paiement électronique et paiement sécurisé

Le paiement électronique et le paiement sécurisé
Si des risques existent, il est toutefois facile de les réduire et d’avoir un paiement « sécurisé
». Pourtant de nombreux internautes n’ont jamais passé de commande en ligne, souvent
parce qu'
ils ne sont rassurés par cette transaction un peu particulière.
Qu’est-ce que le paiement électronique ?
Le paiement électronique est un moyen permettant d’effectuer des transactions
commerciales pour l’échange de biens ou de services sur Internet. Les moyens de paiement
traditionnels n’étant pas adaptés à ce type de commerce, plusieurs mécanismes ont été
mis en place pour permettre le paiement en ligne. Concernant les relations entre
professionnels et particuliers, les principaux modes de paiement sont :
le paiement via un intermédiaire
la monnaie numérique
le porte-monnaie électronique
la carte bancaire
Le paiement via un intermédiaire s’effectue indirectement, en utilisant le serveur de
l’intermédiaire sur lequel sont stockés les coordonnées bancaires des parties. Par des
moyens techniques de cryptologies, l’intermédiaire fournit des identifiants à ses clients puis
centralise et transmet les échanges d’ordres aux banques respectives. Seuls les identifiants
et les données de la transaction circulent sur le réseau en passant par une plate-forme
interface équipée d’un fire-wall.
La monnaie numérique est une monnaie virtuelle (« e-cash ») stockée sur le disque dur
du consommateur. Il s’agit en fait d’une suite numérique codée à usage unique. Cette
solution de paiement anonyme permet des transactions de données non copiables et non
utilisables isolément.
Le porte-monnaie électronique consiste à disposer d’une somme d’argent, sous forme
d’unités de valeur portées au crédit d’une carte qui est débitée au fur et à mesure des
achats sur Internet. Ce « stockage » peut se faire sur un logiciel présent dans l’ordinateur du
consommateur, ou dans une carte à puce.
La carte bancaire est le mode de paiement par Internet le plus répandu. L’acheteur se
connecte au site du vendeur et sélectionne les articles qu’il souhaite acheter. Une fois que
ce choix est fait, il remplit un formulaire de commande dans lequel il donne ses coordonnées
complètes. Pour valider cette commande, il devra entrer le numéro apparent à seize chiffres
qui figure sur la carte bancaire ainsi que la date d’expiration.
Le paiement par carte bancaire
Lors d’un paiement par carte bancaire, la transaction peut se faire de deux façons : sans
ou avec un intermédiaire financier.
Lorsque le marchand n’a pas d’intermédiaire financier, il traite directement les
numéros des cartes de ses clients et les conserve dans sa base de données, pour une
durée qui est souvent longue, voire infinie, évitant ainsi aux clients de ressaisir les chiffres de
la carte à chaque commande. Ce site est donc vulnérable, ce qui impose que le marchand
se protège en conséquence contres des attaques.
Si le marchand passe par un intermédiaire financier, il s’affranchit des aspects liés au
paiement en louant les services de sociétés spécialisées (grandes banques ou platesformes de commerce électronique). En pratique, cela signifie qu’au moment du paiement, le
navigateur de l’utilisateur est redirigé vers le site web de l’intermédiaire. Celui-ci
demande la saisie du numéro de la carte et de sa date d’expiration. Après vérification auprès
de l’organisme ayant délivré la carte (validité de la carte, compte créditeur, carte non perdue
Source CDC-TIC
ou volée), l’intermédiaire transmet un retour positif au site marchand, en lui indiquant que le
paiement s’est effectué correctement. Ce système présente deux avantages : les numéros
de la carte bancaire ne sont conservés que pendant la durée de la transaction, et le
vendeur n’a jamais connaissances de ces données.
L’argument mis en avant par les réfractaires au commerce électronique est généralement lié
aux problèmes de paiement par carte bancaire. De nombreux internautes sont en effet peu
enclins à communiquer leur numéro de carte sur un site web. S’il est impossible de
supprimer totalement les risques, il est toutefois facile de les réduire à un niveau tout à
fait acceptable. Les principaux points de vigilance portent sur le choix du site marchand et
la sécurisation du site.
Le choix du site marchand
Avant de vous lancer dans une commande en ligne, soyez attentif au choix du site
marchand. Vérifiez notamment :
l’identité du marchand : sur le site, vous devez trouver les coordonnées complètes
du vendeur (nationalité, raison sociale, numéro RCS, adresse complète, ...). Le fait de ne
pas trouver de coordonnées complètes sera pour vous un signal d’alerte. Mieux alors
renoncer à un achat.
l’affichage de la sécurité et les labels : les sites de commerce électronique
affichent que les transactions effectuées via leurs serveurs sont sécurisés et que les clients
peuvent faire leurs achats sans crainte. Certains sites adhèrent également à des
organisations professionnelles délivrant un label de sécurité (par exemple Fiat-Net).
les conditions de vente : celles-ci doivent figurer impérativement sur le site. Une
rubrique dédiée permet généralement d’en prendre connaissance. Ces conditions précisent
notamment les produits, les prix, les modalités de règlement, la livraison, les frais de port,
les garanties, le service après-vente, la confidentialité des données, le règlement des litiges
pouvant survenir... En cas de conflit ultérieur, le marchand devra se conformer aux clauses
y figurant. A noter que le paiement par Internet se rapporte à la vente par correspondance
ou à distance, avec une possibilité de rétraction de 7 jours.
la liste de vos emplettes : le marchand doit afficher la liste des produits que vous
avez choisis, avec le prix, la devise, la quantité, les frais de livraison, les taxes applicables.
