Retour page d'accueil site sur les failles des cartes bancaires

Critique système "Cyber-comm" de paiement par Internet

PREAMBULE

Le système cyber-comm est une réponse inadéquate et inacceptable au problème de la vente sur Internet.
Le système actuel SSL de transactions par Internet offre une sécurité éprouvée, permettant au consommateur d'être sûr que sa communication du numéro de carte bancaire à 16 chiffres avec le commerçant ne sera pas interceptée.
Cependant, ce système de paiement présente l'inconvénient qu'il est facile pour un fraudeur de se procurer un numéro de carte bancaire d'un tiers (facturettes, piratage de fichiers ou bases de données de commerçant, lecture directe sur une carte bancaire).
Ce fraudeur pourra alors faire des achats de bien ou service sur Internet.
Heureusement dans ce cas, le porteur de la carte bancaire bénéficie de 120 jours pour contester la transaction.
Dans ce cas le coût en est supporté par le commerçant, ce qui est pour lui inacceptable.
Cependant, avec le mythe de la "Nouvelle économie", où les cyber-commerçants pourraient s'enrichir sans limite et sans risque avec une clientèle répartie dans le monde entier, des nouveaux venus se sont improvisés dans la vente à distance sans en connaître les règles : l'aléa de la vente à distance DOIT ETRE SUPPORTE PAR LE COMMERCANT. La plupart ne savent même pas que le client dispose d'un délai de rétractation.
Pour le consommateur, c'est tout à fait normal de pouvoir annuler le paiement. Le problème, c'est qu'il y a beaucoup de commerçants qui ne livrent pas la chose commandée ou que l'achat soit décevant vu ce qui était promis et le consommateur doit pouvoir faire valoir ses droits comme le permet le code de la consommation.
Or le système Cyber-comm prévoit tout simplement le pire pour le consommateur : l'abandon pure et simple des garanties prévues par le code de la consommation sur la vente à distance et l'impossibilité d'annuler une transaction à distance par carte bancaire sans limitation de montant !
Et il faudrait que le consommateur investisse à ses frais dans le système ?
Pour qui prend on le consommateur ?
En conclusion, il faut mettre en place un système où :
- le tiers et le commerçant est identifié par un tiers indépendant (pas la banque),
- le contrat liant commerçant et client soit signé électroniquement suivant des principes transparents, sûrs, vérifiables et certifiés.
- le paiement soit fait avec un système sûr, donc autre que la carte bancaire qui présente de sérieuses lacunes
- le paiement soit effectué via un tiers séquestre qui vérifie la livraison conforme de la marchandise ou l'exécution correcte du service après écoulement du délai de rétractation du consommateur.
Un tel système ouvert et transparent peut être mis en place de façon satisfaisante en réorganisant la position hégémonique des banques : elles ne veulent qu'empocher de grasses commissions sans assumer les risques.

PLAN

1. Opacité
2. Faible sécurité
3. Risque juridique pour le consommateur
4. Aucune garantie pour le consommateur alors que c'est lui qui paye le système
5. Système propriétaire
6. Concurrence déloyale
7. Pas de contrat commerçant-client
8. Pas de possibilté transaction porteur à porteur
9. Risque de virus pour faire transactions à l'insu du porteur
10. Coût du système
11. Vie privée menacée
12. Banques juges et parties
CONCLUSION
LIENS

