Pas de chèque en blanc pour le paiement en ligne

Le Web, piège à carte ? Les dernières affaires, hautement médiatisées, ont accru la défiance des consommateurs, déjà peu enclins à laisser traîner leur numéro de carte bancaire sur le réseau mondial. La dernière en date : l'affaire Bibliofind. Cette filiale d'Amazon aux Etats-Unis a dû reconnaître une faille informatique qui a permis à des pirates de récupérer 98 000 numéros de cartes de paiement... Dans son étude "La confiance, principal défi pour le commerce en ligne"*, l'association pour le commerce et les services en ligne (ACSEL) ne dit pas autre chose : "Les craintes envers la communication d'un numéro de carte bancaire sur l'Internet ou de l'usage qui en sera fait par le commerçant, apparaissent, en effet, systématiquement au premier et au second rang des facteurs de défiance des consommateurs." Pour l'heure, aucun chiffre ne recense spécifiquement la fraude liée au paiement par Carte Bleue sur le Net. Le groupement Visa International indique, de son côté, que, pour un volume de transactions par carte sur Internet de 1,3 % du volume total en Europe, 0,69 % d'entre elles sont litigieuses. Un chiffre à comparer au taux global de fraude dans le système CB en France, estimé à 0,026 % du montant total des paiements Carte Bleue (chiffres GIE-CB).

Menace sur le stockage des données

Si danger il y a, il vient moins du problème de faire transiter son numéro de carte bancaire sur Internet que de le voir stocker dans des bases de données dont la prétendue inviolabilité a fait long feu. « La transmission des données est relativement protégée aujourd'hui. C'est leur stockage chez les cyber-commerçants qui pose de réels problèmes », explique Joël Rivière, ex patron du département informatique de l'Institut de recherches criminelles de la Gendarmerie Nationale et fondateur de Lexsi, un cabinet de conseil et d'audit en sécurité informatique. Son ancien collègue, le Maréchal des Logis Allard précise de son côté : « On a aujourd'hui affaire à des "crackers", de petits arnaqueurs qui bidouillent l'informatique grâce à des programmes qu'ils récupèrent sur le Web. Eux s'intéressent surtout aux fichiers des PME-PMI qui, faute de protection, sont très faciles à pénétrer. » Et là, ça vire au cauchemar. Dans une étude récente, le CSI (Computer Security Institute) et le FBI s'alarment de l'augmentation des actes de piratage visant les sociétés. En 2001, 64 % des entreprises interrogées reconnaissent que leur système informatique a été utilisé de façon non autorisée. Une hausse spectaculaire à mettre en rapport avec les 42 % d'intrusions signalées en 1996. Le vol d'informations et de données figurant bien sûr en tête de liste des actes référencés. C'est d'ailleurs pour répondre « à [ces] usages dévoyés », comme le note Daniel Vaillant, le ministre de l'intérieur, qu'a été inauguré, le 1er octobre dernier, le nouvel Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC.) Les expériences telles Cyber comm ou celle de CB sur téléphone mobile n'ont jamais dépassé le stade des balbutiements commerciaux. Parmi les solutions les plus utilisées, la saisie des références bancaires sous protection SSL (Secure Socket Layer) reste donc de mise.

Plate-forme de transactions et de stockage

La plate-forme sécurisée Ogone, en mode ASP, permet ainsi au commerçant via l'achat d'une licence, dont l'activation coûte 2 000 francs, d'assurer la sécurité de ses transactions et le stockage des informations sensibles. Et ce, pour l'ensemble des paiements liés à la vente à distance. En France, Bayardweb ou le serveur de Fnac direct l'ont d'ores et déjà adoptée. Leur offre ? A les entendre, une panoplie de guerre. « Premier niveau usuel, la transmission du numéro est codée en SSL 128 bits, explique son directeur général, Harold Mechelynck. On peut lui adjoindre un cryptogramme visuel, le CVC, ce numéro qui figure au dos de la CB et qui n'apparaît jamais sur les tickets. C'est la garantie que le client possède bien sous ses yeux la carte. Nous utilisons aussi le AAV, un procédé d'identification de l'adresse, exclusivement mis en place chez American Express. On capture, en plus, l'adresse IP de l'utilisateur : en cas de litige, le marchand pourra ainsi le retrouver. » Surtout, Ogone ne se présente pas comme un intermédiaire bancaire. C'est, avant tout, une solution technique qui sécurise la relation entre la banque et le commerçant mais ne s'y immisce pas. Un cran au-dessus est le projet Identrus, démarré en 1994 à l'instigation de Bankers Trust, une grande banque américaine. Objectif ? Créer un réseau d'établissements financiers qui garantiraient à leurs clients la sécurité des transactions sur Internet via la création de certificats électroniques d'authentification. Assurer donc l'authentification des transactions par le biais d'une notarisation électronique en temps réel. L'initiative a été rejointe par 38 autres banques dont certaines françaises comme BNP Paribas, le Crédit Agricole, la Société Générale, et représente aujourd'hui 75 % de l'activité bancaire mondiale. Bill Gates a, par ailleurs, annoncé un accord pour mettre à la disposition, dès 2002, dans le standard de Microsoft l'offre Identrus. Reste que ce modèle mondial achoppe toujours sur les dispositions légales des pays concernés.

