Close
  • Français
  • English

12/05/2015Retour sur le petit déjeuner de l’observatoire du FIC : L’e-commerce était un précurseur de la lutte contre la fraude à l’identité numérique ?

Mardi 14 avril 2015, l’Observatoire organisait un  nouveau petit-déjeuner sur « L’e-commerce était un  précurseur de la lutte contre la fraude à l’identité numérique ? ». Sont intervenus sur ce sujet Alexandre ARCOUTEIL, responsable d’activité chez CERTISSIM – FIANET, Sébastien CARLETI, expert chez ONEY Tech – Banque Accord et Bertrand PINEAU, responsable de la veille et de l’innovation à la FEVAD.

« La confiance est un élément essentiel lorsque l’on veut commercer sur internet, la fraude sur l’identité numérique est alors un thème très important ».

Les trois intervenants sont partis du constat que l’e-commerce était un marché en plein expansion, ce secteur pesant en effet près de 50 milliards d’euros répartis sur environ 18 000 sites en France. Il aura permis de créer 100 000 emplois. Cela s’explique par le fait que tout se vend sur internet.

Après la croissance phénoménale du commerce en ligne, de nouvelles formes d’achats sur la toile, telle que la consommation collaborative, qui consiste à préférer le CtoC ou la vente de particulier à particulier, dont le marché mondial est estimé à 335 milliards de dollars. La vente à l’étranger s’est également énormément développée : elle ne nécessite pas de présence physique de la société sur le territoire et permet ainsi de réduire les coûts et de s’étendre beaucoup plus facilement. Enfin la vente sur mobile est en plein expansion : l’envolée du smartphone permet au consommateur d’acheter n’importe où.

On comprend dès lors que la personne n’est pas physiquement présente et que la transaction est facilitée par les nouvelles méthodes de paiement : la notion de confiance doit être particulièrement prise en compte.

Le marché du e-commerce devient réellement un marché porteur à la fin des années 2000. Les intervenants ont tout d’abord rappelé que la victime n’est pas le consommateur mais le commerçant lui-même. Le consommateur est assuré par sa banque et, désormais, par la législation européenne d’être remboursé s’il est victime d’une usurpation de ses coordonnées bancaires.

Traditionnellement, la fraude repose sur l’usurpation du compte client : les usurpateurs vont analyser les historiques d’achats et récupérer les mots de passe des usagers du site pour ensuite passer des commandes avec ses coordonnées bancaires. En 2011, le phénomène prend des proportions colossales. Les e-commerçants doivent alors se munir d’outils permettant de sécuriser leurs plateformes de paiement en ligne. D’où l’importance à porter sur la confiance qu’on inspire aux e-commerçants : si les consommateurs ont peur de payer sur un site, ils n’effectueront pas d’achats mais si le prestataire dispose d’outils qui sécurisent les moyens de paiement il instaure un climat de confiance favorable à la consommation. Porté par ce besoin, le paiement 3D Secure se développe : le consommateur ne va payer l’e-commerçant qu’après avoir inscrit le code qu’il aura reçu par sms sur son téléphone portable. Se développe également l’empreinte machine, qui consiste à vérifier le comportement de la machine, s’il est normal ou inhabituel.

A partir de 2009, la nature des attaques commence à changer : on est passé d’un risque d’usurpation de la carte bancaire à un risque de la fraude identitaire. Trois exemples de la fraude identitaire ont été présentés :

  • La fraude au point relai: elle consiste à contourner la vérification des coordonnées postales via un annuaire télématique
  • La fraude à la mule: compromission de l’identité de la personne qui reçoit le colis. On n’a pas de fraude à l’identité puisque la personne qui reçoit le colis est bien celle qui est sur l’adresse postale. Il va y avoir fraude sur le produit livré.
  • La fraude au swap de sim: cette fraude est spécifique au paiement 3DS. Il repose sur un principe d’un paiement, non pas basé sur le cryptogramme de sécurité mais, sur un code envoyé par sms.

Les intervenants ont également précisés qu’une personne détient plusieurs identités : l’identité bancaire quand il s’agit de coordonnés bancaires, l’identité personnelle quand il s’agit des renseignements relatifs aux biodatas,  l’identité postale qui correspond à la résidence d’une personne ou encore l’identité technique, le terminal matériel qui effectue les opérations et le réseau via lequel va s’opérer la connexion.

La présentation est disponible ici