Paiement électronique | Mars 2004


Interview de M. Grossenbacher et de M. Roland Greber

Interview de M. Grossenbacher, 'Head of e-/m-commerce' de Telekurs Multipay, sur le e-paiement et les fraudes en Suisse

Interview de M. Roland Greber, 'product manager e-payment' de PostFinance, sur le paiement par carte de débit en Suisse

Interview de M. Grossenbacher

Cette interview aborde les questions de la fraude lors de e-paiements sur Internet et des moyens de sécurité pour la combattre.

M. Grossenbacher, Telekurs est le leader en Suisse pour l’acceptation de transactions de paiement par cartes de crédit. Quelle est la situation aujourd’hui en Suisse concernant les litiges (contestations et fraudes) lors de transactions de e-commerce ? Quelle est la tendance ?

Globalement, pour les transactions dites ‘de commerce à distance’, dont ni la carte de crédit, ni son détenteur ne sont présents, le nombre de litiges est en augmentation et le niveau de ces derniers est également en hausse.

A quoi peut-on attribuer cette tendance ?

L’augmentation du volume des transactions généré par le e-commerce est certainement un des facteurs. Il est également plus facile de commettre une fraude par Internet que dans le monde ‘réel’. Finalement, il y a aussi certains consommateurs qui cherchent à profiter du contexte et contestent les transactions qu’ils ont effectuées.

Les nouveaux protocoles de e-paiement, tels que 3-D Secure ('Verified by Visa', 'MasterCard SecureCode'), qui identifient le client, le marchand et l’émetteur de la carte lors de la transaction permettent-ils de réduire le taux de litiges ?

Ces nouveaux systèmes sont en cours d’introduction et il est encore trop tôt pour répondre. Ces systèmes introduisent une étape supplémentaire dans le processus de paiement durant laquelle l’émetteur de la carte identifie le détenteur de celle-ci au moyen d’un mot de passe. Etant donné que la majorité des litiges sont les contestations des détenteurs, ces nouveaux protocoles de paiement devraient donc notablement réduire le nombre de litiges. Il faut également noter qu’avec l’identification du titulaire de la carte, le risque de débiteur passe du commerçant à l’émetteur de la carte.

Qu'en est-il de la confiance des utilisateurs ? Sont-ils plus enclins aujourd’hui à utiliser leur carte de crédit sur Internet ?

Les dernières études de marché montrent que la confiance des Internautes augmente. Il reste toutefois encore beaucoup à faire, principalement chez les émetteurs de carte, pour populariser les méthodes sûres de paiement. Le développement de nouveaux standards de sécurité tels que 3-D Secure est une mesure dans ce sens.

Quelles mesures complémentaires les e-commercants devraient-ils prendre pour diminuer le taux de litiges et augmenter la confiance des clients ?

Les e-commerçants peuvent faire beaucoup en adoptant des mesures simples. Parmis celles-ci : controler les n° CVC2 et CVV2 (au dos de la carte), relever le numéro de téléphone, valider les adresses postales, refuser les adresses email gratuites, détecter les commandes suspectes, etc… (Note : les recommandations de Telekurs à l’intention des e-commerçant pour réduire le risque de fraude dans le commerce de distance sont disponibles ici.)

Quelles autres solutions existe-t-il sur le marché pour rendre les transactions de e-paiement encore plus sûres ?

Les préstataires de services de paiement (PSP) intègrent des fonctions de validation de transaction, telles celles citées ci-dessus ou alors reliées à des bases de données, à leurs logiciels.

Le e-paiement par cartes de crédit sera-t-il un jour aussi sûr qu'un paiement par cartes dans le monde 'réel' ?

La technologie existe déjà depuis quelque temps mais sa mise en œuvre, et surtout son adoption, prendra encore du temps. Il faut également que la technologie en question n’impose pas trop de contraintes aux clients. Le protocole SET, aujourd’hui abandonné, offrait un haut niveau de sécurité des transactions, avec identification des parties. La solution techniquement au point, mais ignorant les contraintes pour le client (l’installation de software et d’un certificat sur son ordinateur), n’a pourtant pas réussi à s’imposer.



Réalisé par Michel Fischer

 

Interview de M. Roland Greber

Cette interview aborde la question du e-paiement par carte de débit et les aspects de sécurité des transactions de e-paiement.

LeShop va prochainement implémenter une solution de e-paiement par Postcard sur son site. Comment cela fonctionne-t-il ? Est-ce au travers de votre système yellowpay ?

Les clients qui désirent payer avec la Postcard passeront par le masque de paiement qui fait partie de la prestation yellowpay. LeShop utilise Datatrans en tant que paiement service provider (PSP) et c’est ce dernier qui, dès que le serveur LeShop transmet une requête de paiement par Postcard, contacte le serveur yellowpay pour afficher le masque de paiement. Le client doit alors saisir son n° de compte jaune pour effectuer le débit direct ainsi que son n° de Postcard comme moyen d’identification.

Quels standards de sécurité sont intégrés à la solution yellowpay? Comment la transaction de e-paiement est-elle sécurisée ?

Les données qui transitent entre le PC du client et le serveur yellowpay sont encryptées à l’aide du protocole SSL avec une clé de 128 bits. Pour l’identification du client, seuls le client et PostFinance connaissent les éléments d’identification, contrairement aux solutions de e-paiement par cartes de crédit où le numéro de la carte et sa date d’échéance sont également connus de l’accepteur de cartes de crédit.

