Comme vous le savez la sécurité est notre priorité ! C’est pour cela que Lyra a décidé de renforcer la sécurité de connexion à son back-office marchand PayZen. Grâce à l’authentification à deux facteurs utilisant un mot de passe à usage unique (One Time Password).

La connexion au Back Office aujourd’hui

Actuellement, la connexion au site marchand se fait grâce à une authentification simple avec un seul facteur, à savoir le mot de passe. L’utilisation d’un second facteur est limitée à la première connexion. Il est également requis lors de la perte du mot de passe. Il s’agit du code de sécurité qui est communiqué au gestionnaire de la boutique lors de sa création.

Qu’est-ce que la double authentification ?

Elle vient renforcer la sécurité à travers plusieurs éléments qui permettent de vérifier l’identité d’un utilisateur :

  • Ce que l’utilisateur connait (ex : un mot de passe)
  • Ce que l’utilisateur est (ex : une empreinte biométrique)
  • Ce que l’utilisateur possède (ex : un téléphone)

Il peut s’agir d’une combinaison de mot de passe, de reconnaissance faciale, d’empreinte digitale, de codes envoyés par SMS et de mots de passe à usage unique (OTP), etc.

La sécurité est renforcée par le fait que les méthodes d’authentification soient liées à des facteurs différents.

Comment fonctionne un OTP ?

C’est un mot de passe unique et personnel valable uniquement sur une session et qui est regénéré toutes les 30 secondes. Il est fourni par des applications telles que Microsoft Authenticator et Google Authenticator par exemple. L’utilisation d’un OTP viendra donc renforcer la sécurité d’une authentification par mot de passe.

La connexion au Back Office de demain

Lyra a opté pour l’OTP comme deuxième facteur d’authentification. La première authentification reste le mot de passe auquel vient s’ajouter l’OTP. Lors de la première connexion au Back Office, vous devrez scanner un QR code avec une application dédiée pour obtenir votre OTP. Par la suite, l’OTP sera requis à chaque nouvelle connexion ou une fois toutes les 24 heures.

Good to know : vous avez la possibilité de choisir si vous souhaitez activer la connexion par double facteur. Pour une sécurité maximale, Lyra vous le recommande fortement.

Cette année, CB a vu les choses en grand pour rassembler tous les acteurs du paiement français le 10 octobre prochain. Dans un lieu d’exception (Bercy – Accor Arena) les banques, industriels, commerçants et institutionnels pourront en une même journée :

  • Participer à plus de 15 key notes
  • Echanger avec les exposants sélectionnés
  • Obtenir une vision précise des grands enjeux et évolutions actuels et à venir
  • Partager lors d’un cocktail dinatoire

Un événement gratuit à ne pas manquer si vous faites partie de cet écosystème.

S’inscrire

Évènement sur invitation

Lyra, société 100% français et engagée dans la souveraineté des données, sera présente pour transmettre son savoir autour de la sécurité, de l’omnicanalité et de la mobilité. 3 axes centraux pour accompagner sereinement la croissance d’une société.

N’hésitez pas à rencontrer notre équipe sur notre corner !

Mardi 10 octobre
Espace Phantom – 8 boulevard de Bercy – 75012 Paris, France


Ecosystème paiement avec CB

Programme détaillé du Sommet CB

  • 09h00 > Ouverture des portes au public
  • 10h00 à 16h00 > Key notes
  • 18h > Cocktail dinatoire
Les sujets
  • Cloud, apps… quel avenir technologique pour les terminaux de paiement ?
  • Les données de paiement, un indicateur puissant de l’évolution de la consommation.
  • La sécurité du paiement CB peut-elle résister au quantique ?
  • Le déploiement accéléré du paiement mobile CB.
  • Optimiser les ventes e-commerce avec les outils de monitoring de CB.
  • CB : un enjeu de souveraineté pour la France.
  • La lutte contre la fraude : un atout historique de la place bancaire française.
  • L’inclusion et l’écoresponsabilité au cœur des paiements par carte et mobile CB.
  • Comment CB simplifie l’accès aux transports ?
  • Une nouvelle génération de carte pour l’indépendance technologique de CB.
  • Paiement et fintechs : la lune de miel continue-t-elle ?
  • Le multicanal CB pour développer le chiffre d’affaires des commerçants.


