SlideShare ist ein Scribd-Unternehmen logo

Ecommerce

Jean David Olekhnovitch
Jean David Olekhnovitch

Les différents modes de paiement d'un site d'ecommerce. Avec des parenthèses sur des questions d'hébergement et de sécurité

Technologie
1 von 62
Downloaden Sie, um offline zu lesen
L’e-commerce : sécurité et paiements en ligne La corde sensible d’Internet : état des lieux Jean David Olekhnovitch www.olek.fr V1.2 - 29/01/10 mercredi 3 février 2010
Evolution du marché français Evolution du CA B to C en milliards d’euros 20,00 15,00 10,00 5,00 2002 2003 2004 0 2005 2006 2007 2008 mercredi 3 février 2010
Faire son site d’ecommerce • Comment ça marche ? • Quels prestataires ? • Quelles technologies ? • Quels budgets ? mercredi 3 février 2010
Différentes offres • ASP : Application Service Provider • Communautaire (eBay) • Prestation agence web • Sur mesure mercredi 3 février 2010
ASP : clé en main • Le site est hébergé sur un serveur distant, avec une solution toute prête • Aucune préoccupation technique à avoir • Mais pas de souplesses, fonctions limitées • Ex : PrestaStore, PowerBoutique, WiziShop mercredi 3 février 2010
Commaunautaire • On passe par un service ‘full ASP’, mais hébergé par un site gérant sa communauté • Garantie d’un trafic plus important • Mais se fait souvent payer au prix fort (% élevé sur les ventes, etc...) mercredi 3 février 2010
eBay : Un leader...déclinant • Propose divers services, allant de l’enchère jusqu’à la petite annonce • Nombreuses fonctions de mise en avant • Coût rapidement élevé • Site en perte de vitesse • Concurrence du ‘Bon coin’ en France mercredi 3 février 2010
Parenthèse : comparer deux donne des indicateurs • Des sites tels qu’Alexa services sur le trafic • Fiabilité <100%, mais les ‘proportions’ sont souvent les bonnes mercredi 3 février 2010
Autres modes ‘communautaires’ en • Comparateur de prix : s’apparentent de plus plus à des catalogues rémunérés par les vendeurs • Ex : Kelkoo • Boutiques d’affiliation : Zlio permet de créer une boutique de produits vendus par des tiers mercredi 3 février 2010
Prestation par une agence Web • Se basent en général sur une solution OpenSource existante (PrestaShop, Thelia, Magento...) • Disclaimer : je suis partie prenante dans la société éditrice de Thelia • Permet de se reposer sur un prestataire • Personnalisations possibles (charte graphique...) • Coût bien plus élevé mercredi 3 février 2010
Sur mesure • Faire travailler un ou plusieurs développeurs pour construire son site sur mesure • Souplesse absolue • Coût énorme • Fiabilité aléatoire • A réserver aux très gros projets mercredi 3 février 2010
Etat des lieux de l’eCommerce En France et à l’international mercredi 3 février 2010
Panier moyen en France 90 euros mercredi 3 février 2010
Abandon d’un panier entre 50 et 60% des cas Part de la peur du paiement ? mercredi 3 février 2010
Fraude 0,235% du CA Internet en 2008 (contre 0,036% tous secteurs confondus) mercredi 3 février 2010
Répartition des fraudes Electr. grand public Informatique 5 % Tourisme 4 % 1 % 30 % Téléphonie Habillement 10 % Alimentation Petit matériel élec. Divers 7 % 25 % 18 % Source : Fia-Net mercredi 3 février 2010
Les paiements “classiques” mercredi 3 février 2010
Paiement en ligne via sa banque • La plupart des banques proposent aujourd’hui des terminaux “en ligne” • Paiement via la saisie d’un numéro de carte bancaire sur le site • Les transactions sont gérées par la banque comme tout TPE (Terminal de Paiement Electronique) mercredi 3 février 2010
Principe de fonctionnement % !"#$% ! ,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<% • &'($#)*+&$'! % !"#$%&'(')*&+,#&#"(-%+ 1ère étape : après sélection du produit et % ! validation du panier, on demande le paiement !"#"$ ! %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! ! ! ! ! ! ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( ! mercredi 3 février 2010
% ! !"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! Saisie numéro de carte ! ! ! ! • ! ! L’internaute est ensuite rerouté sur le site de ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! paiement de la banque, via une liaison 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( sécurisée SSL ! Multiples cartes Saisie à la charge de Le look de l’internaute l’interface est volontairement vieillot (donne l’impression de robustesse) Contrôle cryptogramme mercredi 3 février 2010 !
% ! "!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(!'-(!*+7(!)$%-582,+.%8-!+9(1! '-! #%(-! :)8-.! #(! .(;.(! (&.! *(2&8--+#%&+3#(</! 4'%! *(2,(.! =! #$+16(.('2! )(! 2(.8'2-(2! &'2! #(! Confirmation paiement &%.(!)'!18,,(2>+-.!?! ! ! !"#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&( ( ! • Après validation de la carte, un écran confirme la commande et renvoie sur le site du marchand ! ! mercredi 3 février 2010 !
