Lutter Contre La Fraude à la CB (au niveau technique) svp

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par 9876, 3 Juin 2008.

  1. 9876
    9876 WRInaute discret
    Inscrit:
    18 Janvier 2007
    Messages:
    60
    J'aime reçus:
    0
    Bonjour,

    Comment lutter efficacement d'un point de vue technique contre la fraude à la carte bancaire (mais du côté commerçant) avant le paiement final donc.

    En effet, de nombreux individus ont tendance à payer certains sites en utilisant une carte bancaire qui ne leur appartient pas mais comment déterminer un taux de confiance (à chaque webmaster) avant de l'envoyer vers une solution de paiement (du style paypal par exemple).

    Déjà pour bien cerner le problème, comment les fraudeurs font pour éviter de se faire identifier ? (lors d'une plainte d'une solution de paiement)

    Et comment le webmaster peut t'il détecter ces méthodes ?

    Existe t'il un moyen d'identifier de manière formel l'adresse IP de l'utilisateur (bien sûr je connais la fonction PHP qui permet ce genre de réalisation) mais dans certains cas les fraudeurs utilisent des serveurs relais ou se connectent à partir de l'autre bout de la planète.

    Donc :
    - comment savoir si l'utilisateur se connecte à partir de sa propre connexion (moyens techniques) ?
    - comment repérer géographiquement un utilisateur ?

    Je poste ce sujet car j'ai suivi et participé avec bcp d'attention à un sujet sur les problèmes de la fraude à la carte bancaire et je me suis demandé si il existait un moyen de lutter techniquement contre ce type de problème (du côté commerçant) avant d'envoyer l'utilisateur vers une solution de paiement.

    Merci
     
  2. blman
    blman WRInaute accro
    Inscrit:
    5 Septembre 2003
    Messages:
    2 719
    J'aime reçus:
    3
    FIANET se base par exemple sur un grand nombre d'utilisateurs sur de nombreux sites marchands et recoupent les informations pour identifier les fraudeurs. Après je ne sais pas forcément quelles infos sont utilisées mais surement que celles que tu a citée font parti de l'algorythme (IP, adresse, nom, n° de carte, ...)

    En Septembre, je crois, le système ATOS va aussi améliorer son service de détection de fraude et va enregistrer de nombreuses informations (idem, surement en recoupant un maximum d'infos sur toutes les transactions faites chez tous les commerçants qui utilisent le système - et il y en a vraiment un paquet).

    Sinon, pour le commerçant, il faut bien avouer que seul, il ne peut pas faire grand chose. Les bonnes vieilles techniques : vérifier l'adresse de livraison sur pagesjaunes.fr, appeler le client pour vérification, demander un justificatif de domicile ou carrément demander un changement de mode de paiement pour privilégier le paiement par virement.
     
  3. UsagiYojimbo
    UsagiYojimbo WRInaute accro
    Inscrit:
    23 Novembre 2005
    Messages:
    11 983
    J'aime reçus:
    122
    Re: Lutter Contre La Fraude à la CB (au niveau technique) sv

    Il existe une solution (certes payante) qui permet à un commerçant en ligne d'évaluer la fiabilité de ses clients : http://www.fia-net.com/. Par recoupement automatisés entre les annuaires des postes, les informations récupérées sur les autres sites affiliés au label, etc. ils sont en mesure de donner des informations sur la fiabilité (ou non) de l'acheteur.
     
  4. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 543
    J'aime reçus:
    0
    C'est donc une sorte de "liste noire" de mauvais clients au final, c'est bien "légal" ça ?
     
  5. blman
    blman WRInaute accro
    Inscrit:
    5 Septembre 2003
    Messages:
    2 719
    J'aime reçus:
    3
    Ce n'est pas une liste noire des mauvais clients, c'est une liste noires des fraudeurs. Je ne vois pas pourquoi, ça serait illégal...
     
