Dossier Cartes

Les nombreuses contraintes de la sécurisation des transactions en ligne

le 15/12/2011 L'AGEFI Hebdo

Les émetteurs de cartes privilégient les solutions les moins intrusives pour les clients des sites d'e-commerce.

Le risque, aujourd’hui, n’est pas de se faire voler sa carte physiquement, mais qu’un pirate informatique ('hacker') dérobe les données relatives à cette carte », prévient Grégoire Maux, expert sécurité IT chez Monext, un opérateur de plates-formes de paiement électronique. Selon le dernier rapport de l’Observatoire de la sécurité des cartes de paiement, les moyens de paiement à distance, qui représentent 8,6 % de la valeur des transactions nationales, comptent désormais pour 62 % du montant de la fraude, soit 101,1 millions d’euros en 2010, contre 82,2 millions en 2009. Aussi des mesures d’authentification fortes sont-elles imposées aux commerçants par les émetteurs de cartes. Ainsi, depuis deux ans, le protocole d’authentification non rejouable (code à usage unique) 3D Secure oblige les internautes, sur certains sites marchands, à entrer un identifiant qu’ils ont reçu via un SMS par exemple. Mais les grands acteurs de l'e-commerce renâclent à l’adopter, craignant de lourdes pertes de chiffre d’affaires liées à des transactions n’aboutissant pas. De fait, 3D Secure ne s’appliquerait qu’à 10 % des transations en ligne en volume. « Aujourd’hui, les commerçants en ligne adoptent des solutions 3D Secure débrayables, la demande d’authentification forte ne se déclenche que lorsqu’une carte étrangère est impliquée », rapporte Grégoire Maux. Une autre façon de sécuriser les transactions est de recourir au scoring des transactions. « Nous faisons de l’analyse des comportements, explique Nicolas Picard, RSSI (responsable de la sécurité des systèmes d'information) de FIA-NET, filiale du Crédit Agricole qui exploite Kwixo, un opérateur de paiement en ligne lancé en juin 2011. Ainsi, par exemple, en été, nous calculons la consommation par immeuble. Si celle-ci est supérieure à la normale, nous pouvons soupçonner une fraude avec l’utilisation d’une boîte à lettres de gens partis en vacances. » De son côté, MasterCard a fait l’acquisition, en août 2010, de la société Datacash, prestataire de services de paiement et « spécialisée dans la détection de fraudes sur internet en rapprochant les adresses IP et de livraison par exemple, capable de repérer des achats avec une même carte à des adresses différentes très éloignées », explique Jean-Philippe Habran, directeur du développement de Mastercard en France. Un déploiement de la solution Datacash en France est à l’étude.

Les opérateurs de plates-formes de paiement ne sont pas en reste. « PCI DSS (Payment Card Industry Data Security Standard) est un recueil de bonnes pratiques au niveau de la sécurité physique, du stockage des données sensibles et du code des applications informatiques », précise Grégoire Maux. Comme tous les acteurs de la monétique en France, cet expert sécurité se voit imposer depuis deux ans une certification PCI DSS par les grands réseaux de cartes bancaires et par les banques. En novembre 2011, Monext a obtenu la certification pour sa plate-forme d'acquisition internationale, qui permet à des commerçants implantés en Europe de gérer les paiements Visa et MasterCard. En mars 2011, Monext obtenait la certification pour son centre d’appels.

Ardoises magiques

« C’est un projet d’entreprise, avec un fort impact organisationnel et très structurant en termes de méthodologies », souligne Yann Pugi, responsable sécurité de Monext. Ainsi, le papier, les smartphones et tout autre support de prises de note sont bannis du centre d’appels. Les collaborateurs sont munis d’ardoises magiques qui s’effacent après toute prise de notes. Concernant les données sensibles stockées, elles font l’objet d’un chiffrement en temps réel à deux niveaux. Une clé de chiffrement est utilisée pour crypter les données, et une autre pour crypter la première clé. Elles sont ensuite stockées en deux endroits différents et accessibles par deux personnes. Au niveau du code de développement, un audit est régulièrement effectué pour vérifier l’absence de back door (moyen d’entrée camouflé dans une application) et les numéros de carte n’apparaissent jamais dans les interfaces. « Tous nos développeurs sont formés à l’Owasp (Open Web Application Security Project), un standard de sécurité pour les développements internet », déclare Grégoire Maux. Enfin, un système de patch management a été mis en place pour répondre aux failles de sécurité identifiées dans les applicatifs utilisés. Avec un scoring effectué en fonction de la sévérité de la faille et du niveau d’exposition des données, une mise à jour, voire une montée en version de l’applicatif concernée, est décidée, pouvant entraîner une interruption de service si nécessaire. La certification PCI DSS impose des contraintes si fortes que certains opérateurs de paiement préfèrent les externaliser. « A aucun moment, les données de cartes bancaires ne transitent via nos systèmes, affirme Pierre-Jean Albert, directeur du système d'information de FIA-NET. C’est Paybox, certifié PCI DSS, qui va porter la responsabilité du stockage des données bancaires. »

A lire aussi