La sécurité des paiements en ligne laisse à désirer

« Faut il avoir peur de payer en ligne ? » Telle était la question posée par la conférence organisée par F5, fournisseur de solutions de sécurisation des applications, ce 27 novembre à Paris.

Le consommateur est bien protégé, constataient tout d’abord Guillaume Flambard et Vincent Pollard, avocats du cabinet Taj, faisant le point sur le cadre juridique existant. L’acheteur est protégé vis à vis du e-commerçant, qui doit, notamment s’engager sur des délais de livraison fermes, et dont les clauses de contrat sont très encadrées.

Mais il l’est également vis à vis de la sécurité des moyens de paiement. En effet, en cas de fraude en ligne, c’est le commerçant, qui, par défaut, est considéré comme responsable. Seul souci,« ces dispositifs légaux ne font pas de référence explicite aux normes industrielles à respecter » pointe Vincent Pollard. Résultat, les prestataires concernés par le traitement et le stockage des données concernant les cartes de crédit, qui prennent des mesures de sécurité, s’alignent sur la PCI/DSS, paiement card industry data security standard.

Ce dernier a été mis en place par la PCI, organisme professionnel fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide, et Visa. En cas de manquement, ceux qui ont souscrit à cette norme sont passibles d’amendes qui vont jusqu’à 500.000 dollars par incident de sécurité sur les données. Il s’agit là d’un engagement contractuel, qu’ils ne sont pas obligés de prendre.

Mais, la directive européenne du 13 novembre 2007 sur les services de paiement, qui devrait être transposée d’ici la fin de l’année 2009, pourrait changer la donne. En effet, elle devrait se traduire par des obligations de sécurité accrue pour tous les moyens de paiement, et pas seulement les cartes de crédit. Reste que, de son coté « Eric Besson, dans son plan France numérique 2012, prévoit de réfléchir à une norme qui pourrait devenir un standard » rappelle Guillaume Flambart. Bref, une bataille des normes s’annonce.

Les cybercriminels ne connaissent pas la crise

Or, pendant ce temps, les cyber-criminels ne chôment pas, prévient Fabien Lang, commissaire de police, adjoint au chef de l’OCLCTIC, à la direction centrale de la police judiciaire. Le carding, le piratage et le trafic des données « est une menace » alerte le commissaire. Ce phénomène reste très difficile à chiffrer, car très international. Il consiste tout d’abord à récupérer des données de cartes bancaires, principalement par le piratage de bases de données et par des attaques en direct auprès de particuliers, via des attaques de phishing ou à l’aide de chevaux de troie. Puis, ces données sont revendues sur internet, sur de forums spécialisés, souvent hébergés en Russie.

Dernière étape, ces données sont exploitées auprès de fausses sociétés de vente basées à l’étrange, dans des boutiques en ligne, ou encore dans des boutiques physiques de luxe. « Le problème, c’est qu’il s’agit souvent de petits montants. Nous devons les centraliser pour mettre les moyens d’investigation nécessaires en œuvre, y compris au niveau international. »conclut Fabien Lang.