Uploaded on

Conseils en matière de détection de la fraude aux niveau des paiements électroniques, à l'attention des cybercommerçants wallons souhaitant vendre en ligne

Conseils en matière de détection de la fraude aux niveau des paiements électroniques, à l'attention des cybercommerçants wallons souhaitant vendre en ligne

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
3,659
On Slideshare
0
From Embeds
0
Number of Embeds
5

Actions

Shares
Downloads
1
Comments
0
Likes
5

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. L’e- L’e-commerce :Bien ‘encaisser’ en ligne Cours « e-commerce »Etat des lieux au niveau de la fraude au paiement en ligne Version n°9 - Mars 2013 – Extrait du livre « e-commerce : Bonnes pratiques pour réussir» Updates sur http://www.slideshare.net/prospectic Damien JACOB @retis damien.jacob@ulg.ac.be Expert à l’Agence Wallonne des Télécommunications Professeur invité à HEC – Ecole de gestion de l’Université de Liège, à la Haute Ecole de la Province de Liège et à l’Université de Strasbourg
  • 2. Fraude ? 5
  • 3. Fraude ?Oui et non :1) Du côté de l’acheteur : risque très limité, L’ acheteur est maintenant très bien protégé : par la généralisation des techniques de sécurité : – Code de vérification au dos des cartes – Cryptage sur base de la technologie SSL – Recours généralisé à des sociétés spécialisées par la législation sur la vente à distance et sur les cartes de crédit, s’il agit comme consommateur privé
  • 4. Cadre juridique : Délai des 14 jours calendriers pour renoncer à un achat Législation protégeant le particulier utilisateur d’une carte de crédit : en cas de contestation, l’émetteur rembourse automatiquement. En cas de vol, franchise limitée à 150 € (sauf faute lourde ou fraude)
  • 5. Du côté de l’acheteur: peu de risqueS’il y a souvent une méfiance, il y a enfait peu de problèmes rencontrés.Ceux-Ceux-ci sont plus liés à la :1) crédibilité du vendeur (vendeur« amateur », escroc, site bidon :« pharming »)2) à des déficiences sur le plan de lasécurité informatique chez le client (ex:présence de logiciels espions).
  • 6. Sites bidons…http://www.futura-sciences.com/fr/news/t/internet/d/spam-pharmaceutique-linternaute-mord-1-fois-sur-124-millions_17327/ 9
  • 7. 10
  • 8. Fraude sur webbanking Source : Febelfin.be (déc 2011) 12
  • 9. Fraude ?2) Du coté du vendeur : Oui, risque bien réel ! La fraude existe et le cybercommerçant n’est pas plus immunisé en ligne que dans un magasin ! Il doit s’en prémunir Pourtant aucun gérant de magasin n’imaginerait ne pas avoir de service de sécurité près du sas de sortie ou d’accepter les yeux fermés des billets de banque.
  • 10. Le vendeur peut être victime de fraudeUne fois en ligne, de nombreuxcybercommerçants débutantsdeviennent insouciants !Un exemple : Un vendeur n’a même pas été interpellé par une commande émise à partir d’un ordinateur raccordé à Internet au Maroc, payée au moyen d’une carte de crédit enregistrée au Canada, pour une livraison d’un article de luxe à une BP en Croatie. Il a été par contre stupéfait lorsque ‘Bank Card Company’ lui Company’ annonce qu’il ne sera pas crédité pour cette opération… à moins qu’il ne puisse prouver que le canadien a bien commandé cet achat !
