Dans la continuité de l’article de Ludovic hier sur la remise en question de la gestion des coordonnées bancaires lors d’une réservation sur un site comme Booking.com, certes il faut s’alarmer mais surtout retenir qu’il existe d’autres solutions qui permettent de garantir un paiement en ligne que ce soit pour le vendeur comme pour l’acheteur.
L’hégémonie incontestable de la carte bancaire dans le paiement en ligne
Comme le montre ce schéma, la carte bancaire reste de loin le moyen le plus prisé parmi les services de paiement en ligne utilisés par les internautes en France.
Pourtant le contexte n’est pas glorieux si l’on s’en tient à l’article publié dans LeFigaro.fr qui nous apprend que “le taux de fraude pour tous types de cartes de paiement a atteint 0,072% en 2009, soit un montant de 342,4 millions d’euros, selon le rapport annuel de l’Observatoire de la sécurité des cartes de paiement. […]
D’un côté, la fraude sur les paiements nationaux réalisés aux points de vente et sur automates reste sur une pente descendante. Elle a atteint un niveau très faible en 2009, à savoir un taux de 0,014% pour un montant de 41 millions d’euros. […]
A l’opposé, la fraude a encore gagné du terrain sur le front des paiements à distance (par Internet, téléphone ou courrier). Pour les paiements nationaux, le montant des transactions frauduleuses est ainsi passé de 67,2 millions d’euros en 2008 à 82,2 millions d’euros en 2009.”
Selon une étude FIA-NET (juin 2010) on constate que le tourisme reste un secteur relativement épargné (avec tout de même 8% d’impayés en valeur…) en comparaison avec le trio de tête composé de l’informatique, la mode et le textile, l’électronique grand public. Plutôt que de remettre la faute sur le dos des petits commerçants, il faut chercher la principale explication de cette fraude dans “l’augmentation conséquente du nombre de réseaux de fraudeurs” avec une professionnalisation de ces derniers qui vont jusqu’à “imiter le comportement du consommateur classique pour se fondre dans la masse.” Et pourtant, bien qu’elle semble s’industrialiser, l’histoire se répète, car depuis le chiffre de César jusqu’à l’informatique c’est souvent la “fraude” qui a permis d’améliorer la fiabilité des systèmes de cryptographie, un mal pour un bien, c’est l’entre-deux qui est inconfortable.
Quoiqu’il en soit, on voit bien que la sécurité renforcée des transactions bancaires devra être toujours faire l’objet d’une grande attention pour ne pas perdre la confiance durement acquise des cyber-acheteurs longtemps rétissants au paiement en ligne, tour d’horizon sur les principales solutions du marché pour le paiement sécurisé par carte bancaire.
Le mythe du TPE VAD sécurisé
Il faut bien distinguer ici “transaction des coordonnées bancaires” de “paiement en ligne” puisque dans le cas présent c’est seulement la première qui est entièrement sécurisée via ce système et à l’origine du coup de gueule de Frédéric Soussin. Je ne dispose pas de statistiques précises mais je pense que c’est aujourd’hui une des solutions les plus répandues particulièrement dans le tourisme pour sa simplicité de mise en place, possibilité de paiement au téléphone et faible coût d’installation, puisque ce dernier se résume à une simple commission négociable (autour de 0,5%) sur chaque transaction.
Dans la pratique, le commerçant souscrit l’option VAD (Vente A Distance) directement auprès de sa banque en plus de son abonnement au classique TPE (Terminal de Paiement Électronique) qui permet d’encaisser physiquement une carte bancaire. Par ce contrat, la banque se porte ainsi garante en cas de fraude, ce qui explique parfois la difficulté d’obtenir ce contrat en fonction des relations entretenues avec sa propre banque… Les coordonnées bancaires transitent donc sur internet de manière sécurisée (via le protocole SSL) jusqu’au commerçant qui les reçoit en clair (parfois avec une étape intermédiaire de décryptage) et peut au final les saisir manuellement sur son TPE VAD pour débiter le client à distance. A partir du moment où les coordonnées apparaissent en clair à un maillon de la chaîne, il est difficile de parler de paiement entièrement sécurisé puisque quelle que soit la bonne volonté du commerçant, il y aura toujours un risque potentiel.
NB : Les risques sont exactement les mêmes que lorsque l’on laisse ses coordonnées bancaires par téléphone (ce qui arrive encore fréquemment), courrier ou fax…
Dans la plupart des cas, notamment dans le tourisme où le service acheté se consomme forcément sur place (entraînant au passage d’autres contraintes pour le consommateur comme le droit non applicable du délai de rétraction de 7 jours) le vendeur encaisse généralement la totalité du séjour sur place et ne prélève le client à distance qu’en cas de “no-show” (sous réserves de le préciser au client dans les Conditions Générales de Vente). Finalement, on devrait plus parler de “garantie” de paiement plutôt que de “paiement en ligne » stricto sensus. Ce qui en soi pose un vrai flou juridique puisque d’après ce que j’en sais (mais je ne suis pas juriste…) la carte bancaire est perçue comme “un instrument de paiement” et non comme une “garantie de paiement”, sed lex.
