[ Yolin | 2004 | Sommaire ]

4.1.3.1.4 La sécurité : Le risque réel n'est pas toujours où l'on croit

Le problème de sécurité souvent évoqué, rarement à bon escient, devient néanmoins un vrai problème quand les craintes qu'il inspire deviennent un des facteurs inhibant au développement du commerce électronique.

Voir aussi page 70

Examinons donc quelques-unes des multiples facettes de cette question.

La sécurité pour le client : certes il n'est pas très difficile de détourner un message, mais encore faut-il le décrypter (les transactions par carte se font en général à travers SSL - secure socket layer - qui en assure le cryptage).

Bien entendu il est possible de casser ce code s'il est limité à 40 bits : en 1988 cela nécessitait 1 heure de calcul pour 100 micro-ordinateurs en réseau "vous n'allez pas vous donner tout ce mal pour un achat de 300 F"(Bernard Siouffi du Syndicat de la VPC)

Il est infiniment plus facile

Le plus gros cambriolage du Y2K fut le 22 décembre 2000 le vol de 3,7 millions de numéros de cartes de crédit chez EggHead!

quelques jours auparavant c'est CreditCard.com qui s'en était fait dérober 55.000: devant le refus de payer une rançon les pirates ont publié tous ces numéros sur le web (site de "carding") de même pour les 30.000 numéros dérobés à CD Universe

le 8 mars 2001 le FBI annonçait le vol par des pirates Russes de plus de 1 million de numéros de cartes dans 40 entreprises (depuis début 2000 la fraude à la carte de créditarrive en tête des délits économiques en Russie)

Ce piratage ne se fait d'ailleurs pas toujours par des moyens technologiques sophistiqués

Kevin Mitnick le pirate le plus célèbres avait surtout usurper les identités pour pénétrer physiquement dans les locaux des sociétés qu'il allait pirater afin de voler les mots de passe et "le plus grand réseau de pirates bancaire de l'histoire", pour reprendre les termes du FBI, avaient tout simplement introduit un complice chez Teledata Communications, plateforme technique utilisée par les principales sociétés de crédit américaines ...

Avec le passage à 128 bits le risque de vol de numéro sur le réseau, déjà infime, deviendra tout à fait infinitésimal

Malgré tout, et c'est un réel problème, le paiement online est fortement pénalisé, plus que dans d'autres pays, par les craintes des consommateurs. L'explication nous semble venir la rémanence de certaines actions de communication

Or chacun sait qu'il est infiniment plus facile de semer le trouble dans les esprits que de créer un climat de confiance et l'on ne peut que constater que malgré des efforts notablement supérieurs en France pour créer les conditions de la confiance nous sommes en net décalage sur ce point avec nos voisins

une étude commandée par la Commission pour évaluer la confiance des consommateurs vis à vis d'Internet http://europa.eu.int/rapid/start/cgi/guesten.ksh?p_action.gettxt=gt&doc=IP/0 3/1265%7C0%7CRAPID&lg=FR affiche un indice global de confiance moyen de 7,08 pour un maximum de dix. Avec un score de 8,41, la Finlande arrive en première position, suivie des Pays-Bas, de la Suède et des autres pays de l'Europe du Nord: La France ne se classe qu'à la 9e position, avec un indice de confiance de seulement 6,96

Pourtant les sites français ont fait plus d'efforts dans ce domaine que les autres:

Si seulement 26% des sites européens de commerce électronique examinés permettent d'accéder facilement aux informations relatives à la sécurité, la proportion atteint 47% pour les sites français. L'étude avance également qu'à peine 55 % des sites de commerce électronique offrent une information claire en matière de sécurité, la France arrivant à nouveau en tête avec un score de 77 %.

Il n'a pas été porté à notre connaissance un seul cas de vol de numéros de cartes sur Internet. Par contre plusieurs cas de vol ou de détournement de fichiers de numéros de cartes se sont produits chez des commerçants

Citons par exemple le cas de la banque Noris Verbraucherbank . www.norisverbraucherbank.de cité par les DNA www.dna.fr (en général les victimes préfèrent taire leur douleur mais dans ce cas l'entreprise avait offert une récompense) qui s'est fait délester de 500.000 Mark et le pirate qui avait réussi à pénétrer sur son serveur, réclamait 1 million de Mark pour ne pas divulguer les codes bancaires

Certains sites commerciaux sont, il faut le dire particulièrement négligents en matière de sécurité: le Canard Enchaîné du 10 mars 1999 cite le cas d'un internaute qui est tombé...par mégarde et sans manipulation spéciale sur la liste des clients avec les N° de carte de crédit et les dates de validité!

