REUTERS/Shannon Stapleton

  • A l'occasion du Black Friday, ce vendredi 23 novembre, le nombre de paiements pourrait dépasser le record de l'année dernière de 42,8 millions de transactions par cartes bancaires.
  • Le taux de fraude reste faible sur les sites d'e-commerce, mais son niveau est trop élevé aux yeux de la Commission européenne.
  • L'authentification des acheteurs doit donc être renforcée d'ici à septembre 2019.
  • Les acteurs du secteurs (spécialistes des paiements, banques, e-commerçants) doivent innover à marche forcée et trouver une ou des solutions pour remplacer rapidement le système de validation des achats par SMS.

Le Black Friday aura lieu ce vendredi 23 novembre. Cet événement commercial, importé des Etats-Unis, sera l'occasion pour de nombreux Français de profiter de promotions. Ils sont un peu plus chaque année à se ruer dans les magasins pour réaliser leurs achats, mais aussi sur leurs ordinateurs pour effectuer leurs emplettes en ligne.

Beaucoup de marques ont commencé à proposer des prix au rabais dès le début de la semaine, à partir du lundi 19 novembre. Et plusieurs sites d'e-commerce devraient faire durer les promotions tout le weekend et jusqu'au Cyber Monday, lundi 26 novembre.

L'an passé, pas moins de 42,8 millions de transactions par cartes bancaires ont été enregistrées en France à l'occasion du Black Friday, selon le Groupement d’intérêt économique (GIE) des cartes bancaires. Un record. Et cette année, ce nombre pourrait être dépassé.

Cette hausse des transactions est autant un enjeu pour lutter contre la fraude pour les banques, les entreprises qui assurent les systèmes de paiement que pour les e-commerçants. On vous explique pourquoi.

Une fraude en baisse mais encore trop importante pour l'Europe.

REUTERS/Kamil Krzaczynski

Pour une entreprise comme MasterCard, la gestion d'un flux de transactions en forte hausse n'est pas un problème.

"Nous avons les capacités pour des achats massifs tout le temps. Nous disposons de l'infrastructure mondiale pour gérer les paiements en une fraction de seconde", assure Olivier Gabrielli, directeur digital et innovation de Mastercard France.

Mais la démultiplication des achats ne pourrait-elle pas, par ailleurs, entraîner celle des fraudes au paiement? Angelo Caci, le directeur général de Syrtals Cards, un cabinet de conseil spécialisé dans les paiements et la gestion des flux financiers, n'y croit pas.

"Sur la base des événements passés, il n'y a pas de cri d'alarme", indique-t-il.

"En pourcentage, le taux de fraude doit même être plus faible pendant cette période-là, car le volume de ventes augmente, mais le nombre de personnes prêtes à frauder reste le même", ajoute-t-il.

Si le taux de fraude sur les paiements est très bas, d'une manière générale, il est tout de même plus élevé pour les achats à distance, le processus d'authentification du client étant plus compliqué que lorsque que le commerçant a l'acheteur en face de lui, dans un magasin physique. Les paiements en ligne effectués par carte ont enregistré un taux de fraude de 0,161% l'an passé, un niveau historiquement bas, selon le rapport annuel de l'Observatoire de la sécurité des moyens de paiement de la Banque de France. Cela équivaut à un euro de fraude pour 620 euros de paiement.

Si la fraude en ligne ressort en baisse, elle est encore bien trop élevée pour la Commission européenne.

C'est pourquoi, la directive européenne sur les services de paiement version 2 (DSP2), entrée en vigueur en janvier 2018, impose la mise en place d'une "authentification forte" des acheteurs à partir de septembre 2019.

Vers la fin du simple SMS.

Lancement du smartphone Huawei Mate 2.0 à Londres le 16 octobre, 2018. REUTERS/Hannah McKay

Aujourd'hui, la très grande majorité des paiements en ligne est validée par SMS. On parle de système SMS-OTP pour "One Time Password". A partir de septembre prochain, l'Union européenne exige que deux facteurs de reconnaissance de l'acheteur sur les trois suivants soient vérifiés:

  • la connaissance — qui consiste pour la banque à demander au client une chose qu'il est le seul à connaître (comme un code);
  • la possession — soit quelque chose que seul l'utilisateur possède (comme un smartphone);
  • l'inhérence — qui nécessite la certification d'un trait physique de l'acheteur (comme l'empreinte digitale). 

Une fois que deux de ces points sont vérifiés, l'un et l'autre séparément, l'achat peut être accepté. L'authentification par SMS valide bien deux de ces exigences, avec le téléphone portable (possession) et le code transmis par SMS (connaissance). Mais dans la mesure où le SMS est reçu sur le téléphone, ces vérifications ne sont pas indépendantes l'une de l'autre. De plus, si le réseau est mauvais, la réception du SMS peut être compromise.