Cardi qui ?

Le carding est un terme générique de fraude désignant le fait de tester des cartes volées. Toutefois, on en parle généralement pour désigner le fait d’utiliser une grande quantité de cartes volées via une attaque menée par un ou plusieurs « carder(s) » sur un ou plusieurs site(s) e-commerce, celle-ci permettant de vérifier la validité des cartes.
Ces attaques se font via des bots, des programmes informatiques permettant de réaliser des opérations automatiques en grand nombre. Cela permet aux carders d’augmenter significativement la vitesse, et donc l’ampleur d’une attaque, ainsi que de la faire durer dans le temps.

Objectif : identifier les cartes qui pourront être utilisées afin de revendre les données, les utiliser pour acheter des biens/services, ou pour commettre d’avantage de fraude.
Risques pour les commerçants : réception de multiples chargebacks, mauvaise image de la boutique qui n’aurait pas su repérer l’attaque.


Ces carders savent établir des plans que nous savons déchiffrer !

Le plan machiavélique

Il existe malheureusement de nombreuses méthodes pour obtenir des données de carte, parmi celles-ci :

  • Le phishing/spoofing : la victime reçoit un mail/SMS provenant soi-disant du centre des impôts, du service des amendes, de la sécurité sociale, etc ; clique sur le lien, et remplit les informations demandées (en général, données de carte et informations de contact) –> à ce stade, pas de paiement. Relativement rapidement ensuite, la victime est contactée par téléphone par le fraudeur (alloteur) se faisant passer pour une entité légitime (banque en général) qui, en faisant appel au sentiment d’urgence (« vous êtes victime d’une fraude, il faut faire quelque chose, je vais vous aider ! ») parvient à ce que le porteur de carte valide des opérations bancaires en 3DSecure (« il faut que vous validiez pour annuler »)
  • Attaque de malware : typiquement, cliquer sur un lien corrompu présent dans un email, qui installe un software malicieux, difficilement détectable, qui collecte les informations de carte/compte.
  • Skimming : un module discret est attaché à un distributeur de billets, un automate, un TPE, et collecte les informations de carte.
  • Hacking : attaquer la page de paiement d’un commerçant afin de récupérer les données de carte, ou carrément détourner les flux.
  • Ou plus simplement… acheter une liste de cartes sur le darknet. Pour indication, une carte française coûte en moyenne 14€ sur le darknet, contre 8,5€ au global.

Leurs objectifs

  • Les fraudeurs peuvent bien évidemment utiliser les cartes, une fois validées, sur n’importe quel site e-commerce (achat de bien physique livré chez une mule, achat de service, service d’abonnement…).
  • Une technique plus courante est d’acheter massivement des cartes cadeaux/cartes prépayées pour pouvoir blanchir directement l’argent volé. Ils peuvent ensuite utiliser ces cartes, ou les revendre.
  • Les fraudeurs aiment aussi faire des virements directement sur des comptes qui l’autorisent (en général, ces virements sont plutôt en milliers d’euros qu’en centaines…)
  • Vendre la liste des cartes sur le darknet.

Le prix à payer (peut-être en plusieurs fois ou directement par carte éventuellement 😉) : 7 ans de prison et 750.000€ d’amende pour un fraudeur seul, 10 ans de prison et 1.000.000€ en cas de crime en bande organisée.

La bataille est donc déclarée!

L’objectif premier : empêcher les fraudeurs d’entrer !

  • CAPTCHA : vous pouvez choisir le niveau de sécurité afin d’être +/- disruptif pour vos acheteurs, toutefois environ 50% des CAPTCHA sont validés… par des bots.
  • MFA (Multi-Factor Authentification) : très efficace contre les attaques de bots, mais crée beaucoup de friction pour les utilisateurs.