Quels sont les contrôles effectés du côté de PostFinance lors d'une transaction de e-paiement par Postcard au travers de yellowpay ?

Pour un paiement ‘PostFinance DebitDirect’ les contrôles consistent en la vérification du lien entre le n° de PostCard et le n° de compte jaune d’une part et d’autre part que le compte jaune ne soit pas bloqué.

Pour un paiement ‘PostFinance Yellownet’, les éléments d’identification doivent être corrects, le compte ne doit pas être bloqué, le client doit être autorisé à débiter le compte et le solde doit être suffisant.

Les standards techniques et les contrôles de transactions permettent d’avoir des solutions de e-paiement beaucoup plus sûres aujourd’hui mais qu'en est-il de la confiance des utilisateurs ? Sont-ils plus enclins aujourd'hui à utiliser leur Postcard ou une carte de crédit sur Internet ? Les statistiques montrent-elles une évolution dans ce sens, un changement d’attitude ?

La confiance des utilisateurs est en hausse et ceci se reflète dans les statistiques qui indiquent une augmentation du nombre de transactions ainsi que du nombre de e-commerces.

Quelles mesures complémentaires les e-commercants et leurs partenaires devraient-ils prendre pour améliorer encore la sécurité des transactions de e-paiement et augmenter la confiance des clients ?

Les e-commerçants devraient utiliser le dernier standard de sécurité 3-D Secure (‘MasterCard SecureCode’ et ‘Verified by Visa’) pour les e-paiements par cartes de crédit. Ces nouveaux systèmes vont certainement permettre d’augmenter encore la confiance des utilisateurs. Les e-commerçants travaillant avec yellowpay peuvent utiliser ces nouveaux moyens de e-paiement sans adaptation technique (voir www.swisslotto.ch qui utilise déjà ces services au travers de la plate-forme yellowpay).

Quelle est la situation en suisse concernant les contestations et les fraudes lors de transactions de e-commerce ? La tendance est-elle à la hausse ou plutôt à la baisse ?

Je peux uniquement répondre en ce qui concerne les e-paiements par le compte jaune. Nous avons très peu de contestations et ces dernières concernent toutes le mode de paiement ‘PostFinance DebitDirect’. Les e-commerçants acceptent contractuellement la possibilité de révocation mais ces dernières sont rares.

Pour les e-paiements par ‘PostFinance Yellownet’ il n’y a pas de possibilité de contestation et, en raison des mécanismes d’identification très stricts, il n’y a pas de fraudes. Ces modes de paiement très sûrs permettent également d’augmenter la confiance des utilisateurs. Ils seront dès lors plus enclins à effectuer des achats dans des e-commerces qui leur étaient jusque là inconnus.

Et pour les cartes de crédit ?

Il serait intéressant d’avoir la réponse d’un institut financier qui offre des contrats pour l’acceptation de cartes de crédit sur Internet. Le fait que MasterCard et Visa sont en train d’introduire des nouveaux mécanismes pour la vérification d’identité des clients (‘MasterCard SecureCode’ et ‘Verified by Visa’) semble indiquer qu’ils ont eu une augmentation des cas de fraudes ou de contestations.

En l’absence de l’identification du client que se passe-t-il en cas de contestation d’une transaction de e-paiement par Postcard au travers de yellowpay? Qui prend la responsabilité du risque de débiteur ?

Postfinance vérifie toujours l’identité du client lors de la demande d’autorisation. Si l’identification ne peut être effectuée ou si les éléments d’identification ne jouent pas, alors l’autorisation de paiement n’est pas accordée.

Généralement, que manque-t-il aux systèmes de e-paiement actuels pour rendre les transactions aussi ‘sûres’ que dans le monde ‘réel’ ?

Le problème principal est que ni le client ni la carte ne sont présents chez le commerçant au moment de la transaction. Ceci pose un défi. Différentes solutions, telles les lecteurs de carte sur les PCs des clients pourraient être un pas dans la bonne direction.

Le e-paiement par cartes de crédit sera-t-il un jour aussi sûr qu'un paiement par cartes dans le monde 'réel' ?

Les e-paiements par ‘PostFinance DebitDirect’ et ‘PostFinance Yellownet’, pour les cartes de débit, ou ‘Verified by Visa’ et ‘MasterCard SecureCode’ pour les cartes de crédit sont déjà aussi sûrs qu’un paiement traditionnel.

Pour les autres modes de paiement c’est aux instituts financiers d’en juger et d’apporter des solutions pour rendre ces modes de paiement aussi sûrs.

Et vous M. Greber, que pensez-vous personnelement de la question du e-paiement (sécurité, fraudes, etc…) ?

PostFinance offre pour le commerce électronique deux modes de paiement par le compte jaune, qui répondent aux besoins du marché et qui correspondent aux exigences internes concernant la sécurité et le risque de fraudes.

Avec ‘MasterCard SecureCode’ et ‘Verified by Visa’ le monde des cartes de crédit a aussi trouvé un moyen pour pouvoir développer activement ce marché du e-commerce. En éliminant certaines des barrières, ces solutions offrent aujourd’hui aux e-commerçant potentiels des modes de e-paiement tout à fait adaptés au e-commerce.



Réalisé par Michel Fischer


dossier préparé par:


Pierre Bezençon, Michel Fischer, Béatrice Fournier