Des avatars en Europe

C'est du côté du "P to P", nouvel anglicisme désignant les transactions entre particuliers ("person to person") que viendra, peut-être, l'extase censément miracle. Le paiement électronique voire le micro-paiement, entend substituer à la facturation par Carte Bleue, une monnaie d'échanges virtuelle. Rien de bien sorcier : via l'envoi d'un e-mail, un internaute en avertit un autre - tous deux toutefois possesseurs d'un compte virtuel - de l'acceptation de la transaction. Cela lui permet notamment de régler ses menus achats sur le Net, de participer à des enchères ou de recevoir le montant gagné à un jeu de loterie... Aux Etats-Unis, ce type de service, par paiements sécurisés, est en pleine expansion. Le leader mondial, PayPal, compte 10 millions d'utilisateurs pour 10 millions de dollars de chiffre d'affaires. Le tout générant quelque 200 000 transactions par jour. Surtout, son système anti-fraude lui permet de se targuer d'un taux de rejet de ses transactions de 0,07 % seulement. En France, Minute Pay, qui se lance à son tour dans le paiement par e-mail, espère faire sa place au soleil. Financé par BNP Paribas, à hauteur de 20 % et Chrysalead, Minute Pay est utilisé par les clients de Banque Directe depuis août 2001. Et se positionne maintenant sur le marché des paiements entre particuliers : en ouvrant un compte, le consommateur peut régler ses transactions sur Internet jusqu'à un plafond de 5 000 F mensuel et à concurrence de 2 500 F par achat. C'est sur les sites d'enchères, de loteries ou les fournisseurs d'accès que Minute Pay pense se payer, via une commission à chaque opération. Mais, pour Alain Pinto, inventeur des célèbres "Crados" et autres "Pogs", aujourd'hui fondateur de Minute Pay, c'est aussi le secteur du marketing direct qu'il vise : « Pour toutes les sociétés qui doivent émettre des chèques de montant parfois dérisoire dans le cadre de bons de réduction, nous sommes le prestataire idéal. » Le concept bute toutefois sur le fait de représenter un énième tiers bancaire, entre le commerçant et le client. Avec un problème de taille : posséder suffisamment de fonds propres pour, en cas de charge back, assurer l'intégralité des demandes de remboursements. A vouloir ainsi récupérer un morceau de l'Eldorado bancaire, certains s'y sont proprement enlisés. C'est le cas de Qpass, référence américaine du micro-paiement, qui ferme ses activités en Europe pour se recentrer sur ses bureaux outre-Atlantique. Installé sur le vieux continent depuis seulement octobre 2000, Qpass aura mis moins de 10 mois pour fermer son siège de Dublin et ses bureaux régionaux européens. Une décision « hautement stratégique », aux dires de Thérèse Wells, directrice marketing du groupe, qui ressemble à s'y méprendre à un sauve qui peut. Même sentiment chez Blue Line, dont le fondateur Abdallah Hitti a placé sa société en liquidation, vingt mois seulement après avoir été lâché par le groupe BNP Paribas dans le développement de sa première plate-forme de paiement sécurisé, Kleline. « Une crise de croissance », selon le fondateur qui n'a, de fait, pas réussi à généraliser sa solution.