L’envoi d’un accusé de réception par courriel, avec un récapitulatif de la commande, doit
également est prévu.
La sécurisation du site
Avant de procéder au paiement en ligne, vérifiez si le site utilise un protocole d’échange
spécifique, le plus utilisé étant nommé « SSL » (Secure Sockets Layer ». Ce protocole, qui
permet de sécuriser les paiements, a été inventé par Netscape.
L’utilisation de ce protocole par le site se reconnaît au moment de la saisie des informations
de paiement, grâce à 2 éléments :
HTTP
l’URL de la page commence par HTTPS (pour HTTP Sécurisé) au lieu de l’habituel
un petit symbole (cadenas fermé ou clé intacte) s’affiche dans la barre de statut du
navigateur
Au moment de passer votre commande, avec Internet Explorer par exemple, une nouvelle
fenêtre s’ouvrira avec le message suivant : « Vous êtes sur le point de visualiser des pages
au moyen d’une connexion sécurisée ». Vous passerez ensuite en mode sécurisé
Source CDC-TIC
https://www.nomdusite.com, et un cadenas fermé apparaîtra en bas à droite sur le
navigateur.
Le protocole SSL a deux fonctions essentielles :
authentifier le serveur auquel l’internaute est connecté (lui prouver par exemple que
le site www.fnac.com est bien le serveur web de la Fnac)
assurer la confidentialité des informations transmises, grâce à l’utilisation d’«
algorithmes » de chiffrement. Cela signifie que les données échangées sont cryptées, et
donc exploitables uniquement par le site qui sera en charge de débiter votre compte. La
force de ces algorithmes est déterminée par la longueur de la clé utilisée pour effectuer ce
chiffrement, exprimé en bits. En France, cette longueur peut aller aujourd’hui jusqu’à 128
bits. Il faut savoir qu’il est très complexe de « casser » des clés dont la longueur excède 80
bits. Pour vérifier le niveau de cryptage que vous utilisez dans Internet Explorer par
exemple, lancez le navigateur, cliquez sur le menu « ? » puis choisissez « A propos de
Internet Explorer ».
Il reste malheureusement des possibilités pour que des personnes mal intentionnées
puissent récupérer le numéro de carte bancaire d’un cyber-consommateur. Ces risques
potentiels résident dans le poste de l’utilisateur et son navigateur :
en profitant de failles affectant le système de chiffrement SSL
en récupérant à distance des fichiers stockés sur le disque dur de l’utilisateur
en utilisant un virus pouvant intercepter les données avant transmission via SSL
en passant par un système de prise de contrôle à distance
Conseils : mettez à jour fréquemment un anti-virus et suivez les avis de sécurité publiés par
les éditeurs de navigateurs web !
Source CDC-TIC
En conclusion
Si des risques existent dans le paiement électronique, le respect de quelques règles simples
d’utilisation et de vigilance permet de les limiter et de les réduire très fortement. De plus,
sachez aussi qu’en cas de problème ou de litige avec un commerçant, il y a des
organismes spécialisés dans la défense des droits des consommateurs : 60 millions de
consommateurs, Que choisir, Fevad (Fédération des Entreprises de Vente à Distance). Vous
pouvez également vous adresser directement auprès de la Direction générale de la
Concurrence et de la Répression des Fraudes de votre département.
Concernant les lois applicables, pour les pays situés dans l’Union européenne s’appliquent
la directive européenne de mai 1997 relative aux contrats à distance ainsi que l’article 5
de la Convention de Rome du 19 juin 1980. Pour ce qui est des pays hors de l’Union
européenne, seules les conditions générales de vente du site font foi.
En fait, les risques liés au paiement en ligne ne sont pas supérieurs à ceux encourus
lors de l’utilisation de votre carte de paiement dans la vie de tous les jours. Ainsi, une
personne malveillante pourrait récupérer une facturette dans un distributeur ou au terminal
de paiement de magasin par exemple, et utiliser les chiffres et date d’expiration parfois
inscrits sur ces facturettes pour effectuer des achats sur Internet ou en VPC classique. En
clair, il convient d’être aussi vigilant dans le monde virtuel que dans le monde réel. Internet
est aujourd’hui un outil fabuleux pour communiquer, découvrir, échanger et acheter. Sachez
l’utilisez intelligemment.
Source CDC-TIC