Obstacles au développement du commerce électronique en Tunisie

Chapitre deuxième :

DIFFÉRENTS MODES DE PAIEMENT ET LEUR SÉCURITÉ

A

u nombre des obstacles que rencontre le commerce électronique, le plus critique se lit dans la frilosité du consommateur acheteur en ligne, souvent freiné dans sa démarche d'achat par le fruit d'une paranoïa collective entourant les piratages de transactions monétiques.

Selon l'enquête du Crédoc de juin 2005, 41% des français citaient la sécurité des paiements comme principal refus d'opérer des transactions et de payer par Internet. Ce chiffre est toutefois en légère baisse depuis 2001, vu que 49% des enquêtés évoquaient en priorité le manque de confiance dans la sécurité des paiements.

Dans ce qui suit, nous allons procéder à définir dans une première partie, les composantes de la sureté du paiement électronique, et nous consacrerons la deuxième partie aux différents modes de paiement sur le net.

1. Composantes de la sûreté du paiement électronique sur Internet 

Une méthode de paiement électronique sur Internet doit être sûre. Une telle méthode doit donc tenir compte de plusieurs paramètres pour assurer cette sûreté :^12(*)

Authentification de l'argent électronique :

Les vendeurs et les acheteurs doivent être en mesure de vérifier la validité de la monnaie qu'ils reçoivent. De plus, il faut s'assurer que le même argent ne soit pas dépensé deux fois.

Authentification et intégrité des messages :

Lorsque des messages sont échangés entre les intervenants impliqués dans une transaction, soit l'acheteur, le vendeur et la banque (parfois aussi un intermédiaire), chacun veut s'assurer que le message reçu provient bien de la bonne personne. Un message autorisant un prélèvement d'argent (compte bancaire ou carte de crédit) doit porter la signature du client. Il faut s'assurer que chaque autorisation de paiement est unique, et qu'aucune partie du message envoyé n'a été modifiée entre le moment d'envoi par l'émetteur et le moment de réception par le destinataire.

Confidentialité :

Les informations concernant les consommateurs, les marchands et même les transactions doivent demeurer confidentielles, au même titre que lors de l'utilisation de l'argent de papier. Bien entendu, l'utilisation de la carte de crédit laisse une trace chez la compagnie de crédit.

Dans le cadre de l'utilisation de la carte de crédit sur Internet, c'est la seule trace qui doit subsister après la transaction.

Divisibilité :

L'argent électronique doit être disponible en sous, ou même en fraction de sous pour permettre les micro-transactions associées au contenu électronique. Ainsi, une quantité donnée d'argent électronique doit pouvoir s'échanger contre de plus petits montants pouvant ensuite être recombinés.

Disponibilité :

Les utilisateurs désirent pouvoir effectuer leurs opérations à tout moment de la journée, or les heures ne sont pas les mêmes à la grandeur de la planète. Puisque Internet est international, il faut qu'un système de paiement électronique sur Internet soit continuellement en opération. De plus, un utilisateur donné ne doit pas être dépendant d'une connexion à un réseau donnée. Le système de paiement doit être fonctionnel en dépit d'un bris de réseau.

Fiabilité :

Le système doit être pourvu de mesures en cas de panne ou de mauvais fonctionnement du système permettant d'éliminer toute perte d'argent électronique en découlant.

Non-répudiation :

Le système doit assurer la non-répudiation des requêtes et des réponses entre les différents intervenants lors d'une transaction. Les messages doivent comporter une signature empêchant l'auteur de nier avoir émis le dit message.

2. Les principaux modes de paiement et leur sécurité :

Il existe plusieurs types de relations empruntant le réseau Internet.

Le paiement via un intermédiaire

Un paiement par Internet peut s'effectuer indirectement, via le serveur d'un intermédiaire. Cette intermédiation présuppose l'inscription des parties qui fournissent leurs coordonnées bancaires, stockées sur le serveur du prestataire.

L'intermédiaire fournit à ces clients des identifiants, et centralise les échanges d'ordres, qu'il se charge de transmettre aux banques respectives. Seuls les identifiants et les données de la transaction circulent sur le réseau en passant par la platte-forme interface équipée d'un fire-wall. (Exemples d'intermédiaires (parmi beaucoup d'autres) : CyberCash, First Virtual, Kleline...). Le système est développé en France par Kleline, qui assure un double cryptage des données (clé publique et clé privée). Un frein à cette solution est la quantité d'informations confidentielles et susceptibles d'intéresser tout service marketing stockées par l'intermédiaire.

