L'e-commerce et les places de marché
\
Sommaire
RETOURS GAGNANTS POUR SAP ET PEOPLESOFT
e-commerce
Vente en ligne LE DILEMME DES MARQUES
Relation Client L'"e-mail marketing" pour PME
Itipi : Tester la montée en charge de sites web
Covisint dopé par le soutien de PSA Peugeot Citroën
e-commerce
Créer son catalogue en ligne
Mieux vendre grâce aux jeux
Troquer ses surplus en ligne
Investissements industriels
Places de marché : Industry Suppliers en panne de financement
Location : Du logiciel aux services Web
Investissements industriels
Places de marché : pas facile de trouver le bon modèle
La signature électronique sur la ligne de départ
Ariba chasse sur les terres d'i2
Industrie
Comment acheter sur les places de marché
Investissements industriels
Internet : qui trouve encore des capitaux ?
Investissements industriels
Usinor, Rhodia, Schneider et TMM, ensemble sur le Web
Les enchères en ligne sous la coupe d'Ebay
De nouveaux outils pour sécuriser les paiements sur le net
Des cybermarchés sur les intranets
L'essor des ventes sous marque blanche
e-commerce
Pixibox mise sur les coupons virtuels
XML, langage phare de l'e-business
FreeMarkets tente d'associer conseil et enchères en ligne
Les tendances s'affichent sur le Net
Investissements industriels
KoobuyCity Rien ne sert de courir...
Pepsi remporte la bataille de la soif
Un cybermarché dédié aux fournitures
e-commerce
Places de marché : veiller aux garanties
Technos et Innovations
Ariba dopé par l'essor des places de marché
Renault veut communiquer on line
La location d'applications peine à décoller
WelcomeOffice met les fournitures de bureau en ligne
Commerce
Jacquet Industries mise sur l'e-commerce
Séduire les seniors
CanalCE.com cible les CE
Premières difficultés pour Priceline
Investissements industriels
Un procès à défaut de stratégie Internet
Le nouvel espéranto du Web
L'e-printing veut séduire les PME
La confiance dans l'Internet passe par des normes spécifiques
Agro
Les industriels de l'agroalimentaire s'affrontent sur le Net
Technos et Innovations
Places de marché : Qui sera le leader du 'B to B' ?
Un standard à vocation universelle
Telemarket tire profit de son expérience du Minitel
Orange Art mise sur le "B to B"
Auchan se lance, Carrefour lève le pied
Commerce
L'e-commerce adopte les mini-messages
Éco - social
La saga d'Amazon continue avec la vente de voitures
Une place de marché au secours des CE
Les 'Beenz' à l'assaut du Web
Jouer, gagner, acheter
De nouveaux initiateurs d'achats
Technos et Innovations
Les Webcoupons s'échangent
Textile - Habillement
Le textile dopé par Internet ?
L'immobilier muscle son offre
Se former en ligne
SAP en pleine période de transition
Investissements industriels
Invensys sauve Baan de la faillite
Assurer ses transactions
Commerce
Chimie : Création d'une nouvelle plate-forme d'e-commerce
Sécurité : Certifier pour acheter en toute sécurité
Investissements industriels
Les premiers développements de l'" e-chimie "
Déstocker sur Internet
Commerce
Les marchés entrent dans l'ère de l'e.commerce
Commerce
E-commerce : Choisir son système de paiement (07 novembre 2001)
La " révolution Internet " provoque une forte rupture culturelle
Commerce
La Carte bleue perd son crédit
Produits culturels
Commerce
e-Commerce en France
Des robots pour comparer
Equipement de sécurité
Se prémunir contre les risques de piratage
Indicateur : Le bond en avant du capital-risque
Consommation
Biens de consommation
Les systèmes communiquent grâce à Iona
Informatique