% !"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0* Gestion des paiements !"#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;( ( • La banque fournit au marchant un “BackOffice” de gestion des paiements • La plupart de ces services restent très rudimentaires mercredi 3 février 2010
"#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&! ($3$-5)#6&#! 0'! 7*-5*&#! 89:! -+'(&')'(! 0'! #$-)/*(03)(*7! ,&%! -+..)',&%! /);$&%! %0#! 0'&! Intégration à un système <+0#'$&!=! ! "#$%&'#(!!"#$%)*+!,-'./.(&!0!!1&&23044555678.9'&/%&%.$6:84&.$.2;'./.(&! d’information Il est souvent possible d’exporter les données de paiement au format XML, pour traitement dans une autre application (backend de gestion commerciale...) mercredi 3 février 2010
Cryptage des transferts • Via SSL, l’algorithme géré par les navigateurs Web (Internet Explorer, Firefox...) • Ce mécanisme allie : • Un certificat signant l’authenticité du serveur • Un algorithme de cryptage 128 bits mercredi 3 février 2010
SSL dans la pratique • L’adresse du site doit être précédée de HTTPS:// • La liaison sécurisée est représentée par un cadenas • Si le serveur n’utilise pas de certificat, ou un certificat périmé, le cryptage demeure utilisable mercredi 3 février 2010
Solidité SSL ? • SSL comme tous les algos de cryptage, n’est pas à l’abri de tout piratage • Mais “cracker” une clé SSL nécessite de tels moyens qu’une telle opération n’est dans la pratique jamais effectuée • SSL peut donc être considéré comme complètement fiable mercredi 3 février 2010
Principaux problèmes rencontrés • Vol de numéro de carte bancaire • Ex : laisser sa carte quelques secondes à un commerçant peu scrupuleux • Génération de faux numéros de cartes • Les fameuses «Yes-Cards» • Mauvaise foi de l’acheteur mercredi 3 février 2010
Usurpation de carte bancaire Les numéros de carte bancaire sont des suites numériques reproductibles en suivant certaines règles mathématiques mercredi 3 février 2010
Génération de faux numéros de CB • Des logiciels existent • Permet de simuler une banque, un nom de porteur... • Ces “yescard” permettent de passer les simples vérifications numériques (pas d’appel direct avec les centraux bancaires) mercredi 3 février 2010
Codes de contrôle (cryptogramme visuel) • Numéro inscrit à l’arrière des cartes, et est demandé pour chacune des transactions • Ce numéro ne peut être généré • Il fonctionne via un algorithme de cryptage unidirectionnel • Il permet de valider un numéro de carte • Ne peut être généré à partir de ce numéro ➡Bonne parade aux “yescard” mercredi 3 février 2010
Parades plus avancées • Si un commerçant ‘emprunte’ votre carte, il va pouvoir noter le numéro...et le cryptogramme • Il faut donc des verrous plus puissants permettant un troisième niveau de contrôle : 1. Numéro de carte valide 2. Cryptogramme correspondant au numéro 3. Autre questionnement : 3DSecure mercredi 3 février 2010
3D Secure • Mis au point en 2008 par un consortium de banque • Consiste en une question ‘subsidiaire’ • Suivant les banques, la question change : • Ex : date de naissance • Ex : code envoyé par SMS • Ex : clé d’authenfication mercredi 3 février 2010
3D Secure : un handicap ? • Pour les marchands, 3D Secure est considéré comme un frein à la vente : trop de contraintes • Pour une protection concernant un nombre de cas trop limités ? • Protection ‘ultime’ ? (ex : date de naissance peut être récupérée par Facebook, code postal par l’annuaire, etc...) mercredi 3 février 2010
Certification et vérification • FIA-Net • Deux rôles principaux : • ‘labellise’ les sites d’e-commerce les plus reconnus • Recense les mauvais payeurs et permet d’éviter des transactions frauduleuses mercredi 3 février 2010
Contact Data Management • Vérification d’une adresse postale • Permet de filtrer les commandes les plus négligées • Et aussi de s’assurer d’une livraison dans de bonnes conditions • Leader : QAS mercredi 3 février 2010
PayPal mercredi 3 février 2010
PayPal • Créé à l’initiative d’eBay • Disponible désormais pour n’importe quel site mercredi 3 février 2010
Principes de PayPal • Les transactions ne passent plus par un organisme bancaire • Tout reste “virtuel” • Vous obtenez l’équivalent d’un compte bancaire chez PayPal : • Vous pouvez recevoir des paiements • Et en effectuer mercredi 3 février 2010
Principe d’un paiement Qu’est-ce que PayPal? ! PayPal est une solution de paiement en ligne ! Simple ! Rapide ! Internationale ! Sécurisée 3 mercredi 3 février 2010
Intérêt de PayPal • Pour l’utilisateur : • Pas de coordonnées bancaires en ligne • Transactions facilitées • Pour PayPal : • la somme des comptes PayPal constitue un capital à faire fructifier mercredi 3 février 2010
