Blog GlobalSign

26 févr. 2016

Comment déceler la fraude dans les transactions e-commerce

Dans la vraie vie, je suis moi. Dans vie numérique, je peux être vous ou Mickey, ou encore Spiderman, ou bien mieux… Superman. Il n’y a aucune limite dans le monde numérique. Dans la vraie vie, je suis freiné par mon incapacité à escalader les murs, à parcourir la ville en me balançant, ou à faire le tour du globe plus vite que la lumière. Dans le monde réel, je peux attraper les méchants si j’en ai le courage, au risque de faire écraser mes identifiants biométriques (reconnaissance faciale, nez cassé et/ou mâchoire broyée, yeux si gonflés qu’ils restent fermés...).

Le problème avec les transactions en ligne...

Pour tout cybercommerçant, l’anonymat du monde numérique est un cauchemar. En ligne, quelle que soit la transaction commerciale, l’inscription du visiteur représente la première étape. C’est l’un des plus gros défis du commerce en ligne, en B2C ou B2B.

Le consommateur évitera souvent les formulaires d’inscription complexes et compliqués, et préférera passer son chemin pour rechercher un environnement moins contraignant. En entreprise, l’utilisateur s’attend à pouvoir accéder facilement aux services externes. Malheureusement, le monde dans lequel nous vivons n’est pas comme ça. Pas encore...

Les sites en ligne tombent trop souvent dans le piège de tout vouloir savoir sur leurs clients. Du coup, ils demandent trop d’informations dès le début. Cela ne marcherait-il pas aussi bien avec moins d’informations ? Ou en faisant appel à des sources d’information externes pour accélérer le processus d’inscription ? L’utilisation d’une source externe ayant déjà préalablement vérifié l’identité permettrait d’accélérer la conversion client.

Comment repérer un fraudeur sur un site e-commerce

Pour repérer une fraude, vous devez utiliser une source sur laquelle la véritable identité de l’utilisateur a été, à un moment donné, vérifiée. Si Clark Kent essaye de s’inscrire sur votre site en ligne, il ne pourra pas aller bien loin à moins qu’une source indépendante puisse effectivement confirmer son adresse sur Krypton, ce qui pourrait s’avérer un tant soit peu délicat, la planète ayant disparu.

On peut éventuellement utiliser une identité existante, comme une carte d’identité électronique (eID). Malheureusement, le succès des eID est extrêmement mitigé en dehors de quelques pays. Mais, il existe d’autres sources permettant d’interroger une identité numérique déjà vérifiée.

Dans la plupart des banques à travers le monde, le processus d’enregistrement des clients est extrêmement rigoureux. Les opérateurs de réseaux mobiles confirment dans la plupart des cas l’identité de leurs abonnés, et écartent les pseudo-identités associées à des téléphones jetables ou des abonnements prépayés sans lien vers une carte bancaire existante ou n’importe quel autre élément d’identification personnelle. Même si cela varie d’un opérateur à l’autre et d’un pays à l’autre, les établissements bancaires et les opérateurs de téléphonie mobile représentent généralement une bonne source de détection des fraudes.

Comment les établissements financiers et les opérateurs de téléphonie mobile décèlent-ils la fraude ?

Les établissements financiers et les opérateurs de téléphonie mobile disposent d’un répertoire d’identités contrôlées. Ils connaissent nos nom, adresse, e-mail, numéro de téléphone et bien d’autres attributs, toutes ces informations ayant été préalablement vérifiées. Si ce n’était pas le cas, M. Kent serait en panne d’essence, sans possibilité d’accéder à son argent et d’envoyer un SMS.

Les entreprises détentrices de ces identités peuvent servir de fournisseurs d’identités ou d’attributs. Nous pourrions utiliser ces informations à notre avantage, avec le consentement des utilisateurs, pour améliorer notre expérience avec d’autres services numériques ou tiers. Il est cependant important de recueillir le consentement de l’utilisateur.

L’économie des API est avant tout une affaire de communication intermachines. Si vous avez un site Web, vous pourriez utiliser l’API exposée par un tiers pour récupérer les attributs des utilisateurs. Vous pouvez utiliser les nombreux standards qui existent pour vérifier l’identité d’un internaute auprès d’un tiers et vous assurer que cette personne est bien Superman et pas Bizarro.

Les protocoles de fédération, comme le SAML et WS-Federation, existent depuis un certain temps et se sont imposés de facto comme les protocoles de transfert d’informations d’identité d’un domaine à un autre. Plus récents, les standards OAuth et OpenID Connect s’appuient sur l’infrastructure de confiance d’Internet et sont très appréciés des développeurs. Mobile Connect représente le dernier standard en date.

Implémentation spécifique du protocole OpenID Connect, Mobile Connect a toutefois le potentiel de révolutionner tout ce que l’on sait de l’authentification.

Mobile Connect : la promesse d’une identité mondiale

Si vous réfléchissez à votre cas, votre expérience client vous viendra à l’esprit. Nous possédons tous trop de mots de passe. J’arrive à peine à suivre tous les mots de passe que j’ai utilisés pour m’enregistrer comme « Superman et pas Bizzaro ». En tant qu’utilisateurs, nous ne voulons pas d’un nouveau mot de passe.

Mobile Connect peut fournir une identité globale unique. Que vous soyez eBay, Amazon, ou le magasin de vélo du coin, Mobile Connect peut vous fournir une identité. Mais plus important : Mobile Connect peut fournir, avec le consentement des utilisateurs, les attributs qui concernent vos cyberclients. Je vous invite donc vivement à en lire plus sur le programme Mobile Connect de GSMA.

Avec Mobile Connect, nous pourrions facilement et rapidement disposer d’une véritable identité globale liée à notre numéro de téléphone.

Les solutions de gestion des identités et des accès (IAM) GlobalSign permettent aux services en ligne de générer des économies de coûts, d’améliorer l’expérience client et d’augmenter les taux de conversion. Contactez-nous pour en savoir plus.

Partager ce blog