Informatique : Sage mise sur Ubiquis pour gagner Internet
Le B-TP tisse sa toile
Investissements industriels
Internet envahit la mécanique
Investissements industriels
Achats : Les concurrents surfent sur les mêmes pistes
Investissements industriels
Internet rebat les cartes de la logistique
Commerce
Commerce électronique : Toujours plus de ventes en ligne
Investissements industriels
Acheter ou vendre son électricité : tout va bouger
Le prix de la fidélité
Flexicom multiplie les devises
Commerce
Trintech, pionnier du m-Commerce
Baltimore Technologies, l'expert en sécurité
Les constructeurs se cherchent un modèle Internet
Profiter de l'affiliation
e-commerce
Internet : Premier avertissement sans frais
Les clients parlent aux clients
Investissements industriels
Moins de casse, mais de nouveaux risques
Un profil universel des internautes
Dans le creux de la vague
Télécoms
L'accord Vivendi-Vodafone décrypté
Commerce
BEA Systems le 'plombier' de l'e-commerce
Le langage XML décloisonne l'informatique
Alaxis adapte son offre à l'internaute
Internet se paie Hollywood
Le Web fait sa publicité
Investissements industriels
La Poste : Gros défis, petits moyens
Autodesk se refait une santé sur Internet
Technos et Innovations
Intégrer la biométrie
L'industrie passe à l'ère post - PC
Investissements industriels
Quand les industriels jouent les capital-risqueurs
Année test pour l'e-Noël
Investissements industriels
Le pari de l'explosion des services sur les mobiles
Rassembler pour moins payer
Les cartes à puce de seconde génération en pleine effervescence
La Fnac à fond sur le Web
L'Hexagone et le 'New Age'
Le Web s'immisce partout
Investissements industriels
SAP joue son avenir sur Internet
Le 'B to B' fait son marché
Commerce
Quels transporteurs pour l'e.commerce ?
Trois manières d'organiser et de gérer ses flux
Transports et logistique
Quelle logistique pour les achats en ligne ?
Technos et Innovations
Un bureau virtuel sécurisé
PPR se dote d'une filiale Internet
Investissements industriels
Thomson Multimédia Les clés du redressement
Parer aux trous de mémoire
Commerce
La Poste s'adapte au commerce en ligne
Les réseaux d'affiliés stimulent les ventes
Des sites et des chartes
La signature électronique bientôt reconnue
Sun joue la carte de la gratuité sur Internet
Les sites veulent rassurer les internautes
Investissements industriels
Créer son business avec Internet
Investissements industriels
Pluie d'euros sur les entreprises Internet
Les trois défis Internet de Compaq
Internet : la cryptologie en voie de libéralisation
Investissements industriels
Sophia-Antipolis en quête d'un nouveau souffle
Une boutique virtuelle en kit et en ligne
Les nouveaux risques informatiques
La nouvelle poule aux oeufs d'or
Imediation 'booste' la cyberdistribution
Commerce
Les réseaux anticipent l'explosion du commerce électronique
Des services sur les téléphones portables
Porte-monnaie électronique : vers une standardisation
Commerce
SAP se lance dans le commerce électronique
Auto
Automobile : Les constructeurs européens accélèrent sur le Web
Comment Internet bouleverse l'industrie de la musique
L'Internet gratuit fait ses premiers pas en France
Commerce
Un standard pour le commerce électronique
Commerce
La voix du commerce électronique
Les certificats numériques arrivent en France
Des labels de confiance
Avec un taux de fraude en hausse, le niveau de sécurité de la Carte bleue est remis en question. Mais la carte à puce n'est pas responsable de ce revirement. Explications.