  • 11. Bon à savoir…« CHARGE BACK » rétroactif en cas decontestation du détenteur de la carte : L’ « acquéreur » se réserve généralement jusqu’à 6 mois pour annuler une opération par carte de crédit, même si elle a été entre temps créditée sur le compte du cyber-commerçant ! cyber-Ne jamais rembourser un client par un autremoyen de paiement que celui utilisé pour payer ex: pas de remboursement par virement ou par Western Union pour un achat effectué par carte de crédit 16
  • 12. Les fraudeurs ciblent les nouveaux sitesLa fraude au niveau des paiementsreste limitée et d’un ordre degrandeur comparable au commerce En France, en 2011:traditionnel. • les commandes impayées correspondent à 0,26 % duLa législation protège assez chiffre daffaires desefficacement les consommateurs. cybermarchands Source: Observatoire de la sécurité desPar contre le vendeur ne sera payé cartes de paiement émanant de la Banque de France (2011)que s’il peut démontrer que la • Les domaines les pluscontestation n’est pas fondée. touchés : le secteur « High- Tech » et la téléphonie.Or, les fraudeurs ciblent plus • Taux de tentatives departiculièrement les nouveaux (petits) fraudes : 2,65% •Panier moyen des impayés :sites, profitant de l’inexpérience. 357 euros Importance d’être vigilant dès le Source: Etude réalisée par Fia-Net à partir dun panel d’un millier d’e-lancement de son site Internet marchands affiliés (17 millions de transactions);– 7/2010
  • 13. FraudeSource CyberSource 18
  • 14. Fraude à la carte bancaire - France Montant En % du Secteurs en m€ total • Voyage, transport 19,9 19,8 % • Services aux particuliers 17,3 17,3 % • Commerce généraliste et semi- 16,4 16,4 % généraliste • Téléphonie et communication 15,8 15,8 % • Produits techniques et culturels 10,9 10,9 % Source : http://www.banque-france.fr/observatoire/rap_act_fr_10.htm 19
  • 15. Fraude à la carte bancaire - France Source : http://www.banque-france.fr/observatoire/rap_act_fr_10.htm 20
  • 16. Fraude à la carte bancaire - France Source : http://www.banque-france.fr/observatoire/rap_act_fr_10.htm 21
  • 17. Fraude à la carte bancaire - France Source : http://www.banque-france.fr/observatoire/rap_act_fr_10.htm 22
  • 18. Problème guère pour l’acheteur, mais surtoutpour le vendeur ! Risque de fraude Risque de répudiation : l’acheteur est-il bien le légitime est- détenteur de la carte ? Nécessité de prouver 1) l’intégrité de la transaction, 2) l’accord de l’acheteur 3) la fourniture du service / produit usage par les cybercommerçants de technologies plus sûres Risque de piratage du serveur stockant les n° de carte des n° acheteurs
  • 19. 7 recommandations importantes dégagéesComme pour la sécurité en magasin, il n’existe pas desystèmes miracles pour éliminer toute fraude.7 recommandations majeures dégagées à l’attention descybercommerçants souhaitant réduire au minimum lerisque d’impayés en ligne.REM: Cette liste n’est bien évidemment non exhaustive,et est susceptible d’évoluer au cours du temps, commec’est toujours le cas en matière de sécurité.
  • 20. 1) Réduire le risque de répudiation par le détenteur de la carte de crédit Pour les transactions par cartes de crédit: Exigez du client, la communication du code de vérification (code CVV2: 3 derniers chiffres figurant à larrière de la carte, dans le panneau de signature). Celui-ci permet de Celui- sassurer que linternaute dispose bien en face de lui de la carte de crédit. Usage du protocole « 3D Secure » hautement recommandé (procédure d’ « enrôlement »)
  • 21. 3D Secure 27
  • 22. 3 D Secure: pas une garantie à 100% !Cette garantie n’est pas applicable : en cas de contestation du client pour Marchandise non délivrée ou non conforme Montant erroné / double comptabilisation Conditions d’annulation non clairement communiquées lorsque le module de sécurité (ACS) n’a pas été disponible pour l’opération en question pour les cartes business émises hors Europe (or pas moyen de les distinguer des autres !) 28
  • 23. Astuces pour éviter les contestationsInformations sur votre site web Publiez vos données de contact complètes et des Conditions Générales de Vente claires (annulation, remboursement,…)Encaissement Ne débitez le client que lors de l’envoi de la marchandise Employez une dénomination que le client peut reconnaître sur son relevé de dépenses Assurez un suivi de la commande avec le clientService après vente : Réagissez rapidement lorsqu’un client vous signale un problème Etablissez les notes de crédit le plus rapidement possible Répondez rapidement à toute demande de copie de transaction 29
  • 24. 2) Sous-traiter les opérations techniques Sous-Sous-traitez les opérations Cela lève le risque de piratage • de recueil en ligne des informatique et exonère de la données financières responsabilité de la fiabilité de • et linterfaçage l’opération, informatique auprès dune mais ne garantit pas que le vendeur sera payé, dans le cas payé, société spécialisée. notamment où l’acheteur se révèle ne pas être le titulaire de la carte. En effet le métier de ces sociétés est de recueillir en ligne de façon sécurisée les données financières, pas de contrôler l’identité de l’acheteur.
