(Last update : Wed, 1 Sep 1999)
[ Internet et PME ]
4.1.3.1.4
La sécurité : Le risque réel n'est pas toujours où l'on croit
Le
problème de sécurité souvent évoqué,
rarement à bon escient, devient néanmoins un vrai problème
quand les craintes qu'il inspire deviennent un des facteurs inhibant au
développement du commerce électronique.
Examinons donc quelques-unes des multiples facettes de cette question.
La sécurité pour le client : certes il n'est pas
très difficile de détourner un message, mais encore faut-il le
décrypter (les transactions par carte se font en général
à travers SSL - secure socket layer - qui en assure le cryptage).
Bien entendu il est possible de casser ce code s'il est limité à
40 bits : en 1988 cela nécessitait 1 heure de calcul pour 100
micro-ordinateurs en réseau "vous n'allez pas vous donner tout ce mal
pour un achat de 300 F"(Bernard Siouffi du Syndicat de la VPC)
Il est infiniment plus facile
- de récupérer des facturettes qui traînent dans
les hypermarchés
- d'utiliser le "skimming", lecteur miniature de cartes de
crédit, utilisé par des serveurs indélicats dans les
restaurants et qui permet de lire et de stocker en un instant les
données d'une carte
- ou d'acheter des listes de numéros de carte avec leur date de
validité auprès des portiers d'hôtel de certains pays de
l'Est qui s'en sont fait une spécialité avec de véritables
gangs spécialisés (et ce n'est malheureusement pas seulement une
spécialité russe puisqu'un restaurateur français vient de
se faire prendre la main dans le sac) :
Avec le passage à 128 bits le risque de vol de numéro sur le
réseau, déjà infime, deviendra tout à fait
infinitésimal.
Il n'a pas été porté à notre connaissance un
seul cas de vol de numéros de cartes sur Internet. Par contre
plusieurs cas de vol ou de détournement de fichiers de numéros de
cartes se sont produits chez des commerçants (ces numéros
ayant été connus de ces derniers aussi bien par Internet que par
fax, téléphone ou achat dans la boutique physique)
Citons par exemple le cas de la banque Noris Verbraucherbank .
http://www.norisverbraucherbank.de cité par les DNA
http://www.dna.fr (en
général les victimes préfèrent taire leur douleur
mais dans ce cas l'entreprise avait offert une récompense) qui s'est
fait délester de 500.000 Mark et le pirate qui avait réussi
à pénétrer sur son serveur, réclamait 1 million de
Mark pour ne pas divulguer les codes bancaires
Certains sites commerciaux sont, il faut le dire particulièrement
négligents en matière de sécurité: le Canard
Enchaîné du 10 mars 1999 cite le cas d'un internaute qui est
tombé...par mégarde et sans manipulation spéciale sur la
liste des clients avec les N° de carte de crédit et les dates de
validité!
|
Par ailleurs, rappelons qu'il existe une multitude de logiciels disponibles
sur Internet qui génèrent des numéros de carte et que,
sans même que vous, ni votre marchand n'ait commis la moindre imprudence
votre carte peut se trouver débitée !
|
Creditmaster par exemple peut générer des
numéros personnalisés pour 1400 banques ou établissements
financiers dans le Monde (Netsurf mars 99)
|
Signalons également le risque qu'un commerçant indélicat
vous facture d'autres dépenses que celles que vous avez
effectuées (contravention indue imputée par un loueur de
voiture, facturation de 5 voitures au lieu d'une seule par un autre loueur,
double débit pour une même dépense, poursuite des
débits sur un abonnement résilié, pour n'en citer que
quatre qui nous ont été rapportés durant cette mission
...).
Enfin il convient de signaler le risque du "shoulder surfing" qui
consiste pour un observateur attentif ou une camera de surveillance à
lire le mouvement de vos doigts pendant que vous tapez votre code secret, vous
privant largement de vos moyen de recours contre un paiement contesté.
Le véritable risque est de posséder une carte de paiement tant
que la carte à puce ne se sera pas imposée, ce n'est pas de
l'utiliser sur Internet.
La sécurité pour le fournisseur trois cas sont à
distinguer :
- Lorsqu'il s'agit des biens immatériels livrés "on line"
(logiciels, musique, jeux, photos et vidéo, ...): le risque est alors
tout à fait réel ;
Gérard Fournier (Netsurf 99) indique que lors du
lancement de Soft Gallery 20 % des achats étaient des tentatives
de fraude.
De nombreuses méthodes existent pour limiter ce risque
(développées essentiellement par les spécialistes de sites
pour adultes particulièrement exposés à ce risque) qu'il
serait trop long de développer ici (voir
www.sevpcd.com ,
www.solftgallery.fr ou
www.certifier.com).
Mais soulignons qu'en cas de fraude le seul préjudice est une
non-rentrée d'argent, assimilable au préjudice subi lors d'une
copie illicite : c'est un manque à gagner plus qu'une perte.
- Lorsqu'il s'agit de livrer un bien physique : vous connaissez
l'adresse de livraison
Quand vous livrez dans un pays OCDE avec des règles de droit, une police
et une justice efficace, les risques sont faibles :
|
Floritel, fleuriste sur le Web déclare en près
de deux ans d'expérience qu'il n'a pas eu à déplorer une
seule tentative de fraude.
|
Quand vous acceptez le risque de livrer, après un paiement par carte,
dans un pays à structure juridique floue, vous prenez effectivement un
vrai risque
Netsurf relate la mésaventure d'Hervé le Billon (
http://www.bretagne-brittany.com
) qui a accepté de livrer 8 pulls à un habitant de
Vladivostok payé par la carte bleue, évidemment bien
créditée, d'une américaine. On devine la suite.
De même Catherine Leroy, avec ses vêtements de haute couture
voir
page 116 reconnaît avoir
été plusieurs fois abusée par des commandes venant des
pays de l'Est
|
- La sécurité pour la banque : c'est un problème
que nous n'aborderons pas ici. Signalons seulement que si Internet ne
représente aujourd'hui que 2 % des paiements par carte, il
représente la moitié des contentieux.
Néanmoins certains émetteurs de moyens de paiement faisant
d'internet leur cheval de bataille assurent gratuitement leurs clients contre
toute utilisation frauduleuse de la carte