Vent de panique sur la Carte bleue. Le 25 février dernier, un pirate est condamné à dix mois de prison avec sursis pour avoir acheté des tickets de métro avec une carte à puce falsifiée. Les associations de consommateurs se plaignent alors d'une nette augmentation de la fraude. Le " Monsieur sécurité " de l'Etat en personne, le général Desvignes, dénonce la vulnérabilité du système des cartes bancaires. Puis, à leur tour, les assureurs demandent un audit de sécurité avant de prolonger le contrat couvrant les risques liés à l'utilisation de la Carte bleue. Et le Groupement des cartes bancaires (GIE Cartes bancaires), qui gère le réseau et fédère 175 banques, n'en finit plus d'essuyer les critiques. Bref, il y a panique dans la maison Carte bleue. Serge Humpich met le feu aux poudres Comment en est-on arrivé là ? Le point de départ de l'affaire se situe en 1998, quand Serge Humpich, un ingénieur informaticien désormais célèbre, réussit à programmer une carte à puce avec laquelle il achète dix carnets de tickets de métro sur des automates de la RATP. Sa carte prend en défaut les terminaux qui ne se connectent pas auprès des banques pour vérifier le compte du porteur. Une fraude impossible pour les achats de plus de 600 francs chez les commerçants et pour les terminaux en ligne, comme les distributeurs d'argent. Une fraude également limitée dans le temps. Car, chaque soir, le centre de paiement contrôle les transactions de la journée. Si une carte a effectué un débit ne correspondant à aucun compte, son numéro est mis sur la liste des oppositions, qui est téléchargée tous les jours dans les terminaux de paiement. Il n'empêche. Même si elle a une portée limitée, cette fraude impressionne. Par quels moyens Serge Humpich est-il parvenu à tromper la puce des cartes bancaires, réputée inviolable ? L'enquête révèle qu'il a créé de fausses signatures numériques. Pour permettre l'authentification des cartes, le GIE Cartes bancaires définit en effet pour chaque carte une signature unique. Cryptée, elle est stockée sur 320 bits en binaire (soit environ 96 chiffres en base dix) et contient d'autre part des informations écrites en clair sur la puce (le numéro de la carte, la date d'expiration et le nom du porteur). Pour vérifier l'authenticité de la carte, les terminaux de paiement doivent décrypter cette signature. Le résultat obtenu après décodage doit correspondre aux autres informations écrites en clair sur la carte. L'opération demandée est alors validée (achat, retrait de billets, etc.). Mais créer une fausse signature est loin d'être évident : le principe mathématique utilisé rend la fonction de cryptage impossible à trouver sans une puissance de calcul énorme qui a longtemps été hors de portée des pirates les mieux équipés. Même en connaissant la fonction de décryptage (qui peut s'obtenir en " auscultant " un lecteur de carte à puce), on ne peut la retrouver et donc fabriquer de fausses signatures. Une clé rattrapée par la puissance des machines Alors pourquoi Serge Humpich y est-il parvenu ? " Tout simplement parce que la longueur de la clé n'était plus suffisante ", explique François Grieu, directeur technique d'Innovatron, la société fondée par Roland Moreno, l'inventeur de la carte à puce. " Cette faiblesse avait été publiquement signalée dès 1988 par le cryptologue Louis Guillou, poursuit François Grieu. Aujourd'hui, il existe des logiciels dans le domaine public (accessibles par tous gratuitement) capables de casser des clés de cette longueur avec de simples micro-ordinateurs. " Mais le GIE Cartes bancaires n'a pas tenu compte de cette montée en puissance des machines. Et Serge Humpich en a profité pour prendre en défaut un codage inscrit en clair dans les cartes à puce. Actuellement, les deux tiers des cartes en circulation utilisent encore cette clé, même si, depuis septembre 1999, le GIE Cartes bancaires a commencé à remplacer les cartes par des cartes à clé allongées à 768 bits. " Une longueur qui devrait pouvoir résister jusqu'en 2007 ", selon François Grieu. La petite fuite découverte par Serge Humpich devrait donc être complètement colmatée d'ici à la fin de 2001. En attendant, les pirates n'ont même plus besoin de recalculer la clé trouvée par Serge Humpich, car elle a été publiée sur des forums Internet avec quantité d'explications théoriques sur le fonctionnement de l'algorithme de cryptage baptisé RSA, du nom de ses inventeurs (Rivest, Shamir et Adleman). Heureusement, la puce reste difficile à copier Risque-t-on une déferlante de fausses cartes dans les semaines à