24/10/00
Sécurité
des paiements : RueduCommerce critique les failles du système
La
sécurité des transactions serait aujourd'hui
le principal écueil au développement du commerce
électronique en France. Et pourtant, les technologies
évoluent dans le sens d'une plus grande sécurisation
grâce, notamment, à des algorithmes de chiffrement
et des systèmes anti-intrusions de plus en plus complexes.
Aussi, les sites marchands commencent à s'insurger
contre la qualité de service de leurs fournisseurs
ainsi que les pratiques du GIE Cartes Bancaires.
Tel est le cas, par exemple, de RueduCommerce,
satisfait de son hébergeur Colt,
mais mécontent de son partenaire Atos
et de sa solution SIPS pour les paiements sécurisés.
"Quand un internaute achète sur notre site, il
bascule sur la plate-forme d'Atos pour saisir son numéro
de carte", explique Yannick Simon, directeur technique
de RueduCommerce. "Une fois l'information validée,
Atos la renvoie sur notre site en lançant une requête
http sans vérifier si l'information a été
transmise correctement. Lorsque le site plante, que le script
génère un bug ou qu'il y a rupture de ligne,
les commandes ne sont pas comptabilisées. Chaque jour,
2 ou 3 commandes se perdent suivant ce principe."
Heureusement, RueduCommerce récupère chaque
soir ou le lendemain matin la liste des transactions du jour.
"Je récupère en batch les commandes manquantes
dans les 36 heures et du coup, je perds 36 heures
dans le traitement de ma commande, alors que nous proposons
des délais de livraison dans les 48 heures"
poursuit Yannick Simon. "De plus, le mail renvoyé
le lendemain n'est pas chiffré." Il serait alors
facile pour un pirate un peu chevronné de se faire
passer pour Atos et de comptabiliser frauduleusement des commandes
virtuelles. Selon le directeur technique, "ce problème
est le plus gênant de leur part, car de temps en temps,
leur serveur aussi est indisponible sans que nous soyons systématiquement
prévenus. Nous l'apprenons parfois par les retours
de nos clients." Ainsi, la plate-forme de paiement sécurisé
d'Atos aurait connu une panne de presque deux heures vendredi
dernier, entre 11h et 13h.
Pour Yannick Simon, ce cas n'est pas isolé. D'autres
sites se plaindraient également d'Atos en particulier,
et les autres fournisseurs ne seraient pas forcément
meilleurs. "Atos n'est pas le pire", confirme-t-il,
"et les fournisseurs ne sont pas toujours en cause. Aujourd'hui,
le GIE
Cartes Bancaires ne permet la vérification de l'identité
de l'acheteur qu'avec un numéro de carte et sa date
d'expiration. D'autres systèmes internationaux permettent
également de vérifier le nom par rapport à
la transaction, mais pas le GIE. Or, nous voudrions avoir
cette possibilité pour mieux tracer les fraudeurs."
Et ce n'est pas fini concernant le groupe d'intérêt
économique français. "Enfin, nous voudrions
avoir la possibilité de débiter le client en
plusieurs fois", termine Yannick Simon. "La plupart
des sites commencent par débiter leur client et celui-ci
n'est pas content. Nous souhaiterions qu'il saisisse une seule
fois son numéro et qu'il ne soit débité
que le jour de la réception, et seulement des produits
qu'il recevra."
Bref, le tableau du paiement sécurisé n'apparaît
pas blanc derrière un simple coup de chiffon. De nombreux
efforts restent encore à faire, tant du côté
du GIE Cartes Bancaires que de celui des prestataires, dont
certains analystes s'accordent à dire que leurs moyens
sont trop réduits pour développer de nouvelles
options au sein de leurs offres.
Il ne reste plus qu'à espérer que ces problèmes
seront davantage pris en compte dans les mois à venir.
[François Morel,
JDNet]
|