L’internet, la vente et la fraude, un peu de contexte
Le réseau internet voit le jour en 1974 et arrive en France à la fin des années 1980. Il est d’abord utilisé par des chercheurs et des informaticiens. Il commence à être diffusé au public entre 1994 et 2001, le nombre des utilisateurs passe de quelques centaines de milliers en 1995 à plus de 6 millions en 2001. Au début, les débits sont faibles et il faut choisir entre internet et téléphone … et c’est cher. Entre 2004 et 2005 le « haut débit » prend sont envol avec l’ADSL grâce aux progrès technologiques mais aussi avec le support des pouvoirs publics et la concurrence entre les fournisseurs d’accès.
Un premier site internet offre la vente de produits en ligne en 1992, c’est CompuServe . En 1994 une société est créée pour vendre des livres, elle s’appelle Amazon. Elle couvre très vite 40 pays et, depuis, s’est diversifié pour devenir le géant mondial qu’on connait. Amazon arrive dans l’hexagone en 1999. En France, entre temps, Cdiscount à vu le jour (en 1998) et vend déjà sur quatre continents. En 2000 la SNCF commercialise des billets de train sur interne. L’histoire accélère et les sites de vente en ligne prolifèrent.
Aujourd’hui, la carte de paiement est un des moyens les plus utilisés pour effectuer des paiements sur les sites de vente en ligne. Toutefois, ce moyen de paiement, à l’origine, est conçu pour payer dans un point de vente (carte présente). Il a dû évoluer afin de limiter la fraude en ligne. Si au début, le seul moyen d’authentifier le porteur de la carte était sa signature, cela ne pouvait fonctionner sur internet, il a fallu ajouter des données à la carte et développer des protocoles afin de pouvoir vérifier que la personne qui utilise une carte est bien celle à qui elle a été émise. Le code de vérification a vu le jour. Puisqu’il est facile de lire les deux faces d’une carte de paiement et d’en mémoriser les données, un autre moyen a été développé pour prouver au marchand que l’utilisateur de la carte et son possesseur sont bien la même personne. C’est le 3DS qui est mis en oeuvre: le marchand pose la question suivante à la banque du porteur: « est-ce bien la personne à qui vous avez fourni une carte de paiement qui est en train de l’utiliser pour payer 15,23 € sur mon site internet? » La banque va utiliser un moyen pour s’assurer de ce fait et va confirmer (ou pas) au marchand qu’il peut avancer dans le paiement.

Malgré ça, la dernière fois que je regardais des statistiques en France, la fraude associée aux ventes en ligne représentait autour de 70% des transactions par carte alors que la part de ce type de paiement était seulement autour de 30 % du volume total de transactions annuel (les autres usages étant les paiement « carte présente » et les retraits de billets).
Les fraudeurs ont souvent une longueur d’avance, la technologie et les standards de sécurité évoluent pour contrer les attaques et non le contraire. Par exemple la permière attaque de type « MageCart » qui cible le javascript utilisé par les pages de paiement pour dérouter les données cartes à la volée (skimming) a été observée le 8 aout 2010. La version du standard PCI DSS (nous reparlerons de ce standard) qui prend en compte ce type d’attaque et qui demande de mettre en place des mesures contre celles-ci a été publiée fin mars 2023. Les mesures seront obligatoires après le 31 mars 2025!
Plus loin, nous allons brièvement regarder ce qu’est un site de vente en ligne, les paiements par carte vu du consommateur, comment le paiment peut se greffer sur un site internet, parler du standard PCI DSS et voir comment le type d’intégration du paiement peut affecter l’applicabilité des exigences de ce standard sur l’environnement du marchand.