Bilan : ne jamais donner de crédit aux fraudeurs c’est s’allier avec les bons partenaires 😉

Contactez-nous pour plus d’idees

De par ses activités s’appuyant sur son statut d’établissement de paiement, le groupe Lyra est naturellement exposé au risque de blanchiment des capitaux et de financement du terrorisme (LCB-FT).

Pour continuer à protéger efficacement l’intégrité du système économique et financier, ainsi que les acheteurs consommant sur les sites clients de Lyra, le groupe a ajouté à son arsenal de contrôles un nouvel outil.

Le choix s’est porté sur Napier Continuum, une plateforme puissante englobant de l’intelligence artificielle augmentée. 

Pourquoi un nouvel outil de LCBF ?

Le blanchiment des capitaux et le financement du terrorisme dans le monde représenteraient entre 2 et 5% du PIB mondial par an d’après la Banque de France. Un montant vertigineux qui fait rapidement comprendre l’importance de l’engagement de chaque acteur à mettre tout en œuvre pour s’en prémunir. Or, le crime organisé évolue sans cesse en termes de technologie et de complexité. Lyra doit donc faire preuve d’agilité et devancer, via des outils de pointe, les comportements à risques.

Il en va de la sécurité de l’économie européenne mais aussi des consommateurs. Lyra se doit de leur proposer le règlement en ligne uniquement sur des sites de confiance. C’est un gage de fiabilité que nos clients commerçants apprécient. Choisir Lyra, c’est choisir un partenaire aux valeurs et engagements communs.

Pourquoi Napier ?

Napier est de loin l’outil le plus avancé du marché puisqu’il combine gestion complexe de règles et intelligence artificielle. Ainsi, les équipes « compliance » de Lyra gagnent en :

  • Réactivité, en créant rapidement de nouvelles règles dès l’identification de risques,
  • Finesse, avec des règles adaptées en fonction des cas d’usage et du profil marché/acheteurs,
  • Anticipation, grâce à des analyses prédictives,
  • Efficacité, avec la capacité de tester les règles en amont pour éviter les faux positifs.
Control napier e-commerce

En quoi consiste le LCB-FT ?

Le blanchiment des capitaux consiste à redonner une apparence légale à de l’argent obtenu de manière illicite. Cet argent est issu par exemple d’activités mafieuses, de trafics, de fraude fiscale ou de corruption. Le financement du terrorisme, quant à lui, consiste à fournir ou réunir des fonds, des biens ou des services susceptibles d’être utilisés dans le but de perpétrer directement ou indirectement des actes de terrorisme.

logo perles & co

Le passage de la DSP1 à la DSP2 a obligé le consommateur à passer par une authentification forte pour ses achats en ligne. Cela a eu des conséquences directes pour les e-commerçants dont Perles & Co, site e-commerce de perles et composants pour la bijouterie fantaisie et les loisirs créatifs.

En effet, avant la DSP2, Perles & Co et l’ensemble des marchands étaient autonomes sur la gestion du 3DS. Perles & Co bénéficiait de son propre système de gestion du risque. Cela leur permettait de déclencher le 3DS uniquement lorsque c’était nécessaire : en fonction du montant, du pays d’origine de la transaction, s’il s’agissait d’une première commande ou non, etc.

Le passage à la DSP2 a donc directement impacté leur activité avec un nombre de transactions rejetées qui a triplé ! L’acceptation du paiement est devenue l’enjeu central du marchand. Ce dernier avait ainsi tout intérêt à optimiser les préférences de paiement de ses clients en s’appuyant sur un prestataire de paiement lui permettant de faire du frictionless.

Des paiements frictionless pour un taux d’acceptation plus élevé

Dès le début, Perles & Co a compris l’importance de bien maîtriser le 3DS2 et la capacité à pouvoir proposer du paiement frictionless. Leurs clients utilisant majoritairement la carte bancaire comme mode de paiement, le passage à la DSP2 a impacté directement leur taux d’acceptation. Avec la complexification du parcours liée à l’authentification forte, le paiement était devenu difficile à appréhender pour leur cœur de cible, majoritairement féminin et plutôt âgé.

