Sécurité du commerce électronique B2C (Business to Consumer),
soit entre un vendeur et un consommateur privé

Un besoin de confiance des acheteurs

Le besoin de confiance sur les achats en ligne est crucial pour le développement du commerce en ligne. Autant on peut considérer que les achats effectués en France donnent le sentiment de sécurité, autant ceux effectués sur les sites marchands étrangers continuent à donner des frissons.

Le risque est moins actuellement sur la méthode de paiement que sur le traitement de la commande (délais, logistique de livraison, retour marchandise, ..).

Panorama des offres de paiement en ligne

Les solutions de paiement en ligne ne manquent pas, incluant des offres permettant soit d’effectuer des micro-achats, soit de garantir des transactions d’équipements onéreux.

Les principales solutions sont :

• La plus répandue utilise le numéro de carte bancaire, sa date d’expiration et maintenant les codes CVV2 ou CVC2 (Visa, AM, …) : les principales solutions sont SIPS d’Atos, Cybermut du Crédit Mutuel, Paybox system. Elles s’appuient sur un chiffrement des données échangées (SSL), ce qui offre un niveau de sécurité satisfaisant (si utilisation des clefs RSA de 128 bits et non 40 bits). L’inconvénient de ce système est plutôt pour le site marchand qui ne dispose pas de moyen sûr d’authentifier le client et donc lui génère un risque de répudiation de cette transaction par le client (sur Internet ou ailleurs, tout achat n'ayant pas été validé par son code PIN ou sa signature écrite peut être contesté)..

• Utilisation de la carte à puce, ou en plus du système précédent, il s'agit d'intégrer une sécurité physique, par l'utilisation d'une carte à puce et d'un lecteur sécurisé. Ce système permettrait d’avoir un niveau d’authentification plus fort que le système précédent et diminuerait le risque de répudiement de la transaction. C’est une arlésienne de plus de 15 ans (c’était déjà une solution utilisée avec les Minitel) car cela nécessite l’investissement par l’utilisateur d’un lecteur de carte. La dernière grande initiative européenne s’appelle Finread dont l'objectif est de devenir un standard européen de lecteur sécurisé de carte à puce. Lancé en 2001, il n’y pas encore débouché sur des solutions opérationnelles.

Panorama des offres de paiement en ligne (suite)

• Il existe d’autres solutions alternatives et complémentaires à la carte bancaire, notamment pour les micro-paiements (en général moins de 20 €), comme le porte-monnaie virtuel (ouverture d’un compte sur lequel on dépose de l’ argent), les cartes prépayées (même philosophie que les cartes prépayées pour les téléphones mobiles).

• Le dernier moyen en développement est la carte de crédit virtuelle (lancée par les banques membres du GIE Carte bleue) qui permet de remplacer les seize chiffres de sa carte de paiement, par ceux d'un numéro fourni par la banque ayant une durée de vie courte. Ce système permet à l’Internaute de ne pas avoir à utiliser son N° de carte bancaire, ce qui est appréciable notamment lors d’achats sur des sites Internet étrangers. Il existe néanmoins quelques inconvénients à cette solution, notamment lorsque vous faites régulièrement des achats sur un même site marchand, le fait que vous changiez régulièrement de numéro vous rend suspect aux yeux du logiciel, d’ où un risque de rejet de votre commande.

Panorama des offres de paiement en ligne

Les chiffres sur la fraude dans le e-commerce sont assez peu divulgués mais semblent assez faibles. Un assureur de sites marchands, Fia-net, estime la fraude aux fausses cartes bleues à 0,2 à 0,3 % (il existe des sites avec des listes de « vrais - faux » numéro de carte).

Accessibilité et clarté de l'information sur la sécurité

Selon une étude de la Commission européenne datant de septembre 2003 (analyse de 600 sites sur Internet), elle conclut « que de nombreux organismes prenant part au commerce électronique ne fournissent pas aux consommateurs une information sur la sécurité suffisamment claire et accessible, même si les banques et autres institutions financières tendent à faire mieux sur ce point ».

Seuls 26 % des sites de commerce électronique européens examinés (mais 47 % des sites français) donnent un niveau d'information clair sur la sécurité pour le consommateur.