Boutiques PayPal • La principale : eBay • Les transactions PayPal sont favorisées • N’importe quelle boutique PayPal : exemples de sites marchands • Via une API • Possibilité de widgets facilitant l’acte d’achat mercredi 3 février 2010
PayPal sur une boutique d’e-commerce • Simple création de compte en ligne • un compte de marchand est un compte PayPal classique • Commission à la vente : entre 1,9% et 3,4% • Solution reconnue internationalement • Compte PayPal client non obligatoire... mais recommandé mercredi 3 février 2010
PayPal sans compte Paiement avec ou sans création de compte : « sans » • Un paiement similaire à un paiement sécurisé en ligne CB classique. • La création du compte PayPal est optionnelle. 14 mercredi 3 février 2010
PayPal avec un compte Paiement avec ou sans création de compte : « avec » Un paiement en 2 clics sans partager mes données financières 15 mercredi 3 février 2010
Paiements pré-approuvés Paiements pré-approuvés : principe • ! Cette option permet d’établir une pré-approbat L’acheteur s’inscrit une fois des paiements entre le site et l’acheteur ! L’équivalent électronique d’une autorisation de prélèvem • Il se désinscrit à la demande bancaire • ! Intérêt : vos acheteurs vous paient en un clic Tous les achats se font en mode “one-clic” ! Dès que l’acheteur a approuvé la pré-facturation avec le marchand, il n’a plus besoin d’entrer ni login PayPal ni m • Facilite les achats impulsifss passe. ! Permet au marchand de facturer et gérer l’échéancier d’ • paiement récurrent Permet de regrouper les paiements !Exemples : • Modèle économique “à la iTunes” 17 mercredi 3 février 2010
Fraude sur PayPal • Taux annoncé : 0,5% • Pas si bas que cela... (possibilité de phishing de comptes) • Système de vérification des comptes • Contrôle des crédits sur les comptes • Structure dédiée à la sécurité, et non une antenne de structure bancaire mercredi 3 février 2010
Micropaiements mercredi 3 février 2010
Les micropaiements • Problématique : • Faciliter l’acte d’achat • Permettre le paiement de petites sommes • Ex : achat de musique, de sonnerie de tel.. • Eviter l’utilisation de la carte bancaire mercredi 3 février 2010
Principaux commerces • Musique en ligne • Accès privatif à des sites adultes • Accès à des services “Premiums” de sites Web • Achat de documents en ligne • Achat de sonneries, de fonds d’écran de tél.. • Des exemples sur www.biz-n-cash.fr mercredi 3 février 2010
Marché visé 0 à $4,99 $5 à $49 > à $50 100 75 24 % 50 33 % 25 0 2004 2005 43 % mercredi 3 février 2010
Principaux médias de micropaiement • Tél surtaxé • SMS surtaxé • Paiement via son FAI mercredi 3 février 2010
Le téléphone : un terminal de paiement • Il devient possible d’utiliser son téléphone pour effectuer des micro-paiements • Principe : appel d’un numéro surtaxé • On obtient au téléphone un code • Alternative : code reçu par SMS • Le code doit être rentré sur le site pour donner accès au “produit” mercredi 3 février 2010
Utilisation du téléphone • Démocratisé pour les sites XXX • Dépense “indolore” (passe par la facture téléphonique) mercredi 3 février 2010
Micropaiement via son fournisseur d’accès • Certains FAI (Orange, Free) proposent des services de micropaiement • Identification “induite” via la connexion • La transaction s’effectue directement entre le site d’e-commerce et le FAI • Paiement entièrement transparent (juste une validation) • La facturation se fait en même temps que l’abonnement mercredi 3 février 2010
Micropaiement via le FAI (d’après www.w-ha.com) mercredi 3 février 2010
Terminal portable • L’exemple de Square, Startup fondée en 2009 • Utilise un iPhone et un petit accessoire • Lit la piste magnétique • Utilisable en France ? • Outil à la fois pour le revendeur et le client mercredi 3 février 2010
Phishing et autres arnaques mercredi 3 février 2010
Le phishing (hameçonnage) • Principe : faire croire qu’un email vous est adressé et vous faire saisir login et mot de passe • Moyens : recréer à l’identique l’environnement du site d’origine • Le phishing est un cas particulier de Scam, ou fraude 4-1-9 (envoi de mail profitant de la crédulité des gens) mercredi 3 février 2010
Exemple de phishing mercredi 3 février 2010
Comment détecter du phishing ? • Problème : très difficile a détecter automatiquement • Pas de logiciel “anti-phishing” • Premier indice : l’URL mercredi 3 février 2010
Comment détecter du phishing ? (2) • Les “vrais” mails envoyés par de tels services intègrent maintenant systématiquement vos noms et prénoms • Preuve que la base de données derrière est bien la vraie mercredi 3 février 2010
Parades contre le phishing • Les navigateurs modernes incluent des consultations de bases de données recensant les phishing les plus connus mercredi 3 février 2010