Par ailleurs, rappelons qu'il existe une multitude de logiciels disponibles sur Internet qui génèrent des numéros de carte et que, sans même que vous, ni votre marchand n'ait commis la moindre imprudence votre carte peut se trouver débitée !

Creditmaster par exemple peut générer des numéros personnalisés pour 1400 banques ou établissements financiers dans le Monde (Netsurf mars 99)

Signalons également le risque qu'un commerçant indélicat vous facture d'autres dépenses que celles que vous avez effectuées (contravention indue imputée par un loueur de voiture, facturation de 5 voitures au lieu d'une seule par un autre loueur, double débit pour une même dépense, poursuite des débits sur un abonnement résilié, pour n'en citer que quatre qui nous ont été rapportés durant cette mission ...).

Enfin il convient de rappeler le risque du "shoulder surfing" qui consiste pour un observateur attentif ou une camera de surveillance à lire le mouvement de vos doigts pendant que vous tapez votre code secret, vous privant largement de vos moyen de recours contre un paiement contesté.

Le véritable risque est de posséder une carte de paiement: ce n'est pas de l'utiliser sur Internet.

Netsurf signale dans ce domaine une "arnaque" de plus en plus fréquente: un débit de faible montant (quelques dizaines de franc) récurrent comme un abonnement (...mais qui touche un très grand nombre de comptes). Souvent la somme passe inaperçue, ou son faible montant dissuade le possesseur de la carte d'entamer les formalité pour faire recréditer son compte.

L' été 2000 les factures "Web transaction" ont fait de très nombreuses victimes ...dont la plupart n'avaient jamais mis le nez sur le web: seule solution, changer de carte bancaire (...ou réapprendre à vivre sans)

Au terme d'une enquête publiée dans son édition du 19 juillet 2001, le bi-mensuel Le Monde du Renseignement affirme:

"Depuis quelques semaines, les hackers disposent d'une véritable machine à fabriquer des fausses cartes bleues grâce à un simple logiciel, mis en ligne gratuitement sur Internet par un pirate" et ajoute "la confiance en la sécurité des cartes bancaires à puces ne repose plus que sur des campagnes de communication" www.intelligenceonline.fr/p_Index.asp reste néanmoins à s'approvisionner en cartes vierges...

La sécurité pour le fournisseur trois cas sont à distinguer :

Gérard Fournier (Netsurf 99) indique que lors du lancement de Soft Gallery 20 % des achats étaient des tentatives de fraude.

De nombreuses méthodes existent pour limiter ce risque (développées essentiellement par les spécialistes de sites pour adultes particulièrement exposés à ce risque) qu'il serait trop long de développer ici (voir www.sevpcd.com , www.solftgallery.fr ou www.certifier.com).

Mais soulignons qu'en cas de fraude le seul préjudice est une non-rentrée d'argent, assimilable au préjudice subi lors d'une copie illicite : c'est un manque à gagner plus qu'une perte.

Quand vous livrez dans un pays OCDE avec des règles de droit, une police et une justice efficace, les risques sont faibles:

Floritel, fleuriste sur le Web déclare en près de deux ans d'expérience qu'il n'a pas eu à déplorer une seule tentative de fraude.

Quand vous acceptez le risque de livrer, après un paiement par carte, dans un pays à structure juridique floue, vous prenez effectivement un vrai risque 

Netsurf relate la mésaventure d'Hervé le Billon (www.bretagne-brittany.com ) qui a accepté de livrer 8 pulls à un habitant de Vladivostok payé par la carte bleue, évidemment bien créditée, d'une américaine. On devine la suite.

De même Catherine Leroy, avec ses vêtements de haute couture voir page 180 reconnaît avoir été plusieurs fois abusée par des commandes venant des pays de l'Est

Une escroquerie à la carte de crédit pourrait coûter 460 000 CHF à plusieurs entreprises suisses. Les fraudeurs, qui opéraient de Côte-d'Ivoire, commandaient des montres de luxe par e-mail avec des numéros de carte de crédit volés.

Néanmoins certains émetteurs de moyens de paiement faisant d'internet leur cheval de bataille assurent gratuitement leurs clients contre toute utilisation frauduleuse de la carte

Voir les conseils de la National Consumer League http://nclnet.org/shoppingonline

sur Evariste sur le Web
nous écrire
Evariste ©1996-2007
URL : http://www.evariste.org/new/index.html

(Last update : Fri, 9 Feb 2007)