Les 5 grands principes de sécurisation du paiement en ligne

Un e-business ne pourra fonctionner si ses clients ne sont pas assurés de pouvoir payer en toute sécurité. Lisez cet article pour en apprendre plus sur la sécurisation du paiement en ligne.

Par: Jean-Pierre Buthion

La sécurité d'un système de paiement est le fondement de la confiance qu'il inspire.

Un billet de banque aisément falsifiable serait rapidement rejeté par les utilisateurs dans une transaction commerciale. Les banques centrales s'attachent donc à en renforcer régulièrement la sécurité en multipliant les dispositifs (encres, filigrane, taille douce, filin incorporé) voire en le renouvelant totalement. Par exemple, les billets européens disposent de 64 systèmes de sécurité intégrés.

La monnaie électronique et les ordres de paiement électroniques doivent s'appuyer eux aussi sur des principes et des dispositifs de sécurité adaptés aux vecteurs qui les véhiculent (réseaux de téléphone, protocoles, systèmes d'exploitation des terminaux, cartes).

Internet est un réseau " ouvert " qui n'a pas été conçu pour faire du commerce, ce qui l'expose aux intrusions et en fait un système faillible. La sécurité des transactions de paiement est ainsi rendue aléatoire.

La définition de principes sécuritaires est donc indispensable à la mise en place d'une solution de paiement de confiance.

D'un point de vue technique, on peut appliquer ces principes par le recours à la cryptologie. Complexes dans leurs fondements, les techniques de cryptologie sont, en pratique, le plus souvent invisibles pour les utilisateurs.

Ces techniques s'appuient sur des mécanismes de chiffrement et de déchiffrement des messages échangés sur les réseaux dans le cadre de protocoles. Ce sont des algorithmes.

Elles assurent plusieurs fonctions qui font d'un paiement un acte sûr.

1- Authentification des partenaires de l'échange
L'authentification des partenaires de l'échange est le point majeur d'un système sécuritaire, c'est aussi le plus complexe à mettre en oeuvre et le plus coûteux. C'est en outre la fonction la moins répandue et la moins bien assurée dans les solutions de paiement présentes sur le marché.

Cette fonction est pourtant essentielle puisqu'elle permet :

- au consommateur de s'assurer que le commerçant existe bel et bien derrière la marque qu'il affiche sur ses pages Web ;

- au commerçant d'être convaincu, voire garanti par une autorité de certification, de l'identité du consommateur qui lui passe commande.

L'authentification des parties sert à assurer la preuve d'un acte, en l'occurrence l'acte de paiement. En l'absence de mécanismes d'authentification, l'une des parties peut contester avoir jamais participé à la transaction. La propagation de ces situations propices à la mauvaise foi potentielle, risque de détruire la confiance dans les échanges. C'est la raison pour laquelle le processus d'authentification est si important, particulièrement dans le domaine de la vente de services ou de biens immatériels.

Pour assurer l'authentification des acteurs, on recourt à différentes techniques qui aboutissent à une signature électronique. À l'instar de la signature manuelle, elle a pour objet de valider un acte en correspondance avec celui qui l'effectue. La plus courante de ces techniques est le certificat.

2- Intégrité des composantes de la transaction

Il est capital que la transaction effectuée entre deux partenaires ne soit pas contestée dans son montant, sa date ou encore son lieu de réalisation. Les contrôles d'intégrité, qui relèvent aussi des mécanismes de cryptologie, permettent de s'assurer qu'une transaction n'a pu être altérée dans son transport sur le réseau, soit par pertes d'informations binaires qui en modifieraient le caractère initial, soit par malveillance.

3- Confidentialité

Les techniques de chiffrement visent à conserver secret le contenu d'une transaction. La plupart des protocoles couramment utilisés sur le réseau (SSL, HTTPS, MIME) permettent cette confidentialité.

Si elle est opportune pour le contenu d'un échange ou d'une transaction, elle ne présente qu'un intérêt réduit pour un acte de paiement. En effet, si les acteurs veulent dénouer la transaction, il faudra toujours que le consommateur dévoile au commerçant le montant de l'achat, la nature du moyen de paiement utilisé, l'endroit où le paiement peut être encaissé, etc.

C'est l'une des grandes méprises du commerce électronique qui fait penser au consommateur que ses transactions sont " en sécurité " parce qu'elles ne pourront pas être " lues " sur le réseau.

Or, l'essentiel de la protection n'est pas dans la confidentialité des enregistrements de paiement mais dans la conservation des données personnelles (étant donné que le piratage d'informations est plus courant sur des informations stockées que sur les informations en transit entre un consommateur et un commerçant).

On peut mettre en cause le principe même de l'authentification pour des raisons d'anonymat des achats et des paiements.

Ce point est d'ailleurs très vite devenu un paradoxe des échanges sur Internet où la protection des données personnelles est un important sujet de débat international. Il fut fort bien illustré par un caricaturiste américain montrant un chien derrière un écran avec le sous-titre "On the net, nobody knows you're a dog !" (" sur le réseau, personne ne sait que vous êtes un chien "), illustrant la force d'anonymat du nouveau média.