  • 25. 3) Ne pas confirmer automatiquement toutes les commandesUne commande validée par le PSPne garantit pas d’être payé ! nepas confirmer aveuglément lescommandes.Un plus: souscrivez à un package optionnel « gestion et prévention des fraudes» Pour chaque tentative de transaction, des modules informatiques permettent de calculer en temps réel, un indice de risque sur base de plusieurs critères et ainsi de nautoriser automatiquement la transaction que lorsque le seuil de risque déterminé à lavance par le vendeur nest pas atteint. Voire souscrire à une assurance
  • 26. Logiciels de scoringSelon le JDN: 3 solutions bien implantées sur le marché : 1. FIA-NET : 700 euros de frais dinstallation +0,25 à 0,70 % FIA- du CA + en option une assurance 2. Secuvad : 0,15 à 0,35 € / transaction 3. Ogone: 0,3 % du CA (réservé aux clients) Ogone:• Calculent pour chaque opération, un niveau de fiabilité (scoring), basé sur l’analyse de nombreux éléments : scoring), données bancaires, coordonnées de lacheteur, nombre de produits, adresse IP…• Le cybermarchand doit alors décider à partir de quel niveau de risque il refuse la validation de l’opération. 33
  • 27. 34
  • 28. 4) Vérifier l’identité du clientRécoltez les coordonnées Etablissez une procédure depostales et/ou tél. des vérification :clients. Procédez à des contrôles Prudence si le client n’a manuels en cas dopérations communiqué comme suspectes (voir les indices information qu’un numéro de précédemment listées) GSM ou utilise un webmail Exemple : donner un coup de gratuit / Facebook ID !. téléphone de vérification si un achat important est effectué par un nouvel acheteur via une CB émise dans un autre pays. www.checkdoc.be pour vérifier si un document d’identité n’est pas volé
  • 29. 5) Prudence avec les transactions de l’étrangerRedoublez de prudence lors detransactions vers létranger. Bloquez celles provenant de pays à risques ou établies à partir dadresses IP anonymes. En BtoB, vérifier la validité du BtoB, numéro de TVA intra- intra- communautaire du client http://ec.europa.eu/taxation_customs/taxation/vat/trader s/vat_number/index_fr.htm http://ip-lookup.net/
  • 30. 6) Se réserver des preuvesFichier « logs » par « ports »,valablement horodaté et …conservéLivraison : Ne pas envoyer lamarchandise aveuglément Quand cela sy prête, faites livrer la marchandise au domicile du client par une société de transport qui demandera au destinataire de signer un accusé de réception; Ou optez pour une livraison via un réseau de point d’enlèvement
  • 31. 7) Rassurer le client et crédibiliser votre service en ligneCommuniquez soigneusementconcernant les modalités depaiement et de remboursement ainsique sur les dispositions prises pourgarantir la sécurité des transactionsen ligne. Ne vous contentez pas de lobligation minimale dinformation imposée par la législation belge.Un plus: Appuyez-vous sur un label Appuyez-de confiance, tel celui delassociation "BeCommerce" "BeCommerce" Pertinence des chartes de confiance
  • 32. 7) Protéger et contrôler son infrastructure informatiquePhishing : Contrôler régulièrement sa présence sur Internet, notamment sur les moteurs de recherche (identification de sites bidons référencés)Trojan,Trojan, virus : Contrôler si pas de présence de virus (ex: trojans) sur trojans) le réseau informatique / PC du webmasterSQL Injection Contrôler la sécurité de la base de données En prévention : Limiter au minimum les données traitées sur le serveur web 40
  • 33. 7) Ne pas imposer un seul moyen de paiementProposez plusieurs moyens de paiement afindinciter le plus large public possible à acheter enligne sur votre site;