Les banques ne se contentent déjà plus de l'envoi d'un code par SMS. Elles demandent de plus en plus aux acheteurs de rentrer leur clé digitale, le code à six chiffres qu'ils sont les seuls à connaître pour accéder à leurs comptes en ligne.

Un logiciel qui sait comment vous utilisez votre téléphone.

Pour améliorer l'authentification des acheteurs, les acteurs du secteur s'organisent.

MasterCard, par exemple, mise avant tout sur la biométrie. La société spécialisée dans les systèmes de paiement a racheté l'entreprise américaine NuData en 2017, experte dans la sécurité biométrique. Elle expérimente divers systèmes de validation des achats à l'aide de son smartphone:

  • L'authentification via les empreintes digitales.
  • La reconnaissance vocale.
  • La reconnaissance faciale. "On vous demande alors de bouger ou bien de cligner des yeux devant votre appareil pour s'assurer qu'il ne s'agit pas d'une image ou d'une photo", précise Olivier Gabrielli.
  • "On travaille aussi sur l'iris", ajoute-t-il.
  • Enfin, la biométrie comportementale, certainement la solution la plus surprenante. Elle consiste à analyser la façon dont un client se sert de son téléphone, "à l'aide d'un logiciel associé à l'appareil qui sera probablement intégré à l'application bancaire". La vitesse à laquelle l'acheteur tape sur son écran et la pression qu'il exerce sur les touches sont notamment vérifiées. Ce système présenterait plus de fiabilité encore que les autres.

La Commission européenne souhaite aussi voir les systèmes de "scoring" des transactions généralisés. MasterCard précise déjà avoir mis en place cet outil au fonctionnement automatisé. "Nous fournissons une note de 1 à 999 sur les transactions. Cela permet à la banque d'étudier ensuite la fiabilité du paiement et de l'accepter ou non", explique Olivier Gabrielli.

Différents indicateurs sont pris en compte dans le cadre du "scoring", permettant d'établir une note plus ou moins bonne pour chaque transaction: les montants payés, la localisation de l'acheteur, l'horaire, la fréquence des achats. 

Eviter les pertes sèches pour l'e-commerçant.

REUTERS/Fred Greaves

Les établissements bancaires espèrent que la Commission leur laissera un peu de temps — au-delà de septembre 2019 — pour mettre en place de nouveaux systèmes d'authentification, nécessitant de véritables innovations.

"Il faut que la communauté bancaire se coordonne pour offrir une ou des solutions communes. Et il y aura une phase d'acception du processus par le public", estime Angelo Caci, le directeur général de Syrtals Cards.

L'enjeu est de taille pour les cyber-commerçants.

Le développement de la sécurité peut rajouter des étapes dans le parcours client et le processus d'achat. Le risque pour eux est de voir le taux de conversion réduit, moins d'acheteurs potentiels réalisant effectivement un achat en bout de ligne.

De l'autre côté, la sécurité est aussi un atout important. "C'est le commerçant qui porte les risques dans l'e-commerce. Pour le client, il suffit de dire que ce n'était pas un achat de bonne foi", prévient Julien Duméry, responsable France de CyberSource, un prestataire de paiement appartenant à Visa, spécialiste de la lutte contre la fraude.

"Si le compte du client est piraté, le fraudeur pourra effectuer plusieurs transactions et le cyber-commerçant sera doublement pénalisé: il aura envoyé des produits pour rien et devra en plus rembourser le client dont le compte a été piraté", ajoute-t-il.

Une perte sèche en somme pour le vendeur, qui sera toutefois largement compensée par l'impressionnant volume de ventes réalisé à l'occasion du Black Friday et des fêtes de fin d'année.

A en croire un sondage très optimiste réalisé en octobre par OpinionWay sur un échantillon de 1012 personnes, pour le spécialiste de la digitalisation des points de vente Octipas et l'éditeur de logiciels Generix, un Français sur deux prévoit de faire des achats à l'occasion du Black Friday, soit 25% de plus qu'en 2017. La plupart en profiteraient notamment pour faire leurs cadeaux de Noël.

La Fédération du e-commerce et de la vente à distance (Fevad), qui comprend 600 entreprises et 800 sites, table sur un chiffre d'affaires de 1,3 milliard d'euros en quatre jours seulement, s'étalant du Black Friday au Cyber Monday. Sur l'ensemble de l'année 2018, la Fevad estime que la barre des 90 milliards d'euros devrait être franchie par le marché du e-commerce.

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : Voici pourquoi on appelle ça le 'Black Friday'

VIDEO: Ces étonnants projets de gratte-ciels sont en bois