On sait depuis qu'il n'en est rien avec les cookies et les perspectives du marketing one to one. Pour le paiement, l'anonymat est inconcevable.

4- Non-répudiation

S'agissant d'un paiement, l'emploi du terme " répudiation " est abusif. Il est plus judicieux de parler de contestation.

Il faut distinguer la contestation d'un paiement de son caractère irrévocable. Un paiement peut toujours être contesté et le doute est levé par l'apport de preuves ; mais la loi impose qu'il soit toujours irrévocable s'il est réalisé par chèque ou par carte.

Clairement, un consommateur peut toujours, de bonne ou de mauvaise foi, contester un paiement ou une commande. Mais s'il n'est pas satisfait de la commande qui lui est livrée (retard, non-livraison, défectuosité), il ne peut pour autant " révoquer " son paiement et demander à sa banque de ne pas payer. Il doit en faire état au marchand, il s'agit alors d'un litige commercial dont le traitement s'inscrit dans le cadre de non-retour.

La contestation d'un paiement doit être rendue impossible pour son ordonnateur par la mise en oeuvre des techniques de cryptologie adéquates.

5- Conditions d'archivage

L'archivage est indispensable : il sert à effectuer des recherches et permet par exemple d'apporter la preuve des paiements en cas de contestation.
Mais il pose un réel problème de sécurité. Le plus grand risque que court un commerçant est de ne pas protéger les données relatives à un paiement ou de ne pas s'assurer de leur protection si elles sont traitées par un tiers. Il faut donc être attentif à la protection des sites et, dans le cas de sous-traitance à un tiers (banque, société de services), aux clauses contractuelles sur ce point.
Une collection de numéros de carte peut être particulièrement alléchante pour un hacker. Il y trouve des identifiants de cartes en circulation et non opposées qu'il peut utiliser, voire diffuser (comme ce fut le cas en 1999 chez un grand marchand de disques en ligne américain, CD Universe).
Les données stockées par les prestataires doivent être conservées et dupliquées, si possible en deux lieux distincts. La conservation des données répond également à des exigences légales de délais conformes à l'utilisation des différents moyens de paiement.

A propos de l'auteur:
Jean-Pierre Buthion est chargé des relations extérieures au GIE Cartes Bancaires. Il a écrit le chapitre "Paiement et sécurisation" du Guide pratique du commerce électronique (Editions Stratégies). Cet ouvrage complet réunit une équipe de 25 spécialistes du e- commerce. Pour en savoir plus sur ce guide, cliquez ici : http://www.strategiesonline.com/guides/guide_pratique/electronique/log/index.php

