Toute l’information juridique et patrimoniale
pour prendre les bonnes décisions
Accueil > Argent > Banque > Payer en toute sécurité sur internet

Payer en toute sécurité sur internet

Payer en toute sécurité sur internet
Mars 2004
Le Particulier n° 975, article complet.
Auteur : DESHAYES (Sylvain)

Quels risques prend-on à payer ses achats sur internet ? Pas plus qu'en réglant dans une boutique,car la plupart des paiements en ligne sont sécurisés. à condition de respecter quelques règles de prudence.

Près d'un foyer français sur trois (29 %) dispose d'un ordinateur et d'une connexion Internet à domicile. Pourtant, les sociétés de vente à distance n'enregistrent encore qu'à peine 10 % de leurs commandes par ce moyen. Parmi les facteurs expliquant la réserve des consommateurs, la peur de communiquer leur numéro de carte bancaire figure en bonne place. Pourtant, le réglement en ligne ne présente pas de risque spécifique.

Lors d'un paiement en ligne, le consommateur saisit le numéro de sa carte bancaire et la date limite de validité sur une page Internet sécurisée. Ces données sont ensuite transmises en mode crypté, selon un protocole international agréé dit SSL (Secure Sockets Layer), reconnu par les principaux logiciels de navigation sur le Web, en particulier Microsoft Internet Explorer et Netscape Navigator. Cette "clé" change à chaque transaction effectuée. Une fois ces données envoyées, deux cas de figure peuvent se présenter du côté du cybercommerçant. Soit les données de paiement sont stockées directement sur son serveur, ou sur celui d'une banque ou d'un sous-traitant informatique – c'est ce que font la très grande majorité des cyber-commerçants français, dont les grandes enseignes comme sncf.com, laredoute.fr, camif.fr, fnac.com, amazon.fr, 3suisses.fr, alapage.com... Soit le commerçant en ligne recueille les données, qu'il entre ensuite manuellement dans un terminal de paiement pour les transférer à la banque avec laquelle il a signé un contrat. Cette façon de procéder ne concerne qu'une minorité de sites, le plus souvent des vendeurs peu connus réalisant des volumes de vente limités.

Pendant une transaction, les risques de fraude sont quasi-nuls.

À ce jour, aucun cas de piratage des données bancaires d'un consommateur, pendant une transaction, n'a été relevé en France. Les origines du piratage de carte bancaire, bien connues, n'ont rien à voir avec Internet. "Il est le fait de délinquants qui recopient les numéros de carte qu'ils voient passer, détournent des facturettes chez des commerçants ou font des copies de cartes à l'insu des consommateurs, afin d'utiliser ces données pour procéder, ensuite, à des commandes frauduleuses", témoigne le commissaire Emmanuel Fleury, spécialiste de la fraude sur Internet à la brigade des faux moyens de paiements de Paris. Sur Internet, les risques sont ailleurs. D'abord, il n'est pas exclu qu'un commerçant en ligne indélicat ou une personne bien placée (dans une banque, par exemple) détourne des numéros de cartes qu'il reçoit. Le risque est faible mais il existe. Ensuite, il est techniquement possible de "piller" le contenu des serveurs informatiques sur lesquels de nombreux commerçants conservent les numéros de cartes, essentiellement pour lutter contre les escroqueries (pour repérer les opérations ou adresses de livraison suspectes). Mais ces serveurs font l'objet de nombreuses mesures de sécurité et, de ce fait, les pirates informatiques (les "hackers") doivent se montrer particulièrement habiles. Les seuls cas connus, peu nombreux, se sont produits aux États-Unis. Enfin, un nouveau type de fraude vient de faire son apparition, mais il est encore rare : il s'agit du "phishing" (un dérivé de "fishing" : aller à la pêche). Le faussaire transmet un e-mail à des particuliers, les invitant à donner leurs coordonnées personnelles et bancaires (sous le prétexte de les vérifier, par exemple), grâce à un lien qui renvoie sur un site dont le logo et l'orthographe ressemblent à s'y méprendre à un site très connu. Il ne faut donc jamais répondre aux sollicitations de ce type qui sont effectuées par mail.

Payer sur Internet suppose un minimum de précautions.