Empfohlen

JAVA, JDBC et liaison base de données
JAVA, JDBC et liaison base de donnéesJAVA, JDBC et liaison base de données
JAVA, JDBC et liaison base de donnéesJean David Olekhnovitch
 
Développement web mobile avec IONIC 2
Développement web mobile avec IONIC 2Développement web mobile avec IONIC 2
Développement web mobile avec IONIC 2Jean David Olekhnovitch
 
Gmt anglet 2010
Gmt anglet 2010Gmt anglet 2010
Gmt anglet 2010MONA
 
Web 2.0 BtoB pour les entreprises, les marques, les collaborateurs
Web 2.0 BtoB pour les entreprises, les marques, les collaborateursWeb 2.0 BtoB pour les entreprises, les marques, les collaborateurs
Web 2.0 BtoB pour les entreprises, les marques, les collaborateursegrospiron
 
Formation Web 2.0
Formation Web 2.0Formation Web 2.0
Formation Web 2.0MEMOIRE PATRIMOINE CLOHARS CARNOET
 
NetObservatory : Quelle sécurité IT pour nos PME Suisse ?
NetObservatory : Quelle sécurité IT pour nos PME Suisse ?NetObservatory : Quelle sécurité IT pour nos PME Suisse ?
NetObservatory : Quelle sécurité IT pour nos PME Suisse ?Rezonance
 
Dématérialisation des Marchés publics : Comment répondre par voie électronique ?
Dématérialisation des Marchés publics : Comment répondre par voie électronique ?Dématérialisation des Marchés publics : Comment répondre par voie électronique ?
Dématérialisation des Marchés publics : Comment répondre par voie électronique ?Xavier Masclaux
 
Initiation aux notions du web.2.0
Initiation aux notions du web.2.0Initiation aux notions du web.2.0
Initiation aux notions du web.2.0MEMOIRE PATRIMOINE CLOHARS CARNOET
 

Empfohlen

JAVA, JDBC et liaison base de données
JAVA, JDBC et liaison base de donnéesJAVA, JDBC et liaison base de données
JAVA, JDBC et liaison base de donnéesJean David Olekhnovitch
 
Développement web mobile avec IONIC 2
Développement web mobile avec IONIC 2Développement web mobile avec IONIC 2
Développement web mobile avec IONIC 2Jean David Olekhnovitch
 
Gmt anglet 2010
Gmt anglet 2010Gmt anglet 2010
Gmt anglet 2010MONA
 
Web 2.0 BtoB pour les entreprises, les marques, les collaborateurs
Web 2.0 BtoB pour les entreprises, les marques, les collaborateursWeb 2.0 BtoB pour les entreprises, les marques, les collaborateurs
Web 2.0 BtoB pour les entreprises, les marques, les collaborateursegrospiron
 
Formation Web 2.0
Formation Web 2.0Formation Web 2.0
Formation Web 2.0MEMOIRE PATRIMOINE CLOHARS CARNOET
 
NetObservatory : Quelle sécurité IT pour nos PME Suisse ?
NetObservatory : Quelle sécurité IT pour nos PME Suisse ?NetObservatory : Quelle sécurité IT pour nos PME Suisse ?
NetObservatory : Quelle sécurité IT pour nos PME Suisse ?Rezonance
 
Dématérialisation des Marchés publics : Comment répondre par voie électronique ?
Dématérialisation des Marchés publics : Comment répondre par voie électronique ?Dématérialisation des Marchés publics : Comment répondre par voie électronique ?
Dématérialisation des Marchés publics : Comment répondre par voie électronique ?Xavier Masclaux
 
Initiation aux notions du web.2.0
Initiation aux notions du web.2.0Initiation aux notions du web.2.0
Initiation aux notions du web.2.0MEMOIRE PATRIMOINE CLOHARS CARNOET
 
L'e-commerce - Pôle Numérique - Afpa Valence - février 2013
L'e-commerce - Pôle Numérique - Afpa Valence - février 2013L'e-commerce - Pôle Numérique - Afpa Valence - février 2013
L'e-commerce - Pôle Numérique - Afpa Valence - février 2013Le Moulin Digital
 
Sécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceSécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceWoomeet
 
Quatuor - Utiliser l'e-commerce comme levier de croissance
Quatuor - Utiliser l'e-commerce comme levier de croissanceQuatuor - Utiliser l'e-commerce comme levier de croissance
Quatuor - Utiliser l'e-commerce comme levier de croissanceBenoit Rondeux
 
Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...
Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...
Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...Swissgento eCom Genève
 
Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...
Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...
Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...PrestaShop
 
Internet & responsabilité sociétale
Internet & responsabilité sociétaleInternet & responsabilité sociétale
Internet & responsabilité sociétaleJust in Time Management Group
 
Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)
Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)
Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)Michel Lebon
 
Etude sites e-commerce jouets de
Etude sites e-commerce jouets deEtude sites e-commerce jouets de
Etude sites e-commerce jouets dejpcrenn
 
Designs Patterns
Designs PatternsDesigns Patterns
Designs PatternsJean David Olekhnovitch
 
Python
PythonPython
PythonJean David Olekhnovitch
 
Internet mobile : conception de sites et d'applications
Internet mobile : conception de sites et d'applicationsInternet mobile : conception de sites et d'applications
Internet mobile : conception de sites et d'applicationsJean David Olekhnovitch
 
Agilité et Entreprise libérée
Agilité et Entreprise libéréeAgilité et Entreprise libérée
Agilité et Entreprise libéréeJean David Olekhnovitch
 
Télétravail et égilité : un mariage impossible ?
Télétravail et égilité : un mariage impossible ?Télétravail et égilité : un mariage impossible ?
Télétravail et égilité : un mariage impossible ?Jean David Olekhnovitch
 
Java - implémentation des concepts objets
Java - implémentation des concepts objetsJava - implémentation des concepts objets
Java - implémentation des concepts objetsJean David Olekhnovitch
 
Java - notions de bases pour développeur
Java - notions de bases pour développeurJava - notions de bases pour développeur
Java - notions de bases pour développeurJean David Olekhnovitch
 
Internet mobile
Internet mobileInternet mobile
Internet mobileJean David Olekhnovitch
 
Genielogiciel
GenielogicielGenielogiciel
GenielogicielJean David Olekhnovitch
 
Plan d'action WAI
Plan d'action WAIPlan d'action WAI
Plan d'action WAIJean David Olekhnovitch
 