1. Opacité

On ne sait rien de la technique utilisée pour authentifier les cartes bancaires à puce dans le système "cyber-comm".
Les spécifications pour l'authentification de la carte bancaire sont inconnues, quand ont demande des précisions, on nous répond qu'elles sont confidentielles.
C'est classique de l'omertà bancaires française, en effet, le système SET sur lequel s'intègre cyber-comm est public (c'est d'ailleurs une véritable usine à gaz) et la partie française est opaque.
Aucune expertise indépendante n'a été effectuée sur ce système alors que le système concurrent SSL est ouvert et éprouvé depuis plusieurs années.
En cas de fraude, les banques continueront à mentir comme elles ont toujours fait, elles nieront, n'assumeront aucune responsabilité, le coût resterait intégralement à la charge des porteurs de carte.
Il n'y a pas de signe que cela s'améliore puisque les banques n'hésitent pas à poursuivre en justice ceux qui ne relaient pas leur propagande.
Cependant, d'après nos informations, le système Cyber-comm n'utiliserait même pas le système d'authenttification statique de la carte bancaire ; il utiliserait un système d'authentification dynamique par comparaison du résultat d'un calcul cryptographique à l'aide d'une valeur secrète inscrite sur la puce (illisible par quiconque) au même calcul fait par la banque émettrice.
La banque émettrice est donc toujours contactée.
Dans ces conditions, les transactions imputées à ce titre par les banques sont absolument invérifiables puisqu'il n'y a pas possibilité de vérifier ce calcul puisque basé sur des informations secrètes.

2. Faible sécurité

Alors que la carte bancaire à puce a été cassée notamment par Serge Humpich comme ce site le montre, les banques comptent utiliser ce support faible sans remettre sérieusement à niveau sa sécurité défaillante.
Ainsi comme ce boîtier se comporte comme un terminal de paiement, certains simulacres peuvent être reconnus par les boîtiers cyber-comm
Plusieurs attaques du système Cyber-comm sont déjà connues (voir ici) et on ne doute pas que les pirates en trouveront d'autres quand le système sera en place.
En effet, ils n'auront qu'à utiliser leurs outils de piratage habituels chez eux puisque le boîtier cyber-comm fera office de terminal de paiement.

3. Risque juridique pour le consommateur

Le consommateur qui utilise le système Cyber-comm pour acheter un bien ou un service sur Internet doit payer AVANT la commande et ne peut annuler cette transaction.
Alors que l'article L 121-16 du code de la consommation prévoit la possibilité pour le consommateur d'obtenir le remboursement dans les 7 jours suivant la livraison.
Il est clairement indiqué par les banques que le paiement fait par le système Cyber-comm est NON REPUDIABLE, c'est à dire que le consommateur ne peut le contester.

Avec le système utilisé couramment à l'aide du numéro de carte bancaire, le consommateur disposait de 120 jours pour obtenir le remboursement de la transaction par simple contestation auprès de sa banque, maintenant il ne pourra rien faire.
Cela est connu depuis bien longtemps
Le plus absurde, c'est que les banques tirent parti d'une propagande relayée sur la fraude sur Internet à l'aide de numéros trouvés sur des facturettes pour promouvoir leur système propriétaire "Cyber-comm" alors que cette fraude ne porte pas préjudice aux porteurs de cartes mais uniquement aux banques ou aux commerçants pour imposer un système aux frais des porteurs de carte et ils assument seuls les risques SANS LIMITATION DE MONTANT.
Si un porteur de carte se voit imputer une transaction par cybercomm de plusieurs dizaine de milliers de francs, il n'a aucun moyen de contester.

