupérée par Facebook, code postal par l’annuaire, etc...) mercredi 3 février 2010
    34. 34. Certification et vérification • FIA-Net • Deux rôles principaux : • ‘labellise’ les sites d’e-commerce les plus reconnus • Recense les mauvais payeurs et permet d’éviter des transactions frauduleuses mercredi 3 février 2010
    35. 35. Contact Data Management • Vérification d’une adresse postale • Permet de filtrer les commandes les plus négligées • Et aussi de s’assurer d’une livraison dans de bonnes conditions • Leader : QAS mercredi 3 février 2010
    36. 36. PayPal mercredi 3 février 2010
    37. 37. PayPal • Créé à l’initiative d’eBay • Disponible désormais pour n’importe quel site mercredi 3 février 2010
    38. 38. Principes de PayPal • Les transactions ne passent plus par un organisme bancaire • Tout reste “virtuel” • Vous obtenez l’équivalent d’un compte bancaire chez PayPal : • Vous pouvez recevoir des paiements • Et en effectuer mercredi 3 février 2010
    39. 39. Principe d’un paiement Qu’est-ce que PayPal? ! PayPal est une solution de paiement en ligne ! Simple ! Rapide ! Internationale ! Sécurisée 3 mercredi 3 février 2010
    40. 40. Intérêt de PayPal • Pour l’utilisateur : • Pas de coordonnées bancaires en ligne • Transactions facilitées • Pour PayPal : • la somme des comptes PayPal constitue un capital à faire fructifier mercredi 3 février 2010
    41. 41. Boutiques PayPal • La principale : eBay • Les transactions PayPal sont favorisées • N’importe quelle boutique PayPal : exemples de sites marchands • Via une API • Possibilité de widgets facilitant l’acte d’achat mercredi 3 février 2010
    42. 42. PayPal sur une boutique d’e-commerce • Simple création de compte en ligne • un compte de marchand est un compte PayPal classique • Commission à la vente : entre 1,9% et 3,4% • Solution reconnue internationalement • Compte PayPal client non obligatoire... mais recommandé mercredi 3 février 2010
    43. 43. PayPal sans compte Paiement avec ou sans création de compte : « sans » • Un paiement similaire à un paiement sécurisé en ligne CB classique. • La création du compte PayPal est optionnelle. 14 mercredi 3 février 2010
    44. 44. PayPal avec un compte Paiement avec ou sans création de compte : « avec » Un paiement en 2 clics sans partager mes données financières 15 mercredi 3 février 2010
    45. 45. Paiements pré-approuvés Paiements pré-approuvés : principe • ! Cette option permet d’établir une pré-approbat L’acheteur s’inscrit une fois des paiements entre le site et l’acheteur ! L’équivalent électronique d’une autorisation de prélèvem • Il se désinscrit à la demande bancaire • ! Intérêt : vos acheteurs vous paient en un clic Tous les achats se font en mode “one-clic” ! Dès que l’acheteur a approuvé la pré-facturation avec le marchand, il n’a plus besoin d’entrer ni login PayPal ni m • Facilite les achats impulsifss passe. ! Permet au marchand de facturer et gérer l’échéancier d’ • paiement récurrent Permet de regrouper les paiements !Exemples : • Modèle économique “à la iTunes” 17 mercredi 3 février 2010
    46. 46. Fraude sur PayPal • Taux annoncé : 0,5% • Pas si bas que cela... (possibilité de phishing de comptes) • Système de vérification des comptes • Contrôle des crédits sur les comptes • Structure dédiée à la sécurité, et non une antenne de structure bancaire mercredi 3 février 2010
    47. 47. Micropaiements mercredi 3 février 2010
    48. 48. Les micropaiements • Problématique : • Faciliter l’acte d’achat • Permettre le paiement de petites sommes • Ex : achat de musique, de sonnerie de tel.. • Eviter l’utilisation de la carte bancaire mercredi 3 février 2010
    49. 49. Principaux commerces • Musique en ligne • Accès privatif à des sites adultes • Accès à des services “Premiums” de sites Web • Achat de documents en ligne • Achat de sonneries, de fonds d’écran de tél.. • Des exemples sur www.biz-n-cash.fr mercredi 3 février 2010
    50. 50. Marché visé 0 à $4,99 $5 à $49 > à $50 100 75 24 % 50 33 % 25 0 2004 2005 43 % mercredi 3 février 2010
    51. 51. Principaux médias de micropaiement • Tél surtaxé • SMS surtaxé • Paiement via son FAI mercredi 3 février 2010
    52. 52. Le téléphone : un terminal de paiement • Il devient possible d’utiliser son téléphone pour effectuer des micro-paiements • Principe : appel d’un numéro surtaxé • On obtient au téléphone un code • Alternative : code reçu par SMS • Le code doit être rentré sur le site pour donner accès au “produit” mercredi 3 février 2010
    53. 53. Utilisation du téléphone • Démocratisé pour les sites XXX • Dépense “indolore” (passe par la facture téléphonique) mercredi 3 février 2010
    54. 54. Micropaiement via son fournisseur d’accès • Certains FAI (Orange, Free) proposent des services de micropaiement • Identification “induite” via la connexion • La transaction s’effectue directement entre le site d’e-commerce et le FAI • Paiement entièrement transparent (juste une validation) • La facturation se fait en même temps que l’abonnement mercredi 3 février 2010
    55. 55. Micropaiement via le FAI (d’après www.w-ha.com) mercredi 3 février 2010
    56. 56. Terminal portable • L’exemple de Square, Startup fondée en 2009 • Utilise un iPhone et un petit accessoire • Lit la piste magnétique • Utilisable en France ? • Outil à la fois pour le revendeur et le client mercredi 3 février 2010
    57. 57. Phishing et autres arnaques mercredi 3 février 2010
    58. 58. Le phishing (hameçonnage) • Principe : faire croire qu’un email vous est adressé et vous faire saisir login et mot de passe • Moyens : recréer à l’identique l’environnement du site d’origine • Le phishing est un cas particulier de Scam, ou fraude 4-1-9 (envoi de mail profitant de la crédulité des gens) mercredi 3 février 2010
    59. 59. Exemple de phishing mercredi 3 février 2010
    60. 60. Comment détecter du phishing ? • Problème : très difficile a détecter automatiquement • Pas de logiciel “anti-phishing” • Premier indice : l’URL mercredi 3 février 2010
    61. 61. Comment détecter du phishing ? (2) • Les “vrais” mails envoyés par de tels services intègrent maintenant systématiquement vos noms et prénoms • Preuve que la base de données derrière est bien la vraie mercredi 3 février 2010
    62. 62. Parades contre le phishing • Les navigateurs modernes incluent des consultations de bases de données recensant les phishing les plus connus mercredi 3 février 2010
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×