Solution de monétisation

Plus ambitieuse est la solution de monétisation entre opérateurs et fournisseurs de contenus, NetToll, développée par Enition, qui doit officiellement se déployer au premier semestre 2002 en Europe. Un concept d'autant plus intéressant qu'avec la chute des budgets publicitaires, les sites cherchent désespérément une solution pour monnayer leurs contenus. Selon l'étude Jupiter-MMXI, les tarifs des bannières ont, en effet, chuté de plus de 30 % en Europe au premier semestre 2001 et il resterait 60 % d'espaces publicitaires non vendus. Dans un premier temps, tout ce qui touche le paiement à l'acte et en priorité l'achat de produits par téléchargement est concerné (lecture d'un quotidien, consultation d'archives, accès à des fonds d'images...). Enition espère ainsi rapidement essaimer : « Nous avons la même approche que le Minitel, explique Stéphane Gérard, directeur technique. Ce qui permet aux opérateurs et aux fournisseurs d'accès d'échanger des unités de valeurs, des "jetons" sans que leur client ait une démarche active de paiement. Si Reuter, qui teste notre pilote, conclut un accord avec un ISP européen, les achats de son client se traduisent en unités de volume que comptabilise une passerelle technique commune. A une date donnée, les deux parties émettent un ticket de compensation et se facturent mutuellement. » Beau laïus qui manque toutefois d'une démonstration tangible. Car le problème de l'authentification de la transaction, et donc in fine de la répudiation possible de l'opération, ne sont toujours pas résolus. « Sur certains sites adultes, le client se voit offrir une gratuité d'accès pendant trois jours. Au-delà, il aura la mauvaise surprise de découvrir sur son relevé bancaire ou sa note de téléphone, que sa visite était surfacturée. D'où une accumulation de contentieux : le client naturellement s'estimant lésé », explique le MDL Allard de la Gendarmerie Nationale.

Les internautes sont-ils prêts à payer ?

Les internautes seront-ils d'accord pour payer une information jusque là gratuite sur le Net ? « Non, affirme Marie-Christine Levet, ex directrice pour la France de Lycos. Les deux fondements du Net sont l'aspect communautaire et la gratuité de l'information. Aujourd'hui, il est trop tard pour revenir en arrière. »** Le fiasco de Napster où le nombre de téléchargements a chuté de près de 80 % depuis son passage au payant semble lui donner raison. Pourtant, ils sont de plus en plus nombreux à tenter un retour vers la réalité mercantile. Bayardweb, ainsi, a choisi de privilégier l'abonnement : moyennant 4 euros (26, 24 F) mensuels, l'internaute accédera à l'offre "famille", un portail communautaire et à l'un des sites du bouquet (clicdapi.com, astrapi .com, phosphore.com, notretemps.com, croire.com). « Notre stratégie commerciale s'appuie sur la conquête de l'abonnement. C'est le meilleur moyen d'avoir un lien durable avec notre public. C'est aussi le moyen de financer durablement la création du site », affirme Olivier Jay, directeur général et gérant de Bayardweb, qui estime avoir jusqu'en 2006 pour assurer la viabilité de son projet. Une stratégie qui se pose dans la continuité : « 90 %, en effet, de la diffusion des magazines du groupe est réalisée par abonnement. Ce qui pour la France représente 3 millions de personnes », précise cet ancien responsable du mensuel Enjeux-les Echos. Un pari qu'il sait osé alors que l'Internet marchand s'interroge sur sa survie. * ACSEL, "La confiance, principal défi pour le commerce électronique", juin 2001. ** citée par Jacques Henno, Idées reçues, Internet. Ed. Le cavalier bleu, 2001.

E-commerce : aucune donnée chiffrée de la fraude

Aux Etats-Unis, entre 22 et 28 millions de foyers américains ont dépensé de 30 à 65 milliards de dollars, selon les estimations, sur des sites marchands en l'an 2000. Un chiffre qui ne représente toutefois qu'1 % du total de la consommation des ménages. L'Europe, elle, deuxième marché du commerce électronique, accuse toujours du retard. Selon les estimations du cabinet Accenture, les achats des particuliers y représentent environ 8 milliards de dollars. Pour l'Hexagone, l'achat sur Internet est estimé à 4 milliards de francs. Aucun chiffre officiel, à l'heure actuelle, ne globalise la fraude sur Internet. L'escroquerie à la carte bancaire sur les sites marchands aurait pourtant avoisiné les 3 millions d'euros (20 millions de francs) en 2000. Au Centre national de lutte contre la délinquance de haute technologie de la Gendarmerie Nationale, 700 plaintes de particuliers seulement ont été enregistrées en 2000 pour des fraudes variant en moyenne de 100 à 300 F.

Une e-Carte Bleue pour l'achat en ligne

Le groupement Carte Bleue vient de mettre au point une Carte Bleue virtuelle dynamique baptisée, "e-carte bleue". Elle se veut d'une utilisation simple pour l'acquéreur potentiel : après s'être inscrit auprès de sa banque - et ainsi recevoir un identifiant et un mot de passe, l'acheteur télécharge un logiciel pour se mettre en relation avec sa banque. Apparaît alors un icône permanent CB sur son poste qu'il active lors de ses achats. Lorsque le client pénètre dans la zone de transaction du site, sa banque lui fournit un numéro de carte virtuelle qu'il n'a plus qu'à inscrire dans le formulaire du site marchand. Seul donc ce numéro à 16 chiffres circulera sur la Toile.