Cependant, dans le cadre de la DSP2 et du 3DS2, certaines exemptions sous critères existent et permettent de proposer des paiements dits « frictionless »*. Ce type de paiement ne requiert aucune action supplémentaire de la part de l’acheteur. Sans authentification forte, le parcours devient plus simple ! Pour Perles & Co qui n’a pas eu à subir de fraudes à ce jour et dont la clientèle est récurrente, il a semblé naturel de mettre en place un parcours plus simple et au maximum frictionless, ce qui leur a permis d’augmenter le taux d’acceptation de leurs paiements.

*Attention : tout paiement frictionless implique une non-garantie en cas de fraude.

La TRA : la solution clé pour alléger son parcours de paiement

Parmi les exemptions permettant de proposer un parcours de paiement sans frictions existe la TRA (Transaction Risk Analysis).

Véritable indicateur de confiance, la TRA est le taux donné à chaque banque ou établissement de paiement en fonction de sa manière de gérer le risque, les impayés, les fraudes etc. Lors de la transaction, ce taux est transmis à la banque du client. Cela permet d’appuyer la demande de frictionless. Plus le taux est bon, plus il y a de chances que le paiement frictionless soit accepté ! Le montant maximal d’une transaction en mode frictionless est défini avec la banque ou l’établissement de paiement.

Dans le cas de Perles & Co, en s’appuyant sur notre établissement de paiement Lyra Collect dont le taux est inférieur à 0.06%, le seuil en montant a été défini à 100 euros. Ce montant s’adapte complètement à leur panier moyen qui est aux alentours de 60€. Leur clientèle récurrente et leur faible taux de fraude ont fait que le paiement frictionless a pu être mis en place facilement et rapidement.  

Des résultats immédiats pour Perles & Co

+3% de taux d’acceptation, depuis la mise en place de cette exemption, les chiffres décollent pour Perles & Co !  À ce jour, les paiements frictionless représentent plus de 63%  des transactions et le taux global d’acceptation des paiements est passé à 91%.

Le 3DS2 étant maintenant maîtrisé grâce à l’accompagnement de nos équipes expertes sur le sujet, Perles & Co va pouvoir se concentrer sur d’autres leviers de conversion tels que :

  • la capacité à pouvoir proposer l’enregistrement des cartes (tokenisation pour les paiements récurrents) pour un parcours toujours plus simple et rapide.
  • L’ajout de nouveaux moyens de paiement comme Bancontact et Giropay puis, à termes, la mise en place d’Apple Pay et de Google Pay.

« Grâce à l’accompagnement personnalisé des équipes de Lyra, nous avons pu trouver une solution pérenne et monter en maîtrise sur le 3DS2. La qualité de notre relation sur le long terme va désormais nous permettre d’explorer de nouvelles pistes en matière de paiement.»

Jean-Étienne ESTINGOY
Gérant de Perles & Co

Cette année encore, le groupe Lyra confirme sa solidité et l’efficience de sa stratégie

Malgré un contexte international bouleversé par la crise sanitaire, Lyra poursuit son essor ! Renforcement des équipes, consolidation internationale, résilience…

Nous avons maintenu le cap de nos grands chantiers et stabilisé notre chiffre d’affaires à près de 67 millions d’euros. Sachant que nous réalisons 40% de notre CA à l’international, notamment en Inde et au Brésil, deux pays fortement impactés par le Covid avec une évolution défavorable du taux du change, c’était une gageure ! »

Anton
Bielakoff, Directeur Général du groupe Lyra

Découvrez plus détails dans le communiqué de presse

Renforcement des équipes, consolidation internationale, résilience… Lyra poursuit son essor !Télécharger

Depuis le 15 mai 2021 et dans le cadre de la DSP2, tous les paiements en ligne sont désormais réalisés avec une authentification forte, appelée le 3D Secure 2. Cette authentification permet de s’assurer de l’identification de l’acheteur et ainsi de réduire le taux de fraude. Récemment, et dans cet objectif, Lyra propose le chaînage avec cette authentification 3DS2. Quésaco ? Découvrons-le ensemble maintenant !