venir ? Certainement pas. La compétence nécessaire à la mise au point de fausses cartes à puce va bien au-delà de la connaissance des informations théoriques. Dans ce registre, la puce, présente sur toutes les cartes bancaires en France depuis 1992, offre un niveau de sécurité inégalé, largement supérieur à la piste magnétique qu'on trouve sur les cartes étrangères - et qui figure aussi, pour des raisons de compatibilité, sur notre Carte bleue (voir infographie ci-contre). " La puce est un coffre-fort impossible à forcer et très difficile à copier, dont la production ne coûte que 1 à 2 euros par unité ", affirme François Grieu. Les cartes bancaires à puce utilisent en effet fréquences, voltages, et autres caractéristiques physiques très précises, qui rendent difficile la copie. Il faut savoir imiter parfaitement les spécifications de communication de la carte. La plupart des modèles en circulation utilisent un masque dit B0. Ce " plan " a toujours été gardé secret. Certes, il a été choisi il y a maintenant quinze ans, et les pirates les plus compétents ont eu le temps de recréer par un travail de " réingénierie " (reverse engineering) des masques identiques, mais cela demande des moyens importants pour - on l'a vu - une fraude très limitée. Pour les experts, la carte bancaire à microprocesseur mise au point par Michel Ugon, chercheur chez Bull - après l'invention de la carte à puce par Roland Moreno -, demeure la technologie de paiement électronique la plus sûre. D'ailleurs, pour montrer que ce n'était pas son invention qui était en cause, Roland Moreno, toujours P-DG d'Innovatron, a lancé un défi. Sa société offre 1 million de francs à quiconque parviendra à lire le code secret inscrit dans la puce à partir de moyens logiques. " Ce n'est pas parce que les pirates ont compris comment fonctionnait le codage d'une information écrite en clair sur la carte qu'ils sont capables de lire les informations confidentielles, comme le code secret qui est inscrit dans la puce ", explique François Grieu. Si, sur un plan technologique, la carte à puce n'a pas perdu sa suprématie en matière de sécurité, alors pourquoi l'affaire a-t-elle soulevé une telle polémique ? La confiance a été rompue Devenue un objet du quotidien, utilisée pour retirer de l'argent, acheter chez les commerçants, payer aux péages des autoroutes, téléphoner dans les publiphones, etc., la carte bancaire a su se faire oublier au fond de nos poches. La découverte d'une faille a créé beaucoup d'émoi chez les usagers à qui on avait martelé qu'elle était inviolable. Surtout, après les déclarations du général Desvignes, relayées par toute la presse française. " Depuis longtemps, la vulnérabilité des cartes à puce est connue, car le mécanisme de sécurité utilisé dans les cartes date de plus de dix ans ", avait-il déclaré au début de mars en inaugurant le Cesti, Centre d'évaluation de la sécurité des technologies de l'information, de Grenoble (voir encadré ci-contre), alors qu'il était encore chef du Service central de la sécurité des systèmes d'information (SCSSI). Quelques semaines plus tard, c'était au tour du GIE Cartes bancaires de reconnaître, poussé par les associations de consommateurs, que le taux de fraude lié à l'utilisation de la Carte bleue - qui ne concerne pas que la carte à puce - était en nette augmentation (voir encadré page 63). " Les fraudeurs ont diversifié leurs arnaques et profitent des faiblesses de la piste magnétique et de la montée en puissance du commerce électronique sur Internet. La carte à puce reste de loin le moyen de paiement le plus sûr au monde, avec un taux de fraude de 0,02 % ", expliquait alors Hervé de Lacotte, porte-parole du groupement. Internet, à la source d'une réclamation sur deux " Le système bancaire n'offre plus les garanties annoncées par le GIE ", affirme quant à lui Charles Reguardati, de l'Association Force ouvrière des commerçants (Afoc), qui a publié des chiffres de fraude dix-sept fois supérieurs à ceux avancés par le GIE Cartes bancaires. Ce n'est pas la carte à puce que l'Afoc met en cause, mais bien le réseau du système bancaire français dans son ensemble, qui intègre les distributeurs, les cartes, les terminaux de paiement. Alors que le GIE insiste sur le niveau de sécurité de la carte, il s'avère en effet que plus d'un distributeur d'argent sur deux n'utilise que la piste magnétique, sachant qu'un tiers de ces lecteurs sont équipés d'une puce mais ne la sollicitent pas. Or, de l'aveu même du GIE Cartes bancaires, la carte à piste présente un taux de fraude de 0,5 %, vingt-cinq fois supérieur à celui enregistré avec la puce. " A l'heure où les fraudeurs se structurent en entités parfaitement organisées, il faut renforcer cette faiblesse tout en laissant la possibilité aux porteurs étrangers d'utiliser leurs cartes dans nos distributeurs ", explique François Grieu. Ce devrait être le cas d'ici à la fin de l'année, selon le Groupement. Autre raison à la montée de la fraude qui a été mise en lumière ces dernières semaines, le développement d'Internet et la multiplication des arnaques à la facturette. Selon le GIE, une plainte sur deux proviendrait d'une transaction effectuée sur Internet sans qu'on connaisse exactement le taux de fraude des achats effectués en ligne (les chiffres les plus fantaisistes circulent, allant de 5 à 50 % de fraude !). Dès la fin de l'année, ce problème devrait s'atténuer, car le GIE s'emploie à supprimer ces informations des facturettes (voir encadré page 65). En attendant, le montant réel de la fraude préoccupe. A tel point que les assureurs du groupement Cartes bancaires ont refusé de renouveler pour un an le contrat couvrant les risques liés à l'utilisation des cartes de paiement. Ils ne l'ont pour l'instant prolongé que de quarante-cinq jours, le temps de réaliser un audit sur la sécurité du système. Le GIE a ainsi jusqu'au 15 mai pour convaincre de la sûreté de son système bancaire. Le groupement va devoir travailler dans l'urgence pour rassurer tout le monde et justifier ses choix le plus rapidement possible. L'affaire des cartes bancaires ne fait que commencer. " La faille découverte par Serge Humpich a créé un électrochoc médiatique qui a permis de mettre en lumière les failles du système bancaire français, et c'est une bonne chose ", confie François Grieu. Réunis à Lisbonne, les acteurs européens du marché (Bull, Gemplus, Innovatron, Schlumberger, etc.) viennent de créer un groupe de travail pour déterminer l'avenir de la carte à puce. La priorité : le renforcement de la sécurité. Ne serait-il pas dommage, en effet, de voir cette technologie française mise au banc des accusés, au moment où elle commence à s'imposer dans d'autres pays ? Ainsi, les Anglais, qui utilisaient jusqu'à présent la piste magnétique, commencent à adopter la carte à puce. Ils ont choisi la norme EMV, mise au point par Eurocard Mastercard et Visa. " Cette norme offre une sécurité inégalée, affirme François Grieu. Elle prévoit d'effectuer des authentifications dynamiques, c'est-à-dire que la signature de la carte change à chaque authentification, par exemple en fonction de l'heure. " Un choix que la France aurait intérêt à imiter rapidement. " Le GIE Cartes bancaires a prévu d'adopter ce standard, mais pas avant 2003, car il fallait d'abord tenir compte de l'existant ", explique Hervé de Lacotte, du GIE Cartes bancaires. En attendant, il faudra plus que jamais sensibiliser les usagers pour qu'ils surveillent de près leur Carte bleue. Et, peut-être, généraliser les appareils mis au point par des sociétés comme Lexibook ou Xiring, et qui permettent de suivre au jour le jour les transactions effectuées avec une carte bancaire. Aux dernières nouvelles, leurs ventes seraient en forte hausse. La fraude en nette augmentation Pour la première fois depuis la généralisation de la carte bancaire à puce en 1992, le taux de fraude reconnu par les banques est en hausse : il est passé de 0,018 % en 1998 à 0,04 % en 1999. Son montant est évalué à 600 millions de francs pour 1 406 milliards de francs de transactions effectuées par carte, en 1999, par des Français ou des étrangers en France et par des Français à l'étranger. Le 6 avril, après une longue polémique, le GIE Cartes bancaires a avoué que le chiffre de 178 millions de francs avancé depuis plusieurs semaines, avec un taux de fraude de 0,02 %, n'englobait pas toutes les fraudes répertoriées. Il ne représente en fait que la fraude liée aux porteurs français utilisant leur carte chez des commerçants français. On peut y ajouter 220 millions retirés frauduleusement chez les commerçants français par des porteurs étrangers, 141 millions retirés frauduleusement à l'étranger par des porteurs français, ainsi que 61 millions extorqués aux distributeurs de billets français. Le montant des fraudes liées à Internet - qui représentent selon le groupement une fraude sur deux - n'est pas évalué. Enfin, seules les fraudes remboursées par les banques sont comptabilisées. Des cartes à puce labellisées La sécurité des cartes à puce est évaluée par une instance internationale baptisée Itsec (Information Technology