L'affaire Sony remet-elle en cause la confiance dans le paiement en ligne ?

L’affaire Sony doit-elle entamer la confiance dans le paiement en ligne ? Quels conseils donner aux utilisateurs des services Sony piratés et aux marchands qui craignent que les pirates n’utilisent de fausses coordonnées bancaires sur leurs sites ?

Suite à l'affaire Sony, un certain nombre d'internautes peuvent se poser légitimement la question suivante : quand je donne mon numéro de carte bancaire sur un site e-commerce ou de jeu en ligne, comment est-il transmis et stocké ? Y a a-t-il un risque pour qu'il soit piraté ?
Quant aux marchands, ils peuvent eux aussi avoir des craintes : comment puis-je vérifier que les numéros de cartes bancaires potentiellement dérobés ne soient pas utilisés pour régler des achats sur mon site ?

Protection en amont
Comme le prouve encore malheureusement l'affaire Sony, dans le domaine de la sécurité informatique, les techniques de piratage sont en constante évolution ... et atteignent des sociétés qui ont mis en place des dispositifs sérieux pour lutter contre les hackers. Cela doit-il pour autant entamer la confiance dans le paiement en ligne, et plus généralement dans l'économie numérique ?

En matière de protection des données sensibles, les entreprises qui vendent ou proposent des services en ligne ont le choix. Soit elles traitent et stockent les données bancaires de leurs clients elles-mêmes, ce qui implique qu'elles mettent en oeuvre elles-mêmes l'ensemble des règles en matière de sécurisation des données des porteurs de cartes bancaires. Soit elles confient cette mission à un tiers de confiance, tel qu'un opérateur de paiement, comme Ogone, Paybox, Atos Worldline, ou Monext dont c'est le coeur de métier.

Quelle que soit l'option retenue, dès qu'une société collecte, traite ou stocke des données bancaires, elle est éligible à la certification PCI DSS (Payment Card Industry Data Security Standard). Edictée par les principales marques de cartes de paiement (Visa, American Express, MasterCard, JCB et Discover Financial Services), cette accréditation vise à évaluer les dispositifs mis en place pour assurer la sécurité des données. Elle comprend quatre niveaux, conditionnés par le nombre de transactions traitées par an.

Pour les entreprises qui traitent moins de 20 000 transactions par an, un questionnaire d'auto-évaluation des processus de sécurité "suffit" pour obtenir la certification. A l'opposé, les entreprises qui traitent plus de 6 millions de transactions par an - ce chiffre est ramené à 300.000 transactions par an pour les opérateurs de paiement - sont soumises à un audit de conformité annuel. Cet audit est réalisé par un organisme extérieur accrédité (Qualified Security Assessor - QSA), et est couplé à des vérifications trimestrielles. Un ensemble de règles et processus de sécurité à respecter sont vérifiés. A commencer, bien entendu, par la gestion de la sécurité des données (architecture réseau, gestion de mots de passe, chiffrage des données sensibles, gestion des vulnérabilités, système de détection d'intrusion ...). Mais pas seulement : les aspects humains, les procédures de travail et de gouvernance d'entreprise, telles que les relations avec les sous-traitants, la probité des employés, la sécurisation de l'accès aux locaux, etc., sont également vérifiés.

Si le risque zéro n'existe malheureusement pas, l'obtention de l'accréditation PCI DSS de niveau 1, par les opérateurs de paiement ou les marchands, constitue toutefois un gage de respect d'un ensemble de règles en matière de sécurisation des données des porteurs de cartes bancaires. Elle implique des investissements permanents en vue d'améliorer la sécurité des systèmes, du réseau et des processus. Investissements que les marchands n'ont pas à supporter dans le cas d'une externalisation auprès d'un opérateur de paiement...

Protection en aval
Dans le courrier électronique de Sony, envoyé à ses utilisateurs du PlayStation Network et des services Qriocity, le vendredi 29 avril, la société écrit « Si vous avez fourni vos données de carte bancaire au travers du PlayStation Network ou des services Qriocity, il est prudent de vous avertir que votre numéro de carte bancaire (excluant le code de sécurité) et sa date d'expiration sont concernés. Il n'y a pas de preuve d'obtention des données de cartes de crédit mais nous ne pouvons pas écarter cette possibilité. »

Si aucun numéro de carte ne semble avoir été utilisé à ce jour, le doute est donc là ... Pour les internautes, les règles classiques en matière de protection contre le « phishing » sont à respecter : ne pas répondre à des e-mails leur demandant de compléter leurs informations (date d'expiration, code de sécurité, date de naissance...) en provenance de Sony, de leur banque ou encore de leur réseau social favori ; vérifier quand ils reçoivent un mail avec une « promotion super intéressante », que la société existe bien, etc.

Pour les marchands, le risque est bien réel aussi : les numéros de carte potentiellement dérobés peuvent être utilisés sur leur site... Avec, à la clé, un manque à gagner. Un premier rempart consiste en l'activation de 3D Secure, qui permet de s'assurer, lors de chaque paiement, que la carte est bien utilisée par son titulaire, par la saisie de sa date de naissance (encore faut-il que celle-ci n'est pas été dérobée !) ou d'un code à usage unique. Un second rempart peut venir, là encore, des opérateurs de paiement... Ils proposent, pour la plupart d'entre eux, des systèmes pour détecter les transactions potentiellement frauduleuses : multiplication soudaine de commandes avec la même carte de paiement, en provenance de personnes différentes, vérification de la localisation etc.

En résumé, si l'affaire Sony est fortement médiatisée, parce qu'elle concerne une société de renommée internationale et touche un nombre important de victimes, la confiance dans le paiement en ligne et dans l'économie numérique ne doit pas être entamée. Les risques dans la vie réelle (vols à l'arrachée, par exemple) sont moins spectaculaires, mais tout aussi réels et plus importants en volume. Des parades pour lutter contre les pirates sur Internet existent, qui sont en constante évolution, pour s'adapter à leurs méthodes, toujours plus sophistiquées...