Pour éviter que vos coordonnées bancaires se retrouvent entre les mains de fraudeurs, il suffit de faire preuve d'un minimum de vigilance. Première précaution : vérifiez l'identité du site marchand auquel vous vous adressez. "Il faut acheter sur des sites connus", insiste Bertrand Pineau, de la Fédération des entreprises de vente à distance (Fevad). Ceci implique une très grande prudence vis-à-vis des sites étrangers. Le nom, l'adresse, le numéro de téléphone doivent être facilement repérables, de préférence sur la page d'accueil. S'adresser pour la première fois à un site peut susciter quelques craintes, même s'il décline son identité. D'où l'intérêt des marques de confiance, comme L@belsite, qui fédère des sites parfaitement identifiés, ou FIA Net (créé à l'initiative d'Axa), qui regroupe environ 1 000 commerçants répertoriés. Cependant, l'assurance — certes gratuite — proposée par FIA Net en cas de fraude au cours du paiement en ligne sert davantage à rassurer le consommateur, puisque, comme nous l'avons vu, il n'y a eu jusqu'ici aucun incident de ce type. Les sites Internet de FIA Net et L@belsite publient une fiche par commerçant, sur laquelle figurent leurs coordonnées et, parfois, leur numéro d'immatriculation au RCS (registre du commerce et des sociétés).

Deuxième précaution : vérifiez que vous utilisez un système de transaction sécurisé. Au moment de payer, l'adresse de la page Internet qui s'affiche en haut du navigateur doit commencer par "https", le "s" signifiant sécurisé. En bas de la page, à droite, doit s'afficher un petit cadenas qui confirme la sécurisation (par cryptage) de la liaison (voir p. 31). Au moment d'entrer vos coordonnées bancaires, le numéro de votre carte est demandé, puis sa date de validité. De plus, certains cybercommerçants réclament aujourd'hui de donner les trois derniers chiffres d'un nombre inscrit au dos de chaque carte, sur la bande de signature (le cryptogramme visuel). Ceci leur permet de s'assurer que la personne faisant la commande est bien en possession de sa carte et qu'il ne s'agit pas d'une copie. Pour le consommateur, c'est aussi un signe que le site auquel il s'adresse est attentif à la lutte contre le piratage. Il est donc préférable de choisir des cyber-commerçants qui demandent communication de ces chiffres. Pour rassurer leurs clients, certains sites leur proposent de communiquer leur numéro de carte par téléphone. Cette solution n'est pas plus sûre (et même parfois moins) que par Internet. En effet, les numéros transmis peuvent être facilement recopiés et détournés.

La conservation des données en question.

Au départ, la transmission du numéro de carte bancaire n'avait qu'un objectif : permettre de payer une transaction. Ces numéros sont rapidement devenus, pour les cyber-commerçants, des moyens commodes pour identifier rapidement leurs clients. C'est pourquoi ils les conservent. Chaque fois qu'un consommateur visite un site sur lequel il a déjà acheté, il est repéré par un "cookie" (petit programme informatique), installé à son insu dans son ordinateur lors du premier achat. Une fois ses emplettes terminées, il n'a qu'à entrer un mot de passe pour payer, puisque le vendeur l'a identifié et a conservé son numéro de carte bancaire. Mais de nombreux acheteurs ne souhaitent pas que leurs coordonnées bancaires soient ainsi stockées, le plus souvent sans qu'ils le sachent et, par conséquent, sans leur accord. Ils peuvent donc demander au site marchand s'il les conserve et, dans l'affirmative, de les effacer. Sur ce sujet, les consommateurs peuvent s'appuyer sur une récente délibération (n° 03-034 du 19.6.03) de la Commission nationale informatique et libertés (Cnil), qui considère que la durée de conservation d'un numéro de carte bancaire ne saurait excéder le délai nécessaire à la réalisation de la transaction ou à la mise en œuvre des moyens habituels de lutte contre la fraude (sur la mise en œuvre de ce droit d'accès, voir p. 72).

Privilégier les commerçants qui utilisent les paiements auprès des banques.

Si votre confiance dans le site marchand n'est pas suffisante, une autre solution consiste, au moment de payer, à confier vos coordonnées bancaires directement à un établissement financier. Cette procédure est gratuite et ne nécessite pas d'être client de la banque qui se charge du règlement. Malheureusement, les sites qui confient ainsi le traitement des transactions à une banque en informent peu souvent leurs clients. Ils le font soit par un logo, soit par un texte explicatif sur la fenêtre de l'écran dédiée au paiement. Le mieux est donc d'utiliser les portails spécialisés des banques qui orientent ensuite vers les commerçants. Ainsi, plusieurs centaines de cyberboutiques sont référencées par la Société générale sur son site citedesmarchands.com. Avec cette formule, le client est orienté vers une page sécurisée de cette banque (identifiable par son logo) sur laquelle il communique son numéro de carte bancaire. Celui-ci reste donc inconnu du site marchand. Les Caisses d'épargne font de même avec La Galerie des marchands. Cette formule nécessite que le cyberclient commence par souscrire au système baptisé ID Tronic (en ligne gratuitement). Ensuite, pour chaque paiement effectué chez l'un des 900 commerçants listés, il n'a plus à donner son numéro de carte bancaire mais seulement un mot de passe personnel pour valider son paiement. Enfin, le groupe Crédit mutuel propose une galerie commerciale accessible via la majorité des sites des différentes caisses. Les commerçants qui y sont référencés utilisent la solution CyberMUT P@iement, qui permet de régler des achats sur le site du Crédit mutuel. Prudence toutefois : il faut vérifier, notamment au moment de payer, que l'adresse internet (en haut du navigateur) comporte bien la mention "creditmutuel.fr". En effet, quelques commerçants proposent aussi de payer par des moyens classiques.

