La vente en ligne sécurisée
Bonne nouvelle en ces temps de crise économique, le secteur du e-commerce se porte plutôt bien. En France, pour le premier trimestre 2009, le total des dépenses en ligne progresse de 28% par rapport au premier trimestre 2008 et la croissance sur une année cesse de ralentir.
En Europe, le nombre de personnes à avoir acheté au moins un produit en ligne a connu une croissance remarquable ces dernières années. De 27% en 2006, ce nombre atteint 33% en 2008, soit 150 millions de dollars environ, en chiffres absolus. Le tourisme et les vêtements, comme le montrent les statistiques d’Eurostat, (voir Fig.1) se placent en tête des préférences de consommateurs.
Le marché européen de l’e-commerce atteignait 106 milliards d’euros en 2006, égalant le marché de l’e-commerce américain. Toujours en Europe, les commissaires Viviane Reding et Meglena Kuneva, ont avancé, le mardi 5 mai 2009, l’idée d’un marché unique 1 pour le commerce en ligne. Aux Etats-Unis, certains portails spécialisés dans le e-couponing (RetailMeNot), le marché de l’artisanat (Etsy.com), les annonces auto, le shopping des produits high tech connaissent un succès fulgurant et ce depuis le début de la crise économique2. En revanche, le groupe eBay confirme la tendance de baisse enregistrée au quatrième trimestre 2008 (voir Fig.2). Aussi, le groupe annonce-t-il un changement de stratégie en se recentrant sur sa solution de paiement en ligne PayPal.
LES PREMIERS USAGERS DU E-COMMERCE AU MAROC
Le Maroc démarre à peine son processus d’adhésion à ce type de commerce. En effet, depuis novembre 2007, le Centre monétique interbancaire (Groupement professionnel des banques) autorise le paiement en ligne par carte bancaire. Une loi ayant comme objet l’équivalence des documents établis sur papier et sur support électronique est promulguée la même année. Un groupe de grandes banques (Banque Populaire, BMCI, Crédit du Maroc et SGMB) met en place la société Maroc Télécommerce, ayant comme mission de mettre à la disposition de l’entreprise marocaine une infrastructure technologique sécurisée lui permettant de vendre des produits et des services sur Internet.
La première société à avoir franchi le cap a été la RAM. Son site marchand est simple et facile d’accès. Après avoir fourni les informations personnelles (nom, prénom, n° passeport, etc.) et bancaires (type de carte, solvabilité, etc.) demandées, un billet électronique contenant un code et des informations concernant le vol est envoyé par la messagerie électronique.
Le paiement en ligne des factures des produits de Maroc Telecom (fixe, mobile et Internet) devient possible notamment sur le site www.iam.ma. Ce service est ouvert à tous les clients de Maroc Telecom détenteurs d’une carte de crédit marocaine ou d’une carte internationale Visa/MasterCard. La Lyonnaise de Eaux de Casablanca (LYDEC) propose elle aussi un service de paiement des factures en ligne (www.lydec.ma).
La Trésorerie générale du royaume inaugure le paiement en ligne des taxes locales (taxe professionnelle, taxe d’habitation et taxe des services communaux) sur le site http://www.tgr.gov.ma/wps/portal/epaiement. L’OMPIC démarre un processus de mise en ligne de certaines procédures administratives.
Le portail http://www.damancom.ma/ propose deux opérations aux entreprises affiliées à la Caisse nationale de sécurité sociale : la télédéclaration (faire une déclaration en ligne) et le télépaiement (paiement de la cotisation en ligne). Microchoix Maroc dans le domaine des produits informatiques, Livremoi.ma pour les livres, Au Derby pour les chaussures, floweronline.ma pour commander des fleurs, etc. se lancent, à leur tour, dans le e-commerce.
Le secteur bancaire commence à suivre. CMI, VISA (et VISA Electron) et MasterCard (émises par les banques Attijariwafa Bank, Crédit Agricole, CIH, Banque Populaire, Crédit du Maroc et Société Générale) sont utilisables dans toute transaction en ligne. Par contre, BMCE et Poste Maroc bloquent pour l’instant le paiement en ligne par carte.
L’internaute apprécie, au-delà de l’interface d’accès au produit, l’offre variée, la richesse d’informations qui accompagnent le produit, la possibilité de comparer les prix ainsi que les facilités de paiement. L’envahissement de l’univers de l’internaute par des publicités en tout genre, l’obligation de fournir des informations portant souvent atteinte à la vie privée (âge, profession, préférences, etc.), ainsi qu’une méfiance innée vis-à-vis de ce type de transaction, tellement différente de sa projection présentielle, sont encore des entraves sur une voie qui mène, de facto, vers la généralisation.