Weitere ähnliche Inhalte

Ähnlich wie Ecommerce

L'e-commerce - Pôle Numérique - Afpa Valence - février 2013
L'e-commerce - Pôle Numérique - Afpa Valence - février 2013L'e-commerce - Pôle Numérique - Afpa Valence - février 2013
L'e-commerce - Pôle Numérique - Afpa Valence - février 2013Le Moulin Digital
 
Sécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceSécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceWoomeet
 
Quatuor - Utiliser l'e-commerce comme levier de croissance
Quatuor - Utiliser l'e-commerce comme levier de croissanceQuatuor - Utiliser l'e-commerce comme levier de croissance
Quatuor - Utiliser l'e-commerce comme levier de croissanceBenoit Rondeux
 
Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...
Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...
Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...Swissgento eCom Genève
 
Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...
Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...
Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...PrestaShop
 
Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)
Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)
Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)Michel Lebon
 
Etude sites e-commerce jouets de
Etude sites e-commerce jouets deEtude sites e-commerce jouets de
Etude sites e-commerce jouets dejpcrenn
 

Ähnlich wie Ecommerce (8)

L'e-commerce - Pôle Numérique - Afpa Valence - février 2013
L'e-commerce - Pôle Numérique - Afpa Valence - février 2013L'e-commerce - Pôle Numérique - Afpa Valence - février 2013
L'e-commerce - Pôle Numérique - Afpa Valence - février 2013
 
Sécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerceSécurisation applicatives pour le e-commerce
Sécurisation applicatives pour le e-commerce
 
Quatuor - Utiliser l'e-commerce comme levier de croissance
Quatuor - Utiliser l'e-commerce comme levier de croissanceQuatuor - Utiliser l'e-commerce comme levier de croissance
Quatuor - Utiliser l'e-commerce comme levier de croissance
 
Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...
Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...
Cross Agency : E-Commerce mobile & réseaux sociaux, quelles opportunités avec...
 
Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...
Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...
Barcamp 3 PrestaShop - Découvrez le webservice et la version mobile de Presta...
 
Internet & responsabilité sociétale
Internet & responsabilité sociétaleInternet & responsabilité sociétale
Internet & responsabilité sociétale
 
Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)
Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)
Contribution à la FeuilleDeRoute de l'état sur la(les) Fracture(s) Numérique(s)
 
Etude sites e-commerce jouets de
Etude sites e-commerce jouets deEtude sites e-commerce jouets de
Etude sites e-commerce jouets de
 

Mehr von Jean David Olekhnovitch

Internet mobile : conception de sites et d'applications
Internet mobile : conception de sites et d'applicationsInternet mobile : conception de sites et d'applications
Internet mobile : conception de sites et d'applicationsJean David Olekhnovitch
 
Télétravail et égilité : un mariage impossible ?
Télétravail et égilité : un mariage impossible ?Télétravail et égilité : un mariage impossible ?
Télétravail et égilité : un mariage impossible ?Jean David Olekhnovitch
 
Java - implémentation des concepts objets
Java - implémentation des concepts objetsJava - implémentation des concepts objets
Java - implémentation des concepts objetsJean David Olekhnovitch
 
Java - notions de bases pour développeur
Java - notions de bases pour développeurJava - notions de bases pour développeur
Java - notions de bases pour développeurJean David Olekhnovitch
 

Mehr von Jean David Olekhnovitch (10)

Designs Patterns
Designs PatternsDesigns Patterns
Designs Patterns
 
Python
PythonPython
Python
 
Internet mobile : conception de sites et d'applications
Internet mobile : conception de sites et d'applicationsInternet mobile : conception de sites et d'applications
Internet mobile : conception de sites et d'applications
 
Agilité et Entreprise libérée
Agilité et Entreprise libéréeAgilité et Entreprise libérée
Agilité et Entreprise libérée
 
Télétravail et égilité : un mariage impossible ?
Télétravail et égilité : un mariage impossible ?Télétravail et égilité : un mariage impossible ?
Télétravail et égilité : un mariage impossible ?
 
Java - implémentation des concepts objets
Java - implémentation des concepts objetsJava - implémentation des concepts objets
Java - implémentation des concepts objets
 
Java - notions de bases pour développeur
Java - notions de bases pour développeurJava - notions de bases pour développeur
Java - notions de bases pour développeur
 