  • 34. 7) Bien communiquer !Expliquer !Ex: Bien expliquer le processus, en particulier le passage à un écran du site du PSP et le fait que la commande n’est terminée qu’après confirmation de la validité de l’opération ce qu’est le « cryptogramme » au dos de la carte de crédit Mettre en grand un cadenas ou une icône « paiement sécurisé » Indiquer la case à cocher « j’accepte les CGV » juste au dessus
  • 35. Ressources 45
  • 36. Pour en savoir plus :Autorités publiques : Ressources documentaires : Federal Computer Crime Unit, Loi du 11 mars 2003 : Rue du Noyer 211, 1000 http://economie.fgov.be/information_so ciety/e- ciety/e- Bruxelles commerce/legislation/regulation/law_e Tél : +32 (0)2 743 74 74 _commerce_001.pdf Pour porter plainte en ligne: Label « Becommerce » : https://www.ecops.be http://www.becommerce.be Service Public Fédéral Guide des titulaires de sites Economie, PME, Classes Internet : moyenne et Energie http://economie.fgov.be/information_so Tél : +32 (0)2 277 54 85 ciety/enterprises/designers_internetguid e/designers_internetguide_fr.pdf eco.inspec@economie.fgov.be Dossier « paiement » de l’AWT http://www.awt.be
  • 37. Sources statistiquesStatistiques: voir http://www.retis.be/references AWT – Etude des usages des TIC par les PME et par les citoyens (2012) http://www.awt.be/barometre COMEOS – Etude e-Commerce en Belgique (2012) e- www.comeos.be SPF Economie – Guide à l’attention des titulaires de sites web http://economie.fgov.be/fr/binaries/Guide_des_titulaires_internet_ 042011_tcm326- 042011_tcm326-36214.pdf Statistiques 2010-2011 de Fraude établie par la Banque de France 2010- Statistiques d’OGONE (2011-2012), FEVAD (2012), COMEOS (2011-2012), (2011- (2011- EUROSTAT (2007-2010), DIBS.DK (2010), BENCHMARK GROUP (2011- (2007- (2011- 2012)
  • 38. Ressources biblioD. JACOB (2012) – E-Commerce, les bonnes pratiques pour réussir, EditionEdipro,Edipro, 352p., www.retis.beBRASSEUR Jean-Baptiste (2011), Comment vendre sur Internet : guide Jean-juridique et pratique, Editions du puits fleuri, 234p, ISBN 978-2-86-739-453-9 978- 86-739-453-(2010), E-Commerce : les clés de la réussite, Ed. La documentation Française, E-140p.ISSAC Henri & VOLLE Pierre (2010), L’E-commerce : De la stratégie à la mise L’E-en œuvre opérationnelle, Edition Pearson France, 342p. (http://www.livre- (http://www.livre-ecommerce.fr/)ecommerce.fr/)DE WASSEIGE Olivier (2007), e-Commerce, e-Marketing, e-Bay, Editions e- e- e-EdiPro,EdiPro, 367p.ACSEL (2009), e-commerce et distribution : comment Internet bouscule les e-canaux de vente, ACSEL, 142p.SCHILLACI Marc (2008), Réussir sa boutique en ligne, 375 p.JANSSENS Martine et EJZYN Alain (2007), Marketing – e-business, e-Marketing,Marketing, cybermarketing, Edition de Boeck, 335p.
  • 39. Pour en savoir plus :E-Commerce: Les bonnespratiques pour réussirde Damien Jacob 352 pages Editeur : Edipro Collection : e-Management e- ISBN: 978-2-87496-228-8 978- 87496-228-
  • 40. Ressources webwww.awt.be/web/ebu Articles, témoignages, etc. Dossiers (paiement en ligne, choix d’un fournisseur, solutions mobiles, etc.). Baromètre TIC de la Wallonie. Base de données des entreprises TIC.www.charte-www.charte-etic.be (liste fournisseurs signataires dela Charte déontologique eTIC) eTIC)Blogs ou plateformes spécialisées www.marketingonthebeach.be, www.retis.be, www.marketingonthebeach.be, www.retis.be, www.netvibes.com/prospectic etc.).
  • 41. E-mail: damien.jacob@ulg.ac.beLa version la plus récente est téléchargeable sur : http://www.slideshare.net/prospectic