4. Aucune garantie pour le consommateur alors que c'est lui qui paye le système

Aucune garantie pour le consommateur alors que c'est lui qui paye le système : au cas où le bien reçu ou le service reçu ne correspondrait pas à sa commande ou à ce qui est vanté sur le site, le consommateur utilisant ce système cyber-comm serait totalement démuni car il ne pourrait pas prouver le contenu de sa commande, il peut juste dire combien a été prélevé de son compte, mais il ne peut pas dire pourquoi !
Or, il arrive très souvent qu'un internaute faisant une commande en ligne ne reçoive pas l'intégralité de sa commande ou qu'il soit déçu, il ne bénéficierait pas des dispositions favorables du code de la consommation sur la vente à distance car son paiement est irréversible.
Pire en cas de transaction à l'étranger par ce système, il n'a absolument aucun recours.
Et les banques vantent cela comme argument commercial auprès du commerçant, le site de la Société Générale indique clairement que les transactions sont non répudiables :
question :
"Le client, porteur de la carte bancaire, peut-il contester l'achat d'un bien ou d'un service effectué par le biais de Cyber-COMM? "
La réponse de la Société Générale ne laisse guère d'espoir à l'utilisateur téméraire de la cybercommerie :
"La transaction ne pourra donc être contestée par l'utilisateur. Ceci constitue un progrès très net par rapport à la vente par correspondance, où la garantie pour le commerçant est conditionnelle et la contestation par le porteur toujours possible. On parle de non-répudiation des transactions effectuées avec la carte à puce. "
Cela fait froid dans le dos : les garanties apportées par le code de la consommation sont tout simplement ignorées et contournées par ce système !
voir ici le site de la Société Générale sur Cyber-comm
Bien entendu, ce point est habilement passé sous silence dans la propagande à destination des consommateurs, on nous dit laconiquement que la transaction est sûre parce que le numéro n'est pas échangé en clair, alors que les consommateurs n'ont jamais subi de risque à ce niveau.
En tout cas, le valeureux acheteur en ligne n'a pas intérêt à avoir un problème technique après avoir fait sa transaction en ligne car il ne pourrait pas profiter son de son achat, et pour les réclamations à un ordinateur, il s'en moque.
On connaissait les réclamations à un distributeur de boisson pour récupérer une pièce de 5 francs avalée : la seule chose qui peut arriver, c'est de le faire tomber et d'être écrasé par le distributeur de boissons (c'est pas drole, il y a eu des morts comme cela).
Là en cas de réclamation, on ne peut même pas mettre un mot "Hors Service" sur le site web marchand.
Ce qui est grave également, c'est qu'un porteur de carte bancaire n'ayant pas de boîtier Cyber-comm ni même accès Internet peut se voir imputer une transaction par ce biais car il n'y a pas de contrat spécifique à signer : tout porteur de carte peut utiliser le système. En conséquence, un porteur de carte ne peut empêcher les transactions futures par cyber-comm sauf à résilier son contrat carte bancaire.

5. Système propriétaire

Le système cyber-comm s'appuie sur le système SET ("Secure Electronic Transactions") promu par Visa mais Mastercard mais abandonné par eux depuis. Il n'est utilisé nulle part, c'est le standard SSL qui est généralisé dans le monde.
Cela mettrait la France à l'écart que d'adopter ce système.
Nul doute que les détenteurs de boîtiers ne s'en serviront très peu, alors pourquoi gaspiller de l'argent à investir dans un système inutile ?
La communauté Internet aux Etats-Unis a rejetté le système SET.
Actuellement, tous les systèmes propriétaires sautent au profit de systèmes normalisés par des experts indépendants. La solution Cyber-comm et le système SET n'ont donc pas d'avenir.
A noter qu'il existe un standard d'architecture ouverte pour l'identification des personnes, cela s'appelle Public Key Infrastructure (PKI) et fait appel à plusieurs certificateurs, les banques veulent instaurer leur propre système d'identification.