On voit bien ici les limites d’une intervention manuelle (en saisissant les coordonnées bancaires sur le TPE VAD) même si en théorie le commerçant n’est pas censé conserver les coordonnées bancaires ou tout du moins dans des conditions très strictes et dans un espace sécurisé, dans la pratique je demande à voir.
Le kit bancaire de paiement (ou TPE Virtuel)
De nombreuses banques proposent leurs propres kits de paiement bancaire (comme SPPlus de la Caisse d’Epargne, E-Transactions du Crédit Agricole, SogenActif de la Société Générale, etc.) dont les coûts d’installation et d’utilisation sont souvent plus élevés (coût forfaitaire d’installation, abonnement mensuel, commission sur chaque transaction) mais qui ont le mérite de permettre une transaction réellement sécurisée des coordonnées bancaires jusqu’au bout de la chaîne puisque celles-ci n’apparaissent jamais en clair au vendeur et avec une intervention manuelle réduite qui se limite à cliquer sur un bouton via une interface sécurisée en ligne pour accepter le paiement. Ces kits bancaires offrent de nombreuses autres possibilités au vendeur comme une interface de gestion, la possibilité d’imprimer un journal, de débiter ou créditer un compte bancaire, etc. Un investissement qui peut largement se justifier, avec un préalable celui de vérifier que sa solution de vente en ligne sur son site soit bien compatible avec le kit de paiement bancaire de sa banque…
Les opérateurs de paiement en ligne
A l’instar des solutions bancaires, des sociétés tierces comme Paybox ou Ogone offrent toutes les garanties, un service sur mesure, une compatibilité quasi exhaustive avec toutes les banques, une expertise (ce qui n’est pas forcément le cas du conseiller clientèle de la banque Gripsou à Saint-Commission-sur-Plage-Dorée dans l’arrière pays de…) et pour l’e-commerçant la non obligation de dépendre de la solution de sa propre banque et de pouvoir choisir finalement la solution la plus avantageuse.
Paypal
La société californienne achetée par Ebay en 2002 a longtemps été une cible privilégié des “pirates informatiques” (encore aujourd’hui ?) notamment via le bien poétiquement nommé hameçonnage (ou phising). Que celui qui n’a jamais reçu un mail déguisé de Paypal… Devant l’ampleur du phénomène, il y a même une page dédiée sur leur site. Malgré cette mauvaise presse, Paypal compte à ce jour plus de “16 000 e-commercants en France” et permettrait de vendre plus avec “1/3 des acheteurs en ligne français qui plébiscitent PayPal” pour sa sécurité, gratuité et simplicité (Source Paypal.fr).
Au départ comme une simple solution de portefeuille en ligne, l’offre de Paypal s’est aujourd’hui considérablement étoffée et Pierre nous parlait justement de la dernière d’entre elles dédiée en partie aux prestataires du tourisme.
Dans la même lignée, on peut aussi citer Google Checkout mais comme je ne l’ai jamais personnellement testé, je suis évidemment preneur de vos retours d’expériences dans les commentaires de ce billet.
3D Secure l’avenir du paiement en ligne ?
Késaco ? C’est comme au cinéma ? Il faut des lunettes spéciales pour voir son numéro de carte en 3D, cooool ! Bon, vous vous en seriez douté, mais ce n’est pas vraiment cela… Il s’agit plutôt d’une tierce authentification, je vous livre directement un extrait de la définition de Wikipédia :
“3-D Secure a été développé par Visa et Mastercard pour permettre aux marchands de limiter les risques de fraude sur Internet […] Il consiste à s’assurer, lors de chaque paiement en ligne, que la carte est bien utilisée par son titulaire. […] une étape supplémentaire a lieu au moment du paiement. En plus du numéro de carte bancaire, de la date d’expiration de la carte et des trois chiffres du code de sécurité (imprimés au dos de la carte), l’internaute doit saisir un mot de passe, tel que sa date de naissance (authentification simple) ou un code dynamique à usage unique (authentification forte).”
Au passage, cette authentification supplémentaire permet un transfert de responsabilités vers la banque du client et non plus celle du vendeur, ce qui change radicalement la donne en cas de fraude ou de contestation !