Internet mobile
Internet mobileInternet mobile
Internet mobile
 
Genielogiciel
GenielogicielGenielogiciel
Genielogiciel
 
Plan d'action WAI
Plan d'action WAIPlan d'action WAI
Plan d'action WAI
 

Ecommerce

  • 1. L’e-commerce : sécurité et paiements en ligne La corde sensible d’Internet : état des lieux Jean David Olekhnovitch www.olek.fr V1.2 - 29/01/10 mercredi 3 février 2010
  • 2. Evolution du marché français Evolution du CA B to C en milliards d’euros 20,00 15,00 10,00 5,00 2002 2003 2004 0 2005 2006 2007 2008 mercredi 3 février 2010
  • 3. Faire son site d’ecommerce • Comment ça marche ? • Quels prestataires ? • Quelles technologies ? • Quels budgets ? mercredi 3 février 2010
  • 4. Différentes offres • ASP : Application Service Provider • Communautaire (eBay) • Prestation agence web • Sur mesure mercredi 3 février 2010
  • 5. ASP : clé en main • Le site est hébergé sur un serveur distant, avec une solution toute prête • Aucune préoccupation technique à avoir • Mais pas de souplesses, fonctions limitées • Ex : PrestaStore, PowerBoutique, WiziShop mercredi 3 février 2010
  • 6. Commaunautaire • On passe par un service ‘full ASP’, mais hébergé par un site gérant sa communauté • Garantie d’un trafic plus important • Mais se fait souvent payer au prix fort (% élevé sur les ventes, etc...) mercredi 3 février 2010
  • 7. eBay : Un leader...déclinant • Propose divers services, allant de l’enchère jusqu’à la petite annonce • Nombreuses fonctions de mise en avant • Coût rapidement élevé • Site en perte de vitesse • Concurrence du ‘Bon coin’ en France mercredi 3 février 2010
  • 8. Parenthèse : comparer deux donne des indicateurs • Des sites tels qu’Alexa services sur le trafic • Fiabilité <100%, mais les ‘proportions’ sont souvent les bonnes mercredi 3 février 2010
  • 9. Autres modes ‘communautaires’ en • Comparateur de prix : s’apparentent de plus plus à des catalogues rémunérés par les vendeurs • Ex : Kelkoo • Boutiques d’affiliation : Zlio permet de créer une boutique de produits vendus par des tiers mercredi 3 février 2010
  • 10. Prestation par une agence Web • Se basent en général sur une solution OpenSource existante (PrestaShop, Thelia, Magento...) • Disclaimer : je suis partie prenante dans la société éditrice de Thelia • Permet de se reposer sur un prestataire • Personnalisations possibles (charte graphique...) • Coût bien plus élevé mercredi 3 février 2010
  • 11. Sur mesure • Faire travailler un ou plusieurs développeurs pour construire son site sur mesure • Souplesse absolue • Coût énorme • Fiabilité aléatoire • A réserver aux très gros projets mercredi 3 février 2010
  • 12. Etat des lieux de l’eCommerce En France et à l’international mercredi 3 février 2010
  • 13. Panier moyen en France 90 euros mercredi 3 février 2010
  • 14. Abandon d’un panier entre 50 et 60% des cas Part de la peur du paiement ? mercredi 3 février 2010
  • 15. Fraude 0,235% du CA Internet en 2008 (contre 0,036% tous secteurs confondus) mercredi 3 février 2010
  • 16. Répartition des fraudes Electr. grand public Informatique 5 % Tourisme 4 % 1 % 30 % Téléphonie Habillement 10 % Alimentation Petit matériel élec. Divers 7 % 25 % 18 % Source : Fia-Net mercredi 3 février 2010
  • 17. Les paiements “classiques” mercredi 3 février 2010
  • 18. Paiement en ligne via sa banque • La plupart des banques proposent aujourd’hui des terminaux “en ligne” • Paiement via la saisie d’un numéro de carte bancaire sur le site • Les transactions sont gérées par la banque comme tout TPE (Terminal de Paiement Electronique) mercredi 3 février 2010
  • 19. Principe de fonctionnement % !"#$% ! ,-./0/12%3-4%5-42/%6-15-.4/%784%&12/41/29%7:584.7:%3-4%;;<% • &'($#)*+&$'! % !"#$%&'(')*&+,#&#"(-%+ 1ère étape : après sélection du produit et % ! validation du panier, on demande le paiement !"#"$ ! %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! ! ! ! ! ! ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( ! mercredi 3 février 2010
  • 20. % ! !"#"$ %&'()*+,*-.$/&$01$+21'&$+1*&3&.,$ ! ! ! ! Saisie numéro de carte ! ! ! ! • ! ! L’internaute est ensuite rerouté sur le site de ! ! "#$%&'(')*! $**+,'! -)*! .'! -+('! -/%)*+-/! 0'! .$! 1$23)'! $4*5-! $,6+*! %.+3)/! -)*! .'! paiement de la banque, via une liaison 16)(62!7!4$+'8'2(!4$*!%$*('!1$2%$+*'!9!0)!-+('!0)!%688'*:$2(!;!! ! !"#$%&"'(!"#$%)*+(,-&./.'%(0((1%%23044555678.9&%/$%$.#6:84%.#.2;&./.'%( sécurisée SSL ! Multiples cartes Saisie à la charge de Le look de l’internaute l’interface est volontairement vieillot (donne l’impression de robustesse) Contrôle cryptogramme mercredi 3 février 2010 !
  • 21. % ! "!#$%&&'(!)'!*+%(,(-./!#(!&%.(!&01'2%&0!)(!#+!3+-4'(!+55%16(!'-(!*+7(!)$%-582,+.%8-!+9(1! '-! #%(-! :)8-.! #(! .(;.(! (&.! *(2&8--+#%&+3#(</! 4'%! *(2,(.! =! #$+16(.('2! )(! 2(.8'2-(2! &'2! #(! Confirmation paiement &%.(!)'!18,,(2>+-.!?! ! ! !"#$%&"'()*&+,+'%(-./(0(1%%2304433#526&+,+'%576'8$+9"7:5;<426&+,+'%5:=&( ( ! • Après validation de la carte, un écran confirme la commande et renvoie sur le site du marchand ! ! mercredi 3 février 2010 !