6. Concurrence déloyale

Le système Cyber-comm est promu par une société Cyber-comm qui est un cartel des banques.
Les promoteurs initiaux du systèmes sont la BNP, France Télécom, la Société Générale, White Pike Financial Services International BV, Gemplus SCA (personnalisateur de cartes à puce) et le Crédit Lyonnais.
Depuis le 16/07/1999, de nouveaux actionnaires participent au capital : Visa Electronic Commerce Limited, Caisse Nationale du Crédit Agricole, Caisse Centrale des Banques Populaires, Banque Fédérative du Crédit Mutuel, Europay France (exploitant marques "Eurocard Mastercard"), Oberthur Smart card Participations, CB Investissements[Organisme de Placement collectif en Valeur Mobilière dirigé par Michel Renault (président conseil de Direction GIE-CB) et Yves Randoux (administrateur GIE-CB)], Sofipost (La Poste), CCF, Caisse centrale des caisses d'Epargne et de prévoyance.
Donc toutes les grosses banques, également membres du conseil de direction du GIE-CB, se sont alliées pour "imposer" ce système.
Ce mot "imposer" vient des promoteurs du système eux-mêmes, il illustre bien les pratiques anti-concurrentielles de ce cartel. Leur objectif est de tuer toute concurrence de la même façon.
Les projets concurrents n'ont pas attendu pour subir les conséquences de cet abus de position dominante puisque, à la suite de la fusion de la BNP et de Paribas, l'une des premières mesures du nouveau groupe BNP-Paribas fut d'enterre le système Kleline concurrent de Cyber-comm. Il suffit de lire le communiqué de presse relatif à l'abandon de Kleline par BNP-Paribas pour voir que c'est dû au système cyber-comm.
Sans doute un pacte d'actionnaires secret lient tous ces actionnaires de Cyber-comm (toutes ces banques) pour ne promouvoir, diffuser, développer que ce système de transaction par Internet à l'exclusion de tout autre pour verrouiller le marché à l'instar de ce qui est fait dans le domaine du porte-monnaie électronique.
Ce sont les banques qui vendent cyber-comm et diminuent les commissions aux commerçants acceptant les paieemnts par ce système : les concurrents ne peuvent pas lutter. C'est un cartel tarifaire.
Les banques tirent parti de leur position dominante de prestataire de la transaction de paiement pour en plus garantir celles faites par Cyber-comm, c'est un abus de position dominante prohibées par l'article 8 de l'ordonnance n° 86-1243 du 1er décembre 1986 prohibe les activités d'une entreprise occupant une position dominante, lorsque celles-ci « ont pour objet ou peuvent avoir pour effet d'empêcher, de restreindre ou de fausser le jeu de la concurrence sur un marché ».

Autre manière de tirer profit de leur position dominante : le fait qu'il n'y ait pas besoin pour les initiateurs du système cyber-comm de faire signer un contrat aux consommateurs : ils utilisent les clauses abusives du contrat carte banciare qui disent que le porteur est engagé par une transaction faite à l'aide du code secret à 4 chiffres.
Les concurrents protestent contre le système cyber-comm que veut imposer le cartel des banques aux consommateurs (avec la promotion de la secrétaire d'Etat à la consommation qui inaugurera le produit le 18 avril 2000) !
C'est du jamais vu qu'un représentant de l'Etat fasse la promotion directe d'intérêts privés, surtout pour un système propriétaire opaque précaire (il ne durera pas longtemps).
A noter qu'historiquement existait 2 projets concurrents : C-SET (soutenu par le GIE Cartes Bancaires, Europay, Le Crédit Agricole, la Poste, les Banques populaires et le Crédit Mutuel) et E-comm (soutenu par la BNP, la Société Générale, le Crédit Lyonnais, Visa, France Télécom et Gemplus)
Ces 2 projets ont fusionné discrètement pour former Cyber-comm, au mépris des règles de concurrence les plus élementaires.
Ainsi TBS, petit concurrent utilisant le système SSL met en lumière les problèmes posés par le système cyber-comm.
De leur côté, VISA et Mastercard ont annoncé le 06/04/2000 aux Etats-Unis des amendes rédhibitoires aux commerçants sur Internet qui ont des taux de fraude trop important : le cartel américain Visa-Mastercard s'enrichit grace à la fraude. Cet article prouve que les banques veulent imposer le système SET et utilisent pour cela les pires moyens : amendes et abus de position dominante.
Nul doute qu'en France, la même situation se produira si les commerçants ne mettent pas en oeuvre à leur frais les solutions imposées par les banques.
Face à cela, une organisation saine doit se mettre en place

7. Pas de contrat commerçant-client

Ce système cyber-comm ne permet pas d'établir un contrat entre le commerçant et le client en ligne : il n'assure que le paiement,
Il ne permet pas de prouver l'existence d'un contrat entre client et commerçant et encore moins de déterminer les clauses liant les 2 cocontractants.
En cas de litige, comment le consommateur pourra réclamer : il a commandé 2 livres, il n'en a reçu qu'un, c'est impossible.