Cette norme censée apporter une sécurité optimale a été lancée depuis 2008 et force est de constater sa difficulté de s’imposer en France notamment avec des résultats d’échecs élevés sur l’authentification qui n’encouragent pas forcément les e-commerçants à adopter le système. Jusqu’au jour (peut être) où cette norme deviendra obligatoire, et l’on se prend déjà à rêver d’un paiement en ligne avec une authentification 3-D Secure grâce à son empreinte digitale sur l’écran tactile de son téléphone intelligent, et ce n’est déjà plus de la fiction dès lors que près d’un français sur deux est favorable à acheter via son mobile.
J’aime l’e-carte bleue !
Déformation Facebookénienne dans le titre qui me fait aimer tout et n’importe quoi… Mais blagues à part (il en faut un peu dans ce billet… au passage bravo si vous êtes arrivés jusque là, plus que quelques lignes avant un grand verre d’eau et une aspirine, courage 🙂 je reste personnellement un inconditionnel de l’e-carte bleue, un service proposée par la plupart des banques qui va permettre à l’acheteur de pouvoir générer aléatoirement un nouveau numéro de carte bancaire (avec sa propre date de validité et cryptogramme visuel) qui ne sera valable que pour une seule transaction en fonction du montant qu’il aura lui-même défini (en paiement unique ou abonnement). Évidemment comme il s’agit finalement d’un numéro éphémère (bien que lié au même compte bancaire que la “vraie” carte bleue) il est impossible d’utiliser la présentation de la carte au moment de la livraison ou du service acheté, ce qui peut être contraignant dans certaines situations comme dans la réservation d’une chambre d’hôtel avec le paiement du séjour sur place…
Qu’est ce que le cyber-acheteur doit finalement en retenir ?
D’une manière générale, le petit cadenas présent sur votre navigateur signifie que la communication des coordonnées bancaires est sécurisée mais pas forcément jusqu’au bout de la chaîne comme j’ai essayé (tant bien que mal!) de l’expliquer dans la solution TPE VAD… Pour être tranquille assurez-vous notamment au moment du paiement de la présence des logos des organismes bancaires ou des différents services pré-cités. Et pour ne pas sombrer dans la psychose “Internet c’est le mal” (déjà bien nourrie par les journalistes télévisuels de la sixième chaîne quoique au moment où j’écris ils cèdent leur place aux futurs toqués…) pensez-bien que par téléphone, fax ou courrier les risques sont les mêmes !
Qu’est ce que l’e-commerçant doit finalement en retenir ?
Que Booking et consorts c’est bien mais le canal direct c’est encore mieux !
Ce n’est pas chose aisée de faire le tour de toutes les solutions de paiement en ligne avec carte bancaire, il doit en manquer quelques unes dans ce billet… Mais pour le e-commerçant, il s’agit finalement de comparer pour chacune d’entre elles les coûts d’installation et d’utilisation en faisant jouer la concurrence.
Alors j’entends déjà les sirènes… “Vous êtes bien gentil avec votre paiement sécurisé, mais vu le prix, je préfère m’en passer”. Ces mêmes sirènes me dire “je travaille avec Booking toute l’année et j’assume les 25% de commission”.
Bon à priori rien à voir et pourtant, comparons ce qui est comparable, et même si la sécurité du client ne devrait pas avoir de prix.
Certes Booking et consorts remplissent confortablement les chambres mais au passage se remplissent grassement les poches avec un pourcentage bien plus élevé que la somme des coûts de revient d’un système de réservation en ligne combinés avec ceux d’une solution de paiement sécurisé par carte bancaire, dont les répercutions en termes de volumes de vente sont bien souvent au delà de toutes espérances en travaillant un peu sur le référencement et la visibilité de son site internet. L’investissement dans une solution de réservation avec paiement sécurisé en vaudrait largement la chandelle, il suffit pour s’en convaincre de faire quelques simulations comptables, avec d’un côté pour le prestataire la réduction des intermédiaires et donc l’augmentation de sa marge, avec en bonus la garantie de réservation. Et de l’autre côté pour le client une certaine sérénité retrouvée dans l’achat en ligne et une propension à rester fidèle. Sans toutefois bannir complément les Booking et consorts pour continuer à s’appuyer sur leur fort référencement afin d’optimiser le taux de remplissage dans les périodes difficiles.
Alors, convaincu à passer à votre propre solution de vente en ligne avec paiement sécurisé ? Si vous avez des bonnes ou mauvaises expériences à partager, c’est à vous dans les commentaires ! Et bonne aspirine 🙂
[…] Quelles solutions pour un « vrai » paiement sécurisé par carte … From http://www.etourisme.info – Today, 10:07 AM […]
[…] côté, les organismes et consortiums bancaires qui s’acharnent à développer des vrais solutions de paiement sécurisés en ligne comme le 3D Secure (le payeur est bien le porteur de la […]