  • 22. % !"#$%&'(')"#*+,*&(*&)$',*+,*-"$*."//(#+,$*0* Gestion des paiements !"#$%&"'()*&+,+'%(-.-(/*0%%12/3322#415&+,+'%46&6785'9$+24:;( ( • La banque fournit au marchant un “BackOffice” de gestion des paiements • La plupart de ces services restent très rudimentaires mercredi 3 février 2010
  • 23. "#$%&'()(*+'! ,&%! -+..)',&%! /)#! ,)(&! ,&! .*%&! &'! #&-+01#&.&'(2! *3! &%(! /+%%*43&! ,&! ($3$-5)#6&#! 0'! 7*-5*&#! 89:! -+'(&')'(! 0'! #$-)/*(03)(*7! ,&%! -+..)',&%! /);$&%! %0#! 0'&! Intégration à un système <+0#'$&!=! ! "#$%&'#(!!"#$%)*+!,-'./.(&!0!!1&&23044555678.9'&/%&%.$6:84&.$.2;'./.(&! d’information Il est souvent possible d’exporter les données de paiement au format XML, pour traitement dans une autre application (backend de gestion commerciale...) mercredi 3 février 2010
  • 24. Cryptage des transferts • Via SSL, l’algorithme géré par les navigateurs Web (Internet Explorer, Firefox...) • Ce mécanisme allie : • Un certificat signant l’authenticité du serveur • Un algorithme de cryptage 128 bits mercredi 3 février 2010
  • 25. SSL dans la pratique • L’adresse du site doit être précédée de HTTPS:// • La liaison sécurisée est représentée par un cadenas • Si le serveur n’utilise pas de certificat, ou un certificat périmé, le cryptage demeure utilisable mercredi 3 février 2010
  • 26. Solidité SSL ? • SSL comme tous les algos de cryptage, n’est pas à l’abri de tout piratage • Mais “cracker” une clé SSL nécessite de tels moyens qu’une telle opération n’est dans la pratique jamais effectuée • SSL peut donc être considéré comme complètement fiable mercredi 3 février 2010
  • 27. Principaux problèmes rencontrés • Vol de numéro de carte bancaire • Ex : laisser sa carte quelques secondes à un commerçant peu scrupuleux • Génération de faux numéros de cartes • Les fameuses «Yes-Cards» • Mauvaise foi de l’acheteur mercredi 3 février 2010
  • 28. Usurpation de carte bancaire Les numéros de carte bancaire sont des suites numériques reproductibles en suivant certaines règles mathématiques mercredi 3 février 2010
  • 29. Génération de faux numéros de CB • Des logiciels existent • Permet de simuler une banque, un nom de porteur... • Ces “yescard” permettent de passer les simples vérifications numériques (pas d’appel direct avec les centraux bancaires) mercredi 3 février 2010
  • 30. Codes de contrôle (cryptogramme visuel) • Numéro inscrit à l’arrière des cartes, et est demandé pour chacune des transactions • Ce numéro ne peut être généré • Il fonctionne via un algorithme de cryptage unidirectionnel • Il permet de valider un numéro de carte • Ne peut être généré à partir de ce numéro ➡Bonne parade aux “yescard” mercredi 3 février 2010
  • 31. Parades plus avancées • Si un commerçant ‘emprunte’ votre carte, il va pouvoir noter le numéro...et le cryptogramme • Il faut donc des verrous plus puissants permettant un troisième niveau de contrôle : 1. Numéro de carte valide 2. Cryptogramme correspondant au numéro 3. Autre questionnement : 3DSecure mercredi 3 février 2010
  • 32. 3D Secure • Mis au point en 2008 par un consortium de banque • Consiste en une question ‘subsidiaire’ • Suivant les banques, la question change : • Ex : date de naissance • Ex : code envoyé par SMS • Ex : clé d’authenfication mercredi 3 février 2010
  • 33. 3D Secure : un handicap ? • Pour les marchands, 3D Secure est considéré comme un frein à la vente : trop de contraintes • Pour une protection concernant un nombre de cas trop limités ? • Protection ‘ultime’ ? (ex : date de naissance peut être récupérée par Facebook, code postal par l’annuaire, etc...) mercredi 3 février 2010
  • 34. Certification et vérification • FIA-Net • Deux rôles principaux : • ‘labellise’ les sites d’e-commerce les plus reconnus • Recense les mauvais payeurs et permet d’éviter des transactions frauduleuses mercredi 3 février 2010
  • 35. Contact Data Management • Vérification d’une adresse postale • Permet de filtrer les commandes les plus négligées • Et aussi de s’assurer d’une livraison dans de bonnes conditions • Leader : QAS mercredi 3 février 2010
  • 37. PayPal • Créé à l’initiative d’eBay • Disponible désormais pour n’importe quel site mercredi 3 février 2010
  • 38. Principes de PayPal • Les transactions ne passent plus par un organisme bancaire • Tout reste “virtuel” • Vous obtenez l’équivalent d’un compte bancaire chez PayPal : • Vous pouvez recevoir des paiements • Et en effectuer mercredi 3 février 2010
  • 39. Principe d’un paiement Qu’est-ce que PayPal? ! PayPal est une solution de paiement en ligne ! Simple ! Rapide ! Internationale ! Sécurisée 3 mercredi 3 février 2010
  • 40. Intérêt de PayPal • Pour l’utilisateur : • Pas de coordonnées bancaires en ligne • Transactions facilitées • Pour PayPal : • la somme des comptes PayPal constitue un capital à faire fructifier mercredi 3 février 2010
