La sécurité des paiements en ligne repose entièrement sur la confiance. Sans confiance, personne n'utiliserait l'écosystème financier. Imaginez un client qui serait victime de fraudes à répétition chaque fois qu'il utilise sa carte de crédit. Sans sécurité, il n'y a pas de marché.  

Comment avons-nous donc réussi à protéger le secteur des paiements ? Eh bien, cela a été un travail de tous les instants depuis le tout premier jour (une mission que Chargeflow est fière de poursuivre). Chaque fois qu'une nouvelle menace apparaît, les équipes de sécurité mettent en place un nouveau dispositif de défense. Depuis les premiers virements électroniques, nous nous sommes battus sans relâche contre les fraudeurs et les criminels, en développant sans cesse de nouvelles mesures pour protéger nos utilisateurs.

Parcourons l'histoire de la sécurité des paiements afin de mieux comprendre les mesures de protection mises en place pour garantir la sécurité des paiements en ligne.  

Les débuts des paiements en ligne

Les paiements en ligne ont fait leur apparition avec l'émergence du commerce électronique. Pensez à eBay ou à Amazon. Ces plateformes de vente en ligne ont ouvert une nouvelle voie pour commercialiser des produits.

Mais la vente en ligne nécessite également des moyens numériques pour accepter les paiements. Cela a entraîné une demande en terminaux de paiement virtuels. C'est ainsi que les prestataires de services de paiement (PSP) ont proposé des solutions numériques, parmi lesquelles PayPal ou la procédure de rétrofacturation via les émetteurs de cartes de crédit comptent parmi les plus populaires.

Les prestataires de services de paiement permettaient aux utilisateurs de relier leurs comptes bancaires et leurs cartes de crédit pour effectuer des paiements. Bien sûr, ces services soulevaient des questions de sécurité. Comment vérifier que c'était bien l'utilisateur concerné qui avait lancé le paiement ? Que se passerait-il si quelqu'un piratait un compte ou mettait la main sur un mot de passe ? Et comment protéger les informations financières pendant leur transmission ?

En réponse à cela, les mesures de sécurité des paiements ont évolué. Par exemple, la vérification par e-mail a permis de confirmer l'identité de l'utilisateur. Des mots de passe forts ont permis de se prémunir contre les tentatives d'usurpation d'identité. Et surtout, les entreprises de sécurité se sont tournées vers le chiffrement. Mis au point pour la première fois en 1995, le protocole SSL (Secure Socket Layer) développé par Netscape permettait de chiffrer les données sur Internet et d'authentifier les utilisateurs. Il a servi de base au protocole de chiffrement TLS (Transport Layer Security), que nous utilisons encore aujourd'hui.

L'essor du commerce électronique et des passerelles de paiement

Le commerce électronique a continué à prospérer à la fin des années 1990 et au début des années 2000. Ce qui est en réalité assez remarquable, car l'engouement pour Internet s'était en grande partie dissipé avec l'éclatement de la bulle Internet. Lorsque la bulle a éclaté, beaucoup ont considéré que le commerce électronique était voué à l'échec dès ses débuts.

Pourtant, quelques plateformes ont survécu, cette fois-ci grâce à des changements indispensables. Des marques telles qu’Amazon, Shopify, Netflix et Zappos ont commencé à intégrer tous les différents éléments du marché numérique pour en faire un ensemble cohérent. Des aspects tels que la gestion des stocks devaient s’articuler avec le traitement des commandes, et ces deux éléments devaient s’interfacer avec les systèmes de paiement internationaux. Nous avons alors commencé à mettre en place l’infrastructure nécessaire au commerce électronique.  

Bien sûr, les fraudeurs ont rapidement repéré ces nouveaux vecteurs d'attaque numériques. Les systèmes de gestion de la clientèle sont vulnérables au piratage, tout comme les paniers d'achat et les nouveaux processus de paiement. La fraude aux cartes de paiement a commencé à poser un problème majeur, tout comme les escroqueries en ligne et le phishing. L'une des attaques les plus célèbres a été une attaque par déni de service menée en février 2000 contre Yahoo!, CNN.com, eBay et Amazon.

Progrès en matière de cryptage et d'authentification

Une fois de plus, la sécurité des paiements a dû s'adapter. Il fallait renforcer la sécurité des paiements en ligne face à ces nouvelles menaces. C'est pourquoi le secteur a mis au point plusieurs outils et techniques, tels que :

• 3D Secure : Visa et Mastercard ont mis en place un protocole de sécurité supplémentaire appelé 3D Secure. Dans certaines situations de paiement à risque, les émetteurs de cartes peuvent demander une deuxième preuve d'identité, comme un mot de passe ou un code PIN. Il s'agit d'une mesure de sécurité supplémentaire intelligente qui permet de vérifier que l'utilisateur de la carte est bien la personne qu'il prétend être.
• Tokenisation : les équipes de sécurité ont remplacé les données sensibles par des jetons aléatoires. Un ensemble de jetons brouillés est sans utilité pour les pirates informatiques. Cela permet de réduire les risques et les conséquences financières liés aux fuites de données ou aux piratages.
• Fonctionnalités des cartes de paiement : les passerelles de paiement ont commencé à comparer les données des utilisateurs afin de vérifier les paiements en ligne. Elles ont utilisé des systèmes tels que la vérification d'adresse (AVS) et les codes de sécurité des cartes (CVV) comme contrôles de sécurité supplémentaires lorsqu'un utilisateur effectuait un achat en ligne par carte de crédit.
• Authentification multifactorielle (MFA) : lorsque les comptes contenaient des données financières sensibles, les entreprises ont commencé à exiger au moins deux éléments de preuve. Chaque utilisateur doit fournir des informations relevant d'au moins deux des trois catégories suivantes : quelque chose que vous savez, quelque chose que vous possédez et quelque chose que vous êtes. La MFA reste aujourd'hui une stratégie de défense majeure.  
• Biométrie : grâce aux progrès technologiques, les équipes de sécurité ont commencé à identifier les utilisateurs à partir de caractéristiques physiques (empreintes digitales, visage, etc.). Ces caractéristiques uniques sont bien plus difficiles à copier ou à pirater qu'un mot de passe.  