  6. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 543
    J'aime reçus:
    0
    Je ne sais pas, la limite me semble mince mais bon...
     
  7. 9876
    9876 WRInaute discret
    Inscrit:
    18 Janvier 2007
    Messages:
    60
    J'aime reçus:
    0
    Ok merci

    Mais n'existe pas t'il pas des solutions pour vérifier un utilisateur avant que celui-ci ne paye ?

    Comment vérifier son adresse IP ? Savoir si il habite en europe, asie,... ?

    Comment donner techniquement un indice de confiance avant que l'utilisateur ne décide d'acheter ?

    Quels moyens les fraudeurs utilisent t'ils pour réutiliser les codes de carte bancaire sans se faire prendre ? (j'ai listé les moyens suivants : utilisation de serveur Proxy, piratage d'un serveur dédié pour ensuite le réutiliser pour effectuer des achats en ligne,...)

    Mais comment détecter les serveurs proxy ? N'ya at'il pas une solution technique ?

    En réalité, mon objectif serait de :
    - créer une solution technique afin de me permettre d'accorder un indice de confiance à un utilisateur (avant que celui-ci décide de payer)
    - en fonction de l'indice de confiance, déterminer une solution afin de vérifier le paiement et envoyer un message de dissuasion approprié (en rapport avec l'indice de confiance)
    - si l'indice de confiance est trop bas, lui demander de fournir son numéro de portable afin d'entreprendre une vérification de son adresse (très dissuasif).
     
  8. blman
    blman WRInaute accro
    Inscrit:
    5 Septembre 2003
    Messages:
    2 719
    J'aime reçus:
    3
    Comment vérifier son adresse IP ? Savoir si il habite en europe, asie,... ?

    > avec une liste de géo-localisation (je crois que ça coute cher !)

    Pour le reste des questions, je n'en sais rien.

    Mais comment faire si tu détecte un utilisateur avec un indice de confiance bas alors que c'est un acheteur tout à fait honnête qui n'a jamais d'antécédent de fraudeur ?

    Des gens qui commandent de l'étranger sur des sites français, pour être livré dans leur famille en France, ça arrive régulièrement et pourtant ils seraient bloqués par ton système ?
    Des gens qui commandent à partir de leur boulot, dans des entreprises qui utilisent des serveurs proxy, ça arrive aussi très régulièrement. Seraient-ils bloqué par ton système ?
     
  9. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 579
    J'aime reçus:
    0
    Re: Lutter Contre La Fraude à la CB (au niveau technique) sv

    Vaste problème. Il y a deux choses dont on veut se protéger:
    - l'utilisation d'une carte bancaire qui n'est pas celle du "client"
    - la répudiation par le client

    Les deux reviennent à prouver que le "client" et le porteur de la carte sont bien la même personne (en France au moins, il est interdit de répudier une transaction qu'on a effectuée soi-même, sauf cas très particuliers).

    La solution idéale, c'est l'utilisation de mesures de type Verified by Visa ou Mastercard Securecode par la passerelle de paiement. Malheureusement, très peu de banques (surtout en France) ont mis en place les procédures et systèmes nécessaires pour le moment (mais Visa et Mastercard sont assez agressifs là-dessus, et très prochainement, si ce n'est pas carrément déjà le cas, si le commerçant demande une vérification VbV/Securecard et que la banque répond "non on ne fait pas", la transaction est garantie pour le commerçant, et ça devient le problème de la banque - ça devrait les pousser à migrer au plus vite).

    Sinon, il reste les vérifications "physiques" diverses, mais elles peuvent être plus ou moins adaptées au type de produit ou service vendu et/ou au type de paiement (unique ou récurrent). Ca inclut la vérification de la carte physique (si on vend quelque chose que le client va devoir venir chercher), la vérification de l'adresse postale (soit par rapport à celle de la carte, non disponible en France, soit par envoi d'un code ou d'un truc du genre permettant de retrouver le "client" par la suite), la vérification d'un numéro de téléphone (par appel automatisé ou envoi d'un SMS avec un code), etc.