La monnaie numérique

Parfois qualifiée d'audacieuse par les banques, l'invention d'une monnaie numérique permet également de réaliser des transactions sur le réseau. Cette monnaie virtuelle, ou e-cash, stockée sur le disque dur du consommateur est en fait une suite numérique codée à usage unique. Cette solution de paiement anonyme est notamment développée par Digicash qui propose une compatibilité avec les cartes à puces, ainsi qu'une bonne confidentialité, du fait que les données transitant ne soient pas copiables ou, à tout le moins, inutilisables isolément.

Netcash propose un produit similaire, crypté en PGP (pretty good privacy, clé publique associée à une clé privée). Si les numéros de série des " pièces virtuelles " sont vérifiables, cette solution ne permet néanmoins pas une traçabilité effective des paiements.

Le porte-monnaie électronique

Un autre mode de paiement né des nouvelles technologies et associé au réseau Internet est le porte monnaie électronique. Forts du succès des cartes prépayées qui dans un domaine distinct ont fait leurs preuves, les operating system (développeurs de systèmes d'interopérabilité) ont conçu toutes sortes de cartes rechargeables et destinées à effectuer des paiements de proximité. Les développeurs comme MasterCard et Visa se sont associés à des sociétés axées sur ce secteur, comme Mondex et CyberCash, pour proposer un nouveau type de cartes à puces polyvalentes (des " smart card " sécurisées). Les cartes Multex par exemple, sont réputées comme très sécuritaires dans les milieux bancaires.

Le paiement par carte bancaire

Le plus répandu des modes de paiement par Internet reste le paiement direct par carte bancaire. Le terminal de l'acheteur sert alors de facto de lecteur. Le procédé est des plus simples ; l'acheteur connecté au site du vendeur let communique la sa banque de ce dernier ses coordonnées bancaires via un formulaire virtuel.

Les données confidentielles vont transiter sur le réseau sont alors cryptées par un logiciel SSL(secure sockets layer), qui sécurise actuellement 95% des transactions B to C. Mais le potentiel de croissance du marché et le faible degré de sécurité ont conduit à l'élaboration de protocoles complémentaires de sécurisation. Au nombre de ces protocoles dits d'interopérabilité, a été développée la norme SET (secure electronic transaction), système polyvalent de sécurisation (par MasterCard et Visa).

Ce système permet de faire transiter un certificat numérique crypté aux lieux et places du numéro de carte bancaire. Cette norme a essentiellement été mise en fonction de manière transitoire ; le temps pour les groupes bancaires (EMV ; Europay, MasterCard, Visa) d'universaliser le développement des cartes à puce.

La dernière phase fut la mise en place d'une norme destinée à sécuriser les paiements par carte bancaire à puce, la norme C-SET (C pour Chip). Le développement de ce système a induit par la suite le raccordement d'un lecteur de carte à puce à l'ordinateur du consommateur ; cette interface matérielle étant couplée aux moyens logiciels de sécurisation, pour une confidentialité optimum. Les coordonnées bancaires ne transiteront plus par le réseau et les données de la transaction seront cryptées par le protocole SET.

Cette solution est développée en France par le Groupement des Cartes Bancaires avec notamment la société Cyber-Comm (qui compte neuf banques parmi ses actionnaires). Les responsables de cette société estiment offrire 100% de sécurité à leurs clients, et attendent des banques la diffusion de leur produit. Le seul inconvénient de ce mode de paiement est qu'il exclut les micro-paiements, en imposant un montant minimal pour les transactions. Ce problème n'est pas dû à un obstacle technique, mais à une volonté de ne pas faire double emploi avec les porte-monnaie électroniques.

La carte à puce ; une solution polyvalente

Un compromis entre ces modes de paiement aboutirait à une carte à puce polyvalente utilisable à la fois pour les paiements répondant à la norme C-SET et comme porte-monnaie électronique, chargeable en plusieurs devises ainsi qu'en monnaie virtuelle. C'est à notre sens la solution qui emportera l'approbation des consommateurs, éduqués à l'emploi de cartes à puce et rassurés par le niveau optimum de sécurité que présenterait un tel système. Le secteur bancaire s'est d'ores et déjà concerté sur le développement de la solution Cybercommerce, adaptable comme porte-monnaie électronique. Dès 2002, l'usage de ces portemonnaies devrait se généraliser avec le passage à l'Euro.

* ¹² Adaptation de "ELECTRIC MONEY", Byte , June 1996, pages 74,76