Réglementations et normes de conformité

À ce stade, la sécurité des paiements commençait à devenir difficile à gérer. Imaginez à quel point il est compliqué d'harmoniser les pratiques de sécurité entre différents pays et gouvernements. Ou pensez aux approches distinctes qu'une banque, un émetteur de cartes ou une passerelle de paiement peut adopter en matière de protection des données. Certains acteurs peuvent avoir des normes de sécurité plus ou moins strictes que d'autres. D'autres peuvent disposer de ressources plus importantes et avoir accès à des technologies plus performantes.

Un tel mélange manque de cohérence. Et cela rend le secteur vulnérable. Les fraudeurs pourraient tirer parti de notre manque de communication. Nous avions besoin de stratégies unifiées (ou, pour employer un terme plus officiel : d'une interopérabilité sécurisée).

Cela a conduit plusieurs gouvernements et organisations à adopter des réglementations telles que :

• Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) - Règles relatives à la gestion des données de cartes
• Directive sur les services de paiement (PSD) : protection des consommateurs en matière de paiements électroniques dans l'ensemble de l'Union européenne
• Loi sur l'équité et l'exactitude des transactions de crédit (FACTA) : dispositions relatives à l'utilisation des informations financières et mesures de lutte contre la fraude
• Loi sur la modernisation du secteur financier (loi Gramm-Leach-Bliley - GLBA) : dispositions garantissant la confidentialité des données des consommateurs

Ces directives continuent aujourd'hui encore de régir le secteur des paiements.

Meilleures pratiques actuelles et futures en matière de sécurité des paiements en ligne

Même avec la normalisation, la sécurité des paiements en ligne continue d'évoluer. Les fraudeurs sont aujourd'hui plus rusés, mais nous aussi. Le secteur s'appuie sur plusieurs technologies innovantes qui protègent les consommateurs, aujourd'hui comme demain :

• Intelligence artificielle (IA) et apprentissage automatique (ML) : les systèmes cognitifs apportent une amélioration décisive à nos stratégies de défense. En effet, l'IA est capable de s'améliorer d'elle-même. Les systèmes adaptatifs peuvent partir de règles statiques et développer des améliorations à partir des données saisies. Étant donné que les machines peuvent traiter des volumes de données bien supérieurs à ceux que l'être humain est capable de gérer, les outils d'IA offrent une approche dynamique de la sécurité. C'est pourquoi Chargeflow utilise des outils basés sur l'IA, tels que l'analyse prédictive, des modèles de risque sur mesure et la résolution rapide des litiges.
• La blockchain et la technologie des registres distribués (DLT) : la technologie blockchain permet d'effectuer des transactions décentralisées et irréversibles. Et comme c'est le consensus public qui détermine la validité des transactions, elle limite les risques et l'exposition des intermédiaires. Cela fait de la blockchain un système de sécurité robuste (et cette technologie offre de nombreux cas d'utilisation possibles dans le secteur des paiements).
• Authentificateurs FIDO2 : La cryptographie à clé publique (et l'avenir de la cryptographie quantique) offre des formes d'authentification sans mot de passe. Il s'agit là d'une nouvelle amélioration par rapport aux anciens systèmes de sécurité de connexion.
• Biométrie comportementale : la biométrie comportementale s'appuie sur les traits les plus distinctifs d'un utilisateur : sa personnalité. Les émotions, les mouvements faciaux, la vitesse de frappe et les habitudes de navigation constituent autant de paramètres pris en compte. Ces facteurs permettent d'améliorer la vérification.  
• Solutions dynamiques de lutte contre la fraude : mieux vaut prévenir que guérir. C'est pourquoi les solutions de lutte contre la fraude misent désormais sur des stratégies de prévention proactives. La surveillance en temps réel, les contrôles de vitesse et les renseignements sur les menaces en sont d'excellents exemples. Ces outils étant particulièrement efficaces, Chargeflow exploite l'intelligence artificielle pour prévenir les rétrofacturations et la fraude avant même que des problèmes ne surviennent. Nous signalons les activités suspectes à l'aide de scores de risque qui déclenchent des alertes de fraude. Anticiper les agissements des fraudeurs améliore considérablement les résultats en matière de sécurité.  

Conclusion

L'histoire de la sécurité des paiements témoigne de la capacité d'adaptation du secteur. Nous avons parcouru un long chemin. Initialement motivés par les besoins des premières plateformes de commerce électronique, nous disposons aujourd'hui d'outils de défense sophistiqués pour protéger notre marché mondial.

Pour autant, la lutte contre la fraude se poursuit. Nous avons besoin de mesures innovantes capables de faire face à l'évolution constante des attaques des fraudeurs. C'est pourquoi chargeflow continue de s'adapter en permanence. Conscients de l'importance de la confiance de nos clients, nous utilisons les outils les plus performants (IA, apprentissage automatique, etc.) pour garder une longueur d'avance sur la fraude.

Vous souhaitez savoir comment Chargeflow peut vous protéger, vous et vos clients ? Demandez une démonstration dès aujourd'hui. ‍