8. Pas de possibilté transaction porteur à porteur

Alors que des systèmes de porte-monnaie électronique pourraient permettre de faire des transactions de porteur à porteur en tout anonymat, ce système ne permet que de faire des achats de biens ou service dans une logique purement commerciale.
Il n'est pas possible pour le consommateur d'être remboursé en cas de problème : le commerçant ne peut tout simplement pas le faire puisqu'il n'a pas les coordonnées bancaires du porteur.

9. Risque de virus pour faire transactions à l'insu du porteur

Des possibilités existent avec ce système pour que les pirates développe un virus permettant de faire des transactions par Internet à leur profit à l'insu des utilisateurs.
Pour les consommateurs, c'est le danger absolu de se faire débiter entièrement son compte bancaire à son insu, sans possiblité de contester.

10. Coût du système

Les banques comptent faire payer 400 francs le boitier au consommateur alors que le consommateur n'y a aucun intérêt.
Tout au contraire, bien peu de personnes seront capables de l'installer et de s'en servir.
Pour les commerçants, c'est un nouveau système à installer, souvent au prix de développements spécifiques.
Il faut rajouter à cela le prix de la transaction fait par ce système (1 franc par transaction d'après La Redoute).

11. Vie privée menacée

Qui garantit les utilisateurs qu'avec ce système le banques ne liront pas leur disque dur ou que des tiers pourront y accéder ?
Personne et cela d'autant moins que les banques ont des grandes intentions liberticides en voulant utiliser par la suite ce système pour identifier les gens sur Internet à l'aide de leur carte bancaire.
Les banques se targuent ainsi avec se système de pouvoir mettre en place des systèmes de "fidélisation" ou de "télédéclarations", en fait, elles veulent identifier le cyber-consommateur et connâitre son comportement, ce qui est attentatoire au respect de la vie privée. Toute la vie de quelqu'un sera connu de sa banque.
Les banques envisage d'intégrer par la suite une véritable identification numérique dans la carte bancaire.
Leur ambition est écrit dans le livre "1984" de George Orwell : rendre les gens dépendant de leur carte bancaire et pouvoir suivre tous les actes.

12. Banques juges et parties

Les clés utilisées par le système ne sont pas déposées chez un tiers de confiance indépendant.
Il n'y a même pas dépôt non plus d'une signature des clés pour prouver l'antériorité seulement (comme le système Interdeposit par exemple)
Les transactions sont donc invérifiables, il faut se fier à la parole des banques alors qu'elles ne cessent de mentir et de rejetter leurs responsabilités dans l'affaire des cartes bancaires.

CONCLUSION

On a vu, que le valeureux utilisateur de la cybercommerie n'aura aucun moyen de contester une transaction et subit à lui seul les risques de la vente à distance (non livraison, livraison non conforme, produit ou service ne correspondant pas à ses attentes).
On connaissait la définition de la dictature, c'est "ferme ta gueule", on connait maintenant la définition de la démocratie marchande, c'est "cause toujours".
Les gens se font écrasés par des machines et leurs sous sont pillés, on appelle cela le "progrès".
On rappelle tout de même l'article 1er de la loi 78-17 du 6 janvier 1978 relative à l'informatique et aux libertés : "L'informatique doit être au service de chaque citoyen [...]"
Il faut rendre aux citoyens le contrôle de ces systèmes opaques que l'on veut leur "imposer".

LIENS

11/04/2000 Libération CyberComm, protection limitée L'appareil de sécurisation du paiement sur l'Internet ne convainc pas
26/01/2000 ZDNet : "Cyber-comm m'a tuer" Article sur la mort de Kleline suite à la fusion BNP Paribas. Voir aussi le site de soutien http://members.xoom.com/kleline2/
12/04/2000 Kitetoa Piratage du site de Cyber-comm le jour de la conférence de presse de lancement du service !
Pas très sérieux pour une entreprise vantant la sécurité de ses solutions
11/01/2001 L'Internaute Le flop de Cyber-comm
1998 Kitetoa Les prévisions de Kitetoa dès 1996 sur l'avenir de SET en France...
14/02/2001 Transfert.net "Carte Bleue enterre Cyber-Comm ?"
Retour page d'accueil site sur les failles des cartes bancaires