    On parle de quoi? Vente de produits physiques ou de produits/services électroniques? Dans le premier cas c'est plus difficile pour eux, il y a forcément une adresse de livraison. A toi d'éviter les cas les plus évidents (ça existe encore poste restante?), et d'utiliser un moyen de livraison "sûr" (avec remise contre signature idéalement). A partir de là on peut déjà plus facilement trouver quelqu'un. Evidemment si le gars est au Nigéria, hein...

    Pour les services électroniques, c'est plus difficile, mais en général tu n'y "perds" pas d'argent (tu n'en gagnes pas, mais tu n'as pas envoyé du matériel par exemple) c'est moins grave. Suivant les montants en jeu tu peux envisager certaines des mesures évoquées plus haut (le plus simple étant probablement l'envoi d'un code par SMS).

    Il y a des services qui permettent de vérifier ce genre de choses. Voir du côte de www.maxmind.com par exemple. Maintenant ce n'est jamais sûr à 100%, il y a toujours un proxy ouvert quelque part qui n'est pas forcément repéré.

    Jacques.
     
  10. 9876
    9876 WRInaute discret
    Inscrit:
    18 Janvier 2007
    Messages:
    60
    J'aime reçus:
    0
    Merci pour ta réponse.

    Non il ne s'agit pas de bloquer les paiements mais uniquement d'adapter mon système anti-fraude en rapport avec le taux de confiance.

    j'ai eu le temps d'approfondir un peu ma recherche sur les serveurs proxy etje pense que je serai capable d'élaborer ce système :
    - vérification du port 80,...

    But de l'opération : Vérifier si le serveur Proxy est sécurisé et si ce serveur permet de faire connecter n'importe qui.

    C'est ce système qui va me permettre de déterminer un indice de confiance à chaque visiteur (ainsi que d'autres paramétres tels que la géolocalisation,...)

    Après ça reste à analyser, je n'ai jamais testé
     
  11. 9876
    9876 WRInaute discret
    Inscrit:
    18 Janvier 2007
    Messages:
    60
    J'aime reçus:
    0
    Re: Lutter Contre La Fraude à la CB (au niveau technique) sv

    OUi effectivement. Normalement ça devrait être obligatoire à partir du 1er octobre 2008

    Service électronique exclusivement. Ce qui m'interesse c'est de vérifier au niveau technique avant le paiement en vérifiant le serveur proxy,... afin de donner un taux de confiance et de proposer au client des mesures en rapport avec ce taux de confiance.

    Merci pour le lien.
     
  12. Marie-Aude
    Marie-Aude WRInaute accro
    Inscrit:
    5 Juin 2006
    Messages:
    16 743
    J'aime reçus:
    178
    Pour répondre à blman, les listes de "fraudeurs" sont effectivement très borderlline.

    En gros il y a deux sources d'informations : le fichier des impayé de la Banque de France, avec des procédures d'inscription strictes (et encore... je connais quelqu'un qui a été inscrit à tort, et pour se faire radier... il a eu des ennuis pendant plusieurs mois)

    Le fichier carte noire des cartes de crédit est un fichier qui n'est pas mis à disposition des entreprises. Elles ont même l'interdiction de stocker des numéros de carte de leurs clients, même si beaucoup le font.

    Donc quand je lis
    je trouve effectivement que c'est border-line. Qu'est ce que la mauvaise foi ? Comment la définit on ?
     
  13. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 579
    J'aime reçus:
    0
    Qui a dit que tous les proxies tournaient sur le port 80? Qui a dit que parce qu'il y avait un serveur sur le port 80 c'était un proxy?

    Pas si facile que ça (ceci dit vu la tendance script kiddy en ce bas monde, je pense qu'il n'y a pas 36 types de proxies ouverts à tester).

    Il y avait un contributeur qui se proposait de faire un service permettant de tester certains proxies il y a quelques jours... Cherche un peu dans les posts précédents pour voir...