Sur certains sites étrangers, un nouveau système de sécurité (utilisable par des consommateurs français titulaires d'une carte Visa) consiste à se connecter simultanément sur le site du vendeur et sur celui de sa propre banque. Celle-ci certifie au commerçant que le client est bien le titulaire de la carte avec laquelle il est autorisé à faire ses achats. Ce système, dans lequel le commerçant n'a pas accès aux numéros de carte bancaire des particuliers, affiche la mention "Verified by Visa".

Les solutions bancaires, la sécurité parfois au prix fort.

La Caisse d'épargne Paris - île-de-France, La Poste, la Société générale, le Crédit lyonnais et 9 Banques populaires sur 23 ont commercialisé des "e-cartes bleues", c'est-à-dire des cartes bancaires spécialement conçues pour le paiement sur Internet. Le Crédit mutuel et le CIC, eux, proposent un service baptisé Payweb Card à tous leurs clients détenteurs d'une carte de paiement internationale Visa ou Mastercard. La banque fournit alors au client, en temps réel via Internet, un nouveau numéro de carte à chaque paiement. Ceci grâce à un petit logiciel, que l'internaute télécharge préalablement, allant sur le site de la banque trouver un numéro pour régler les achats. L'e-carte n'apporte donc rien de plus à la sécurisation de la transaction elle-même, elle permet seulement de ne pas communiquer son numéro de carte bancaire au premier site marchand venu. Une autre formule, BNP Net, proposée par BNP Paribas, consiste soit en une carte bancaire réservée au paiement sur Internet (utilisant un numéro attribué une fois pour toutes et non un numéro attribué pour chaque transaction), soit en un service ajouté à une carte bancaire internationale classique. Ce service, qui n'est pas techniquement plus sécurisant que les autres, est assorti de nombreuses garanties d'assurances, ce qui en gonfle le coût : 48 € par an pour la carte spécifique et 24 € par an pour le service ajouté. Soit nettement plus que pour les e-cartes. En effet, sauf au Crédit lyonnais, où ce service est gratuit pour tous les clients titulaires d'une carte internationale, les tarifs pratiqués sont plus abordables. Deux systèmes de tarification existent. Soit le consommateur paie un abonnement annuel de 8 € à 13 € et réalise autant de transactions qu'il le souhaite (comme à La Poste), soit il paie à chaque fourniture de numéro virtuel (0,50 € par transaction à la Société générale, par exemple). À la Caisse d'épargne Paris - Île-de-France, seuls les abonnés au service de banque en ligne Satelis Direct (6,80 € pour deux cartes bancaires) bénéficient de ce service gratuitement. Autre inconvénient, majeur : l'e-carte bleue ne permet pas de retirer son billet de transport à un guichet (pour un billet de train ou d'avion), alors même que vous l'avez payé avec elle

En effet, le billet a été réservé avec le numéro de l'e-carte, alors que vous ne serez en mesure de fournir que celui de votre carte classique lors du retrait du billet.

Au total, même si ces tarifs sont acceptables, il suffit d'être attentif à l'identité de son vendeur, de veiller à sécuriser chaque transaction effectuée et de vérifier soigneusement ses relevés bancaires pour pouvoir se passer de ces solutions bancaires sans pour autant courir de risques excessifs.

Sylvain Deshayes

Mots-clés :

BANQUE , CARTE BANCAIRE , COMMERCE ELECTRONIQUE , FRAUDE , INTERNET , PAIEMENT ELECTRONIQUE




Outils pratiques :
 

Bannière Choix patrimoniaux

bannier la lettre des placements

Forum bannière

Préparer votre retraite
Faites appel à un expert pour anticiper et compléter vos futurs revenus

Recommandé par

Votre adresse est conservée par le Particulier, pour en savoir plus / se désinscrire

Bannière Tous simulateurs 1000*104

Bannière Simulateur Assurance vie 300*250

Bannière e-Particulier