LES PROCÉDURES DE PAIEMENT EN LIGNE
En général, le paiement en ligne pour un site marchand se fait en utilisant un relais bancaire automatisé, un organisme tiers ou une transaction différée3. Voici d’une manière très simplifiée les trois procédures :
Le relais bancaire automatisé
• L’internaute sélectionne les variables produit (nom produit, quantité) et remplit le panier de commande. Ces données sont stockées dans la base de données du site marchand,
• L’internaute fournit les informations nécessaires pour son identification (ouverture d’un compte existant ou création d’un nouveau compte) et l’acheminement de la commande. Ces données sont stockées dans la même base de données,
• L’internaute fournit les informations liées au mode de paiement (carte bancaire, chèque, etc.). Ces données sont envoyées au serveur de la banque, chargé des opérations de débit/crédit, en utilisant un certificat SSL crypté. Elles ne sont pas stockées dans la base de données du site marchand.
Organismes tiers
Cette procédure diffère de la précédente par le mode de gestion de l’information bancaire. En effet, les données bancaires sont transmises de façon cryptée à un organisme tiers. Les opérations de débit/crédit se font entre cet organisme et la banque. PayPal de EBay est une entreprise (organisme tiers) qui permet de payer des achats ou de recevoir des paiements.
Comment ça marche ? Après avoir ouvert un compte sur PayPal, l’acheteur effectue son paiement en fournissant un login (l’adresse électronique) et un mot de passe, l’adresse électronique du vendeur, le montant et la devise. Les opérations de débit/crédit sont instantanément exécutées sur le compte PayPal. Vous pouvez vérifier le déroulement de la transaction en vous connectant à votre compte. Les informations bancaires ne sont transmises ni au vendeur, ni à un tiers.
PayPal héberge aujourd’hui plus de 71 millions de comptes et accepte des transactions dans 6 devises différentes (euro, livre sterling, dollar américain, dollar canadien, dollar australien et yen).
Transaction différée
Les deux premières étapes sont les mêmes que précédemment. La transmission de l’information bancaire se fait en différé. Ce qui fait que cette information reste stockée un certain temps dans l’environnement du site marchand constituant, en soi, un risque important.
Dans une procédure de paiement en ligne les éléments vulnérables et générateurs potentiels de failles dans la sécurité peuvent être donc :
• la transmission de données bancaires du consommateur vers la banque,
• le site marchand,
• le poste client (la machine à partir de laquelle se fait la connexion au site distant)
UN PROTOCOLE TECHNIQUEMENT SÉCURISÉ EN AMONT
En ce qui concerne la circulation de données, la majorité des sites utilisent un même protocole, nommé SSL (Secure Sockets Layer). Il s’agit d’un procédé de sécurisation des transactions effectuées via Internet. Le standard SSL a été mis au point par Netscape, en collaboration avec Mastercard, Bank of America, MCI et Silicon Graphics. Il repose sur un procédé de cryptographie, afin de garantir la sécurité de la transmission de données sur Internet. Son principe consiste à établir un canal de communication sécurisé (chiffré) entre deux machines (un client et un serveur) après une étape d’authentification.
Les navigateurs supportent désormais le protocole SSL. Microsoft Internet Explorer affiche un cadenas lors de la connexion à un site sécurisé par SSL. Un serveur web sécurisé par SSL possède une URL commençant par https://, où le «s» signifie secured (sécurisé). L’année 2001, le brevet de SSL a été racheté par l’IETF (Internet Engineering Task Force) et a été rebaptisé pour l’occasion TLS (Transport Layer Security).
En utilisant ce protocole, la sécurité d’une transaction n’est plus un problème. Les failles le plus souvent rencontrées se trouvent plutôt du côté serveur ou du côté client. Nombre de sites marchands conservent les informations bancaires du client pour une longue période en devenant ainsi très vulnérables. Il est du devoir du client de cueillir des informations sur le fournisseur de produits ou services: ses références, ses réalisations, chiffre d’affaires si possible, etc. Une recherche sur le Net ressort rapidement les sites marchands douteux ou ayant un taux élevé de fraudes.