Fourni par ArticlesEnLigne : Annuaire d'articles gratuits - Contenu libre

Articles Régionaux
- Les 5 grands principes de sécurisation du paiement en ligne Ain
- Les 5 grands principes de sécurisation du paiement en ligne Aisne
- Les 5 grands principes de sécurisation du paiement en ligne Allier
- Les 5 grands principes de sécurisation du paiement en ligne Alpes-de-Haute-Provence
- Les 5 grands principes de sécurisation du paiement en ligne Alpes-Maritimes
- Les 5 grands principes de sécurisation du paiement en ligne Ardèche
- Les 5 grands principes de sécurisation du paiement en ligne Ardennes
- Les 5 grands principes de sécurisation du paiement en ligne Ariège
- Les 5 grands principes de sécurisation du paiement en ligne Aube
- Les 5 grands principes de sécurisation du paiement en ligne Aude
- Les 5 grands principes de sécurisation du paiement en ligne Aveyron
- Les 5 grands principes de sécurisation du paiement en ligne Bas-Rhin
- Les 5 grands principes de sécurisation du paiement en ligne Bouches-du-Rhône
- Les 5 grands principes de sécurisation du paiement en ligne Calvados
- Les 5 grands principes de sécurisation du paiement en ligne Cantal
- Les 5 grands principes de sécurisation du paiement en ligne Charente
- Les 5 grands principes de sécurisation du paiement en ligne Charente-Maritime
- Les 5 grands principes de sécurisation du paiement en ligne Cher
- Les 5 grands principes de sécurisation du paiement en ligne Corrèze
- Les 5 grands principes de sécurisation du paiement en ligne Corse-du-Sud
- Les 5 grands principes de sécurisation du paiement en ligne Côte-d'Or
- Les 5 grands principes de sécurisation du paiement en ligne Côtes-d'Armor
- Les 5 grands principes de sécurisation du paiement en ligne Creuse
- Les 5 grands principes de sécurisation du paiement en ligne Deux-Sèvres
- Les 5 grands principes de sécurisation du paiement en ligne Dordogne
- Les 5 grands principes de sécurisation du paiement en ligne Doubs
- Les 5 grands principes de sécurisation du paiement en ligne Drôme
- Les 5 grands principes de sécurisation du paiement en ligne Essone
- Les 5 grands principes de sécurisation du paiement en ligne Eure
- Les 5 grands principes de sécurisation du paiement en ligne Eure-et-Loir
- Les 5 grands principes de sécurisation du paiement en ligne Finistère
- Les 5 grands principes de sécurisation du paiement en ligne Gard
- Les 5 grands principes de sécurisation du paiement en ligne Gers
- Les 5 grands principes de sécurisation du paiement en ligne Gironde
- Les 5 grands principes de sécurisation du paiement en ligne Haute-Corse
- Les 5 grands principes de sécurisation du paiement en ligne Haute-Garonne
- Les 5 grands principes de sécurisation du paiement en ligne Haute-Loire
- Les 5 grands principes de sécurisation du paiement en ligne Haute-Marne
- Les 5 grands principes de sécurisation du paiement en ligne Hautes-Alpes
- Les 5 grands principes de sécurisation du paiement en ligne Haute-Saône
- Les 5 grands principes de sécurisation du paiement en ligne Haute-Savoie
- Les 5 grands principes de sécurisation du paiement en ligne Hautes-Pyrénées
- Les 5 grands principes de sécurisation du paiement en ligne Haute-Vienne
- Les 5 grands principes de sécurisation du paiement en ligne Haut-Rhin
- Les 5 grands principes de sécurisation du paiement en ligne Hauts-de-Seine
- Les 5 grands principes de sécurisation du paiement en ligne Hérault
- Les 5 grands principes de sécurisation du paiement en ligne Ille-et-Vilaine
- Les 5 grands principes de sécurisation du paiement en ligne Indre
- Les 5 grands principes de sécurisation du paiement en ligne Indre-et-Loire
- Les 5 grands principes de sécurisation du paiement en ligne Isère
- Les 5 grands principes de sécurisation du paiement en ligne Jura
- Les 5 grands principes de sécurisation du paiement en ligne Landes
- Les 5 grands principes de sécurisation du paiement en ligne Loire
- Les 5 grands principes de sécurisation du paiement en ligne Loire-Atlantique
- Les 5 grands principes de sécurisation du paiement en ligne Loiret
- Les 5 grands principes de sécurisation du paiement en ligne Loir-et-Cher
- Les 5 grands principes de sécurisation du paiement en ligne Lot
- Les 5 grands principes de sécurisation du paiement en ligne Lot-et-Garonne
- Les 5 grands principes de sécurisation du paiement en ligne Lozère
- Les 5 grands principes de sécurisation du paiement en ligne Maine-et-Loire
- Les 5 grands principes de sécurisation du paiement en ligne Manche
- Les 5 grands principes de sécurisation du paiement en ligne Marne
- Les 5 grands principes de sécurisation du paiement en ligne Mayenne
- Les 5 grands principes de sécurisation du paiement en ligne Meurthe-et-Moselle
- Les 5 grands principes de sécurisation du paiement en ligne Meuse
- Les 5 grands principes de sécurisation du paiement en ligne Morbihan
- Les 5 grands principes de sécurisation du paiement en ligne Moselle
- Les 5 grands principes de sécurisation du paiement en ligne Nièvre
- Les 5 grands principes de sécurisation du paiement en ligne Nord
- Les 5 grands principes de sécurisation du paiement en ligne Oise
- Les 5 grands principes de sécurisation du paiement en ligne Orne
- Les 5 grands principes de sécurisation du paiement en ligne Paris
- Les 5 grands principes de sécurisation du paiement en ligne Pas-de-Calais
- Les 5 grands principes de sécurisation du paiement en ligne Puy-de-Dôme
- Les 5 grands principes de sécurisation du paiement en ligne Pyrénées-Atlantiques
- Les 5 grands principes de sécurisation du paiement en ligne Pyrénées-Orientales
- Les 5 grands principes de sécurisation du paiement en ligne Rhône
- Les 5 grands principes de sécurisation du paiement en ligne Saône-et-Loire
- Les 5 grands principes de sécurisation du paiement en ligne Sarthe
- Les 5 grands principes de sécurisation du paiement en ligne Savoie
- Les 5 grands principes de sécurisation du paiement en ligne Seine-et-Marne
- Les 5 grands principes de sécurisation du paiement en ligne Seine-Maritime
- Les 5 grands principes de sécurisation du paiement en ligne Seine-Saint-Denis
- Les 5 grands principes de sécurisation du paiement en ligne Somme
- Les 5 grands principes de sécurisation du paiement en ligne Tarn
- Les 5 grands principes de sécurisation du paiement en ligne Tarn-et-Garonne
- Les 5 grands principes de sécurisation du paiement en ligne Territoire de Belfort
- Les 5 grands principes de sécurisation du paiement en ligne Val-de-Marne
- Les 5 grands principes de sécurisation du paiement en ligne Val-d'Oise
- Les 5 grands principes de sécurisation du paiement en ligne Var
- Les 5 grands principes de sécurisation du paiement en ligne Vaucluse
- Les 5 grands principes de sécurisation du paiement en ligne Vendée
- Les 5 grands principes de sécurisation du paiement en ligne Vienne
- Les 5 grands principes de sécurisation du paiement en ligne Vosges
- Les 5 grands principes de sécurisation du paiement en ligne Yonne
- Les 5 grands principes de sécurisation du paiement en ligne Yvelines