Security Evaluation Criteria), qui s'occupe aussi de tous les produits informatiques. Créée en 1990 par plusieurs pays européens, dont la France, cette structure a défini des critères d'évaluation qui sont reconnus dans le monde entier. Les labels Itsec s'expriment sur une échelle correspondant à des niveaux de confiance croissants, qui vont de E0 à E6. Ils s'appliquent aux matériels, aux logiciels et à leur interaction complexe. La norme, officiellement adoptée par l'Europe et l'Australie, sert notamment pour les appels d'offres internationaux. Les pays membres ont leurs propres centres d'évaluation. En France, ce sont les Cesti (Centres d'évaluation de la sécurité des technologies de l'information) qui mènent à bien les évaluations. Introduite en 1992, la carte à puce à masque B0 a ainsi été certifiée E3 en 1996, un niveau jugé élevé pour un produit commercial. Il existe depuis des produits plus sûrs. En septembre 1999, une carte à puce mise au point par Mondex International, une filiale de Mastercard, a été certifiée E6. La plus forte certification attribuée jusque-là à un produit non militaire était E4. Une accélération des mesures de sécurisation Depuis l'affaire Serge Humpich, le GIE Cartes bancaires a investi 300 millions de francs supplémentaires pour accélérer la rénovation du système Carte bleue. Le groupement a ainsi annoncé des modifications de configuration des matériels en place d'ici à la fin de l'année. Les 32 500 distributeurs d'argent, dont plus de la moitié n'utilisent actuellement que la piste magnétique, vont être modifiés pour solliciter la puce (un tiers sont déjà capables de le faire) et pour ne plus imprimer le numéro et la date d'expiration des cartes sur les facturettes. Cette mesure a été récemment étendue aux 590 000 terminaux de paiement des commerçants. 100 000 de ces lecteurs, trop vieux, devront être remplacés par des neufs (400 francs pièce). Les 490 000 restants seront mis à jour par logiciel. D'autre part, le programme CB5, lancé en septembre 1999, devrait être accéléré. Il prévoit le renouvellement des cartes et des lecteurs pour assurer le passage à l'euro et renforcer la sécurité. Les cartes à masque B0 sont progressivement remplacées par des cartes à masque B0 à sécurité renforcée (clé allongée à 768 bits). Un tiers des 35 millions de cartes en circulation aurait déjà été changé. Selon le GIE, d'ici à la fin de 2001, tout le parc devrait être compatible CB5. Le hit-parade des fraudes Depuis toujours, les fraudeurs tentent d'exploiter les moyens de paiement mis en place par les banques. Les faux-monnayeurs modernes ont ainsi mis au point des dizaines d'arnaques. En voici cinq plus ou moins raffinées. La fausse carte à puce sans code (Yescard) Très complexe à réaliser, ce genre de carte fonctionne pour des petits montants (chez les commerçants, dans le métro, etc.) avec n'importe quel code secret, mais seulement pendant une journée (le lendemain, elle est théoriquement en opposition). La fausse carte à piste magnétique Facile à copier, la piste magnétique contient le numéro, la date d'expiration et le nom d'un usager existant. Le fraudeur doit aussi s'être procuré le code secret (vu au distributeur, enregistré via un lecteur trafiqué, etc.). L'arnaque à la facturette Les renseignements inscrits sur les facturettes suffisent aux escrocs pour acheter à distance aux dépens d'un usager (e-commerce, VPC, recharge d'un mobile, etc.). L'interception des numéros communiqués sur Internet Un autre moyen de récupérer les coordonnées bancaires d'un porteur consiste à pirater les fichiers informatiques des sites de commerce électronique. Le collet marseillais Ce morceau de plastique noir posé par un " dabiste " (du sigle DAB, distributeur automatique de billets) bloque la carte dans un distributeur. L'usager croit que la carte a été avalée et le " dabiste " lui conseille de ressaisir son code. Quand l'usager se résigne, le " dabiste " récupère la carte dont il connaît potentiellement le code. Il s'agit là d'un vol avec ruse et récupération du code.
Trophée
TROPHÉES DES USINES 2021
100% digital , live et replay - 27 mai 2021
Gestion industrielle et Production
Déposez votre dossier avant le 5 mars pour concourir aux trophées des usines 2021
Conférence
MATINÉE INDUSTRIE DU FUTUR
100% digital , live et replay - 27 mai 2021
Gestion industrielle et Production
Comment rebondir après la crise 2020 et créer des opportunités pour vos usines
Formation
Espace de travail et bien-être des salariés
Paris - 01 juin 2021
Services Généraux
Optimiser l’aménagement du bureau