FAILLES, ESCROQUERIES ET PARADES
Les escroqueries par phishing connaissent une forte recrudescence aux Etats –Unis. Selon des informations publiées par Gartner, entre août 2006 et août 2007, les internautes américains se sont fait voler plus de 3,2 milliards de dollars par cette technique. Le phishing (contraction de fishing et phreaking, lui-même contraction de phone et freak) consiste dans l’usurpation de l’identité d’une personne ou d’une entité connue. Le principe est simple : l’internaute reçoit un mail ayant l’apparence d’une entité connue (banque, portail, etc.) en lui demandant de mettre à jour des informations personnelles ou bancaires. En répondant au mail les informations arrivent sur un faux site et font l’objet d’un mauvais usage. Cette tentative d’escroquerie vise notamment les clients du service de paiement en ligne Paypal. La parade aux tentatives de ce genre se résume à la sécurisation du poste de travail, en installant et en configurant correctement un antivirus et un firewall. La plupart des antivirus possèdent une fonctionnalité anti-phishing.
Dans l’équation sécurité – paiement en ligne, l’élément de taille reste le poste de travail et son navigateur. S’ils peuvent être compromis, le chemin acheteur – serveur - données bancaires – banque devient une autoroute sans péage.
Selon une étude publiée par Symantec5 en 2008, la première cause des incidents de sécurité permettant le vol d’identité était la perte ou le vol de matériel informatique (PC et supports de stockage amovibles). Pendant l’année 2007, la part des vols et pertes était de 52%. L’utilisation des procédures informatiques non sécurisées pour accéder à des données sensibles, suivie de près par les intrusions informatiques (hacking), souvent très médiatisées, se trouve loin derrière.
SÉCURISATION POSSIBLE DES INFORMATIONS BANCAIRES
Théoriquement, un pirate informatique a plusieurs possibilités pour s’approprier les informations bancaires d’un acheteur sur le Net. Si on laisse de côté l’insouciance de certains utilisateurs (oubli d’un mot de passe, perte de matériel, non-sécurisation du poste de travail, etc.), une de ces possibilités est l’exploitation de différents bugs et vulnérabilités des systèmes d’exploitation et des navigateurs (IE, Mozilla FireFox, Safari, Opéra, etc.).
Symantec a analysé aussi la promptitude des éditeurs de navigateurs Web à corriger les vulnérabilités de leurs logiciels. FireFox est le mieux placé en 2008, la fenêtre d’exposition étant inférieure à un jour. Autrement dit, le temps mis pour la publication du correctif est inférieur à 24 heures. Loin derrière se trouve Internet Explorer et Apple.
Le téléchargement et l’installation des correctifs publiés par les éditeurs de votre système d’exploitation et/ou de votre navigateur amenuisent substantiellement les chances de réussite d’une tentative d’intrusion.
Le nombre de virus, de vers, de spywares, de malwares et d’autres logiciels malveillants a progressé de 165% entre 2007 et 2008. Toujours selon Symantec, plus de 1,6 million de nouveaux logiciels malveillants ont été détectés au cours de la seule année 2008. Or depuis sa création, l’éditeur a recensé 2,6 millions de virus. Si la tendance se confirme, la sécurité de notre environnement de travail doit s’ériger en préoccupation permanente et première. Préoccupation qu’on pourrait décliner dans la prise de quelques mesures élémentaires de sécurité :
• Utiliser une session de travail via un nom utilisateur (login) et un mot de passe,
• Installer un antivirus (protection locale, internet, messagerie, firewall) et assurer sa mise à jour.
• Configurer correctement le niveau
• Configurer correctement le logiciel de messagerie client installé sur votre ordinateur,
• Faire régulièrement la mise à jour des correctifs de sécurité du système d’exploitation et du navigateur,
• Ne jamais ouvrir les pièces jointes non identifiées accompagnant un email,
• Refuser toute installation d’un logiciel non sollicitée en naviguant sur le Net,
• Changer les mots de passe régulièrement.
Notons que les risques encourus lors d’une transaction en ligne ne sont ni plus nombreux, ni plus dangereux, que ceux qu’on rencontre lors d’une transaction faite en présentiel. En fait, une personne malhonnête pourrait récupérer le numéro de votre carte bancaire, lors de son utilisation pour retirer de l’argent dans un guichet bancaire, dans un supermarché ou encore en payant un dîner. Une étude menée par Ipsos Belgique montre que la satisfaction des consommateurs est en moyenne meilleure lors d’un achat sur Internet que sur d’autres canaux.
La possibilité de pouvoir comparer les prix, la richesse de l’offre, des prix intéressants, ainsi que la multitude des fournisseurs disponibles, expliquent cette satisfaction des consommateurs envers le paiement en ligne. Le commerce électronique n’est plus une alternative, il est l’avenir.