    Jacques.
     
  14. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 579
    J'aime reçus:
    0
    C'est inexact. Le stockage certaines informations, en particulier le numéro de carte et la date de validité, est parfaitement autorisé (mais il y a des règles de sécurité à respecter). C'est de toutes façons obligatoire pour tout ce qui est paiements récurrents. Il n'est par contre pas autorisé de stocker le CVC2/CVV2 (le code à 3 chiffres au dos de la carte). La liste exacte de ce qu'il est autorisé ou interdit de stocker est défini dans les spécifications Visa et Mastercard.

    Jacques.
     
  15. 9876
    9876 WRInaute discret
    Inscrit:
    18 Janvier 2007
    Messages:
    60
    J'aime reçus:
    0
    Ok merci. Je vais aller voir.

    Sinon, quels ports fraudraient t'il vérifier pour déterminer si le serveur proxy est sécurisé ou non ?

    Car il se s'agit pas d'interdire aux acheteurs de commander mais simplement d'adapter le message dissuasif en fonction de l'acheteur en rapport avec son taux de confiance.

    Bien sûr, je pense que les solutions de paiement auront des scripts pré-conçus afin d'analyser la sécurité d'une transaction mais dans certains cas, les frais de chargeback ne sont pas gratuit (jusqu'à $150 pour certaines solutions de paiement).
     
  16. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 579
    J'aime reçus:
    0
    Potentiellement, tous (ça en fait >65000). Mais il te faudra connaître les différents types de proxies pour tester, tous les proxies ne sont pas des proxies HTTP "purs" (i.e. qu'on configure dans les préférences de son navigateur), il y en a beaucoup avec des URLs composées genre adresse.du.proxy/machin/chose/adresse.du.site.a.visiter. Donc en plus du port il faut connaître machin/chose, éventuellement la syntaxe exacte, le port, sans parler du fait que le proxy pourrait ne répondre que si on se connecte avec son nom et pas juste avec son IP...

    Surtout, il faut bien se rendre compte que ce genre de chose évolue en permanence, si tu veux quelque chose d'efficace il vaut mieux sous-traiter à quelqu'un qui fait ça à longueur d'année plutôt que de le faire toi-même, et qu'au bout de 6 mois ce soit du gruyère.

    Evidemment il faut éviter de transformer ton système en amplicateur d'attaque DoS...

    Jacques.
     
  17. 9876
    9876 WRInaute discret
    Inscrit:
    18 Janvier 2007
    Messages:
    60
    J'aime reçus:
    0
    D'accord mais à qui le sous-traiter ? Quel est le prix ?

    Je précise : Sans passer par de grosses sociétés car il s'agit de petits tarifs.
     
  18. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 579
    J'aime reçus:
    0
    Maxmind a des tarifs très raisonables, et toute une gamme de services (IP -> pays, détection de proxy, comparaison d'adresse, vérification téléphonique, etc.) à la carte à partir de quelques $ par mois pour des milliers de requêtes... A toi de voir ce dont tu as effectivement besoin (et ce qui s'insère avec ta solution de paiement: si tu utilises Paypal, tu n'auras pas le numéro de carte, et tu ne pourras pas utiliser le service correspondant de maxmind, mais tu pourras en utiliser d'autres).

    Ceci étant dit, si tu utilises Paypal justement, le pire qui puisse arriver (il me semble) c'est que la transaction soit annulée, il n'y aura pas de frais de chargeback à ma connaissance.

    Et comme de toutes façons pour des faibles montants tu ne vas pas lancer des poursuites contre le "voleur", les vérifications trop avancées genre téléphone ou adresse ne sont pas terriblement utiles non plus. Il faut adapter les mesures prises au risque encouru.

    Jacques.
     
  19. 9876
    9876 WRInaute discret
    Inscrit:
    18 Janvier 2007
    Messages:
    60
    J'aime reçus:
    0
    Oui effectivement Paypal ne facture pas des frais de chargeback mais cela n'est pas forcément la même chose de toutes les formules de paiements.