  • 41. Boutiques PayPal • La principale : eBay • Les transactions PayPal sont favorisées • N’importe quelle boutique PayPal : exemples de sites marchands • Via une API • Possibilité de widgets facilitant l’acte d’achat mercredi 3 février 2010
  • 42. PayPal sur une boutique d’e-commerce • Simple création de compte en ligne • un compte de marchand est un compte PayPal classique • Commission à la vente : entre 1,9% et 3,4% • Solution reconnue internationalement • Compte PayPal client non obligatoire... mais recommandé mercredi 3 février 2010
  • 43. PayPal sans compte Paiement avec ou sans création de compte : « sans » • Un paiement similaire à un paiement sécurisé en ligne CB classique. • La création du compte PayPal est optionnelle. 14 mercredi 3 février 2010
  • 44. PayPal avec un compte Paiement avec ou sans création de compte : « avec » Un paiement en 2 clics sans partager mes données financières 15 mercredi 3 février 2010
  • 45. Paiements pré-approuvés Paiements pré-approuvés : principe • ! Cette option permet d’établir une pré-approbat L’acheteur s’inscrit une fois des paiements entre le site et l’acheteur ! L’équivalent électronique d’une autorisation de prélèvem • Il se désinscrit à la demande bancaire • ! Intérêt : vos acheteurs vous paient en un clic Tous les achats se font en mode “one-clic” ! Dès que l’acheteur a approuvé la pré-facturation avec le marchand, il n’a plus besoin d’entrer ni login PayPal ni m • Facilite les achats impulsifss passe. ! Permet au marchand de facturer et gérer l’échéancier d’ • paiement récurrent Permet de regrouper les paiements !Exemples : • Modèle économique “à la iTunes” 17 mercredi 3 février 2010
  • 46. Fraude sur PayPal • Taux annoncé : 0,5% • Pas si bas que cela... (possibilité de phishing de comptes) • Système de vérification des comptes • Contrôle des crédits sur les comptes • Structure dédiée à la sécurité, et non une antenne de structure bancaire mercredi 3 février 2010
  • 48. Les micropaiements • Problématique : • Faciliter l’acte d’achat • Permettre le paiement de petites sommes • Ex : achat de musique, de sonnerie de tel.. • Eviter l’utilisation de la carte bancaire mercredi 3 février 2010
  • 49. Principaux commerces • Musique en ligne • Accès privatif à des sites adultes • Accès à des services “Premiums” de sites Web • Achat de documents en ligne • Achat de sonneries, de fonds d’écran de tél.. • Des exemples sur www.biz-n-cash.fr mercredi 3 février 2010
  • 50. Marché visé 0 à $4,99 $5 à $49 > à $50 100 75 24 % 50 33 % 25 0 2004 2005 43 % mercredi 3 février 2010
  • 51. Principaux médias de micropaiement • Tél surtaxé • SMS surtaxé • Paiement via son FAI mercredi 3 février 2010
  • 52. Le téléphone : un terminal de paiement • Il devient possible d’utiliser son téléphone pour effectuer des micro-paiements • Principe : appel d’un numéro surtaxé • On obtient au téléphone un code • Alternative : code reçu par SMS • Le code doit être rentré sur le site pour donner accès au “produit” mercredi 3 février 2010
  • 53. Utilisation du téléphone • Démocratisé pour les sites XXX • Dépense “indolore” (passe par la facture téléphonique) mercredi 3 février 2010
  • 54. Micropaiement via son fournisseur d’accès • Certains FAI (Orange, Free) proposent des services de micropaiement • Identification “induite” via la connexion • La transaction s’effectue directement entre le site d’e-commerce et le FAI • Paiement entièrement transparent (juste une validation) • La facturation se fait en même temps que l’abonnement mercredi 3 février 2010
  • 55. Micropaiement via le FAI (d’après www.w-ha.com) mercredi 3 février 2010
  • 56. Terminal portable • L’exemple de Square, Startup fondée en 2009 • Utilise un iPhone et un petit accessoire • Lit la piste magnétique • Utilisable en France ? • Outil à la fois pour le revendeur et le client mercredi 3 février 2010
  • 57. Phishing et autres arnaques mercredi 3 février 2010
  • 58. Le phishing (hameçonnage) • Principe : faire croire qu’un email vous est adressé et vous faire saisir login et mot de passe • Moyens : recréer à l’identique l’environnement du site d’origine • Le phishing est un cas particulier de Scam, ou fraude 4-1-9 (envoi de mail profitant de la crédulité des gens) mercredi 3 février 2010
  • 59. Exemple de phishing mercredi 3 février 2010
  • 60. Comment détecter du phishing ? • Problème : très difficile a détecter automatiquement • Pas de logiciel “anti-phishing” • Premier indice : l’URL mercredi 3 février 2010
  • 61. Comment détecter du phishing ? (2) • Les “vrais” mails envoyés par de tels services intègrent maintenant systématiquement vos noms et prénoms • Preuve que la base de données derrière est bien la vraie mercredi 3 février 2010
  • 62. Parades contre le phishing • Les navigateurs modernes incluent des consultations de bases de données recensant les phishing les plus connus mercredi 3 février 2010