Le commerce électronique ou e-commerce est une activité d’échange de biens et de services où la transaction est réalisée via un réseau informatique, comme Internet dans le cadre du présent billet.
Puisqu’il n’y a pas utilisation d’un lecteur de cartes, il ne sera pas possible de lire la puce ni la piste lors du règlement. Les banques ont donc dû trouver une alternative permettant à l’utilisateur de payer sur Internet simplement et de manière sécurisée afin d’éviter au maximum la fraude.
Cet article expliquera en tout premier lieu le déroulement actuel d’un achat chez un cybermarchand, avant d’introduire un cyberpaiement plus sécurisé. Enfin, quelques bonnes pratiques à respecter vous seront présentées pour réaliser un paiement sur Internet en toute sécurité, ou presque…
Aujourd’hui
Lorsque vous payez sur un site e-commerce, celui-ci vous demande généralement les informations suivantes :
- Le numéro de carte bancaire,
- La date de fin de validité,
- Le cryptogramme visuel.
Depuis 2003, les cyber-commerçants français ont pour obligation de demander votre cryptogramme visuel qui permet de diminuer la fraude. Mais aucun de ces éléments n’est dynamique. Ainsi si une personne parvient à vous dérober ces trois éléments, elle parviendra à acheter sur Internet à votre insu.
3D Secure
De plus en plus, une information supplémentaire vous est demandée lors d’un e-paiement chez un cybercommerçant. Après confirmation de l’achat, le site vous redirige sur celui de votre banque qui vous demandera une information personnelle permettant de vous authentifier.
L’une des questions les plus utilisées lors de l’authentification est la fameuse date de naissance pour des raisons de simplicités d’intégration. Mais de plus en plus les banques utiliseront une authentification plus pertinente. La date de naissance est en effet une question peu fiable, surtout depuis l’avènement des réseaux sociaux.
Parmi les nouvelles authentifications que les banques peuvent implémenter, nous pouvons lister :
- Envoi d’un code par SMS que l’utilisateur devra recopier sur le site,
- Demande du nombre situé sur une grille personnalisée remise à chaque client de la banque à l’intersection de la ligne X et de la colonne Y (X et Y étant des nombres aléatoires définis lors du processus d’authentification par l’émetteur,
- Un code secret,
- Etc.
PayPal
Racheté par eBay depuis 2002, ce site est un moyen de paiement intéressant d’un point de vue sécurité. Aucune donnée bancaire (numéro de carte, etc.) ne circule sur le réseau lors de l’achat. Lors de la création du compte, l’utilisateur doit fournir ses données bancaires. Par la suite, le cyberacheteur ne rentrera que son couple adresse mail / mot de passe pour payer. Paypal s’occupe du reste.
D’aucuns diront que c’est bien plus sécurisé pour les raisons susmentionnées, mais cela n’empêche pas les fraudeurs de redoubler de subterfuges pour parvenir à leur fin. Par exemple, en dérobant le tant convoité : adresse mail / mot de passe.
Best Practices à respecter lors d’un cyberachat
D’un point de vue informatique, les transactions ne seront que de simples paquets TCP/IP chiffrés. Les techniques de hacking sont donc les mêmes. Fort heureusement, il existe une liste (non exhaustive) de règles à respecter pour limiter au maximum le leurre.
Phishing :
Le phishing est une technique qui consiste à récupérer vos informations personnelles. Le cas typique est l’envoi d’un courriel renvoyant sur un site au design de banque particulièrement trompeur stipulant « veuillez renseigner votre identifiant ainsi que votre numéro de carte CB ainsi que le code secret pour réactiver la carte » dans l’unique but de vous dérober ces précieux sésames.
Un seul conseil : ignorer systématiquement les courriels de ce genre. Aucun site ne vous demandera votre code PIN ou données secrètes similaires (mot de passe, …).
Lors de l’achat :
Lorsque vous allez sur un site sécurisé, vous avez la fâcheuse tendance à ne pas lire les jolis messages d’avertissement émis par votre cher navigateur :>
ou encore :
Le navigateur vous précise courtoisement « Impossibilité d’identifier cette adresse comme site de confiance ». En continuant votre chemin, vous allez dialoguer de manière chiffrée avec un inconnu : peut-être un pirate. Et là, le bât blesse. Vous le comprendrez, si vous voyez un tel message, n’achetez pas sur ce site.
Au moment où vous rentrez les données bancaires, vérifiez que l’adresse du site commence par « https », le cadenas ne suffisant pas.
Assurez-vous également que votre antivirus, votre firewall, votre système d’exploitation (Windows XP, …) sont à jour. Et vérifiez que votre ordinateur n’est pas infecté par un trojan.
Monétique 