    Je pense que je vais réfléchir pour maxmind mais ils ont l'air d'avoir de bon services effectivement.

    Merci en tout cas pour ton aide.
     
  20. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 579
    J'aime reçus:
    0
    J'ai cru comprendre dans un autre thread qu'on parle en fait probablement de sites adultes? Effectivement ça réduit le nombre de prestataires et ça a tendance à augmenter les coûts, le taux de fraude étant plus élevé dans ce cas.

    Note aussi que dans ce cas tu as probablement souvent des gens qui répudient des transactions qu'ils ont pourtant effectués eux-mêmes. Auquel cas il est utile de pouvoir prouver à qui on avait affaire (certains systèmes de paiement masquent tout ça, et à partir du moment où il y a contestation par le porteur, tu ne peux rien faire, mais si tu travailles en direct avec la banque, il y a normalement une procédure contradictoire qui permet au commerçant de tenter de prouver qu'il s'agissait bien du client. Dans ce cas la vérification téléphonique est probablement une bonne solution: ça ne prouve pas forcément que le client = le porteur, mais si c'est le cas, ça permettra probablement de le prouver, et si ce n'est pas le cas, ça permet de lancer une procédure contre lui - pour quelques euros ce n'est pas rentable, mais pour 150...). Ca permet aussi (sauf s'il est un peu trop bien organisé) de déterminer avec exactitude le pays du client (et de comparer avec pays de la carte, pays de l'IP et pays indiqué).

    Jacques.
     
  21. 9876
    9876 WRInaute discret
    Inscrit:
    18 Janvier 2007
    Messages:
    60
    J'aime reçus:
    0
    OK merci bcp jcaron pour tes renseignements.
     
Chargement...
Similar Threads - Lutter Fraude (au Forum Date
SEO : comment lutter efficacement contre notre ennemi juré ? Référencement Google 22 Mai 2019
Attaque negative seo : comment lutter ? Débuter en référencement 5 Avril 2019
Lutter contre les spams par email, désabonnement ? Droit du web (juridique, fiscalité...) 19 Mars 2019
AVIRA bloque adsense - comment lutter? Monétisation d'un site web 27 Octobre 2014
Suivre et lutter contre Adblock et autres bloqueurs de pub : AdUnblock Monétisation d'un site web 28 Novembre 2013
Lutter contre le vol de contenu, des astuces? Référencement Google 25 Juin 2013
Comment lutter contre . le sur-référencement ? Débuter en référencement 3 Mai 2013
Lutter contre le duplicate sur Wordpress Problèmes de référencement spécifiques à vos sites 21 Avril 2013
Lutter contre le language sms et ponctuation sur forum Administration d'un site Web 11 Octobre 2012
lutter contre le spam ? Débuter en référencement 16 Août 2012
Comment lutter contre le spam sur ma page Facebook ? Facebook 7 Février 2012
Comment lutter contre les (très) grands sites de vente en ligne? Débuter en référencement 11 Mai 2011
comment lutter contre un concurrent spammeur ? Référencement Google 6 Décembre 2010
Vol de contenu : texte et ou photo - Comment lutter ? Demandes d'avis et de conseils sur vos sites 25 Octobre 2010
Comment lutter contre la copie de contenu Crawl et indexation Google, sitemaps 13 Avril 2010
Lutter contre les backlinks pourris de chez pourris ? Débuter en référencement 1 Mai 2009
comment lutter contre la surcharge d'un serveur Administration d'un site Web 25 Septembre 2007
Peut-on lutter contre les annuaires? Référencement Google 7 Septembre 2007
Phpbb, lutter contre les inscriptions sauvages Développement d'un site Web ou d'une appli mobile 9 Août 2007
Commen lutter contre les inscriptions sauvages sur forums Débuter en référencement 17 Octobre 2006