Rappel des types de transactions pour comprendre le chaînage

Afin de définir ce qu’est le chaînage, son importance et ses avantages, il est important de faire un petit rappel sur les types de transactions possibles. Pour cela, nous allons séparer les transactions en deux catégories :

  • Les transactions CIT (Customer Initiated Transaction) : ce sont les transactions initiées par le client. Ces transactions doivent obligatoirement faire l’objet d’une authentification forte. Exemple : un achat unique sur internet 
  • Les transactions MIT (Merchant Initiated Transaction) : comme son nom l’indique, il s’agit des transactions initiées par le marchand. Exemple : paiement en N fois ou un abonnement. Le client règle la première fois, donne son autorisation pour être prélevé tous les mois et c’est le marchand qui, chaque mois, va venir exécuter le paiement.

Toutes les MIT doivent être précédées par une CIT dans laquelle une authentification forte sera faite (3DS2). Pour faire ce lien et s’assurer de l’identification de l’acheteur même au cours des MIT, on procède à ce que l’on appelle un chaînage. La bonne nouvelle ? Vous n’avez rien à faire, Lyra s’occupe de tout automatiquement !

Chaînage 3DS2

Comment fonctionne le chaînage ?

Lors de la première transaction initiée par le client (CIT), la banque de l’acheteur va nous envoyer, à nous Lyra, un identifiant unique de transaction. Nous nous chargeons donc de recevoir cet identifiant, de le mémoriser et de le renvoyer en tant que référence de chaînage à la banque émettrice à chaque MIT pour assurer que la CIT (première transaction) a bien fait l’objet d’une authentification forte. Que ce soit un paiement en N fois, un abonnement, un paiement par alias, une duplication de transaction, la plateforme de Lyra s’occupe de tout automatiquement !

2 cas possibles :

  • Soit nous avons connaissance du montant total de la transaction finale (par exemple, un abonnement avec une date de fin et des mensualités fixes ou un paiement en 3X). Si c’est le cas alors l’authentification 3DS2 doit se faire sur le montant total de la transaction. Cela permet notamment à la banque émettrice de s’assurer des montants prélevés.
  • Soit nous ne connaissons pas le montant total (par exemple, un abonnement avec une durée indéfinie). Dans ce cas, l’authentification forte se fait uniquement sur la première échéance, donc la CIT.

À savoir : Lyra a mis en place ce chaînage depuis quelques mois. Pour les abonnements ayant commencé avant cette date, nous assurons également le chaînage grâce à l’envoi d’un identifiant  provisoire.

L’avantage principale du chaînage :

  • Le chaînage permet de réduire la fraude. En effet, comme chaque MIT vient d’une CIT avec une authentification forte, l’émetteur sait associer ce paiement au premier authentifié et doit fournir un taux de conversion plus élevé sur les paiements récurrents.

Les cas d’exemptions :

  • Les transactions MOTO, c’est-à-dire les paiements manuels (exemple : un paiement par téléphone). Pour savoir comment réduire le risque de fraude lors d’un paiement MOTO.
  • Les transactions one leg. Ce sont des transactions où l’une des deux parties (l’acheteur ou le vendeur) ne fait pas partie de l’UE et ne dépend donc pas de la réglementation.

Informations utiles :

  • Le chaînage ne change pas le transfert de responsabilité
  • Lyra assure le chaînage peu importe l’intégration que vous avez choisi
  • Si vous décidez de changer de prestataire de paiement pour venir chez Lyra et que vous avez déjà des abonnements, vous n’avez rien à faire. Lyra se chargera de demander les identifiants de chaînage à votre ancien PSP, si celui-ci est déjà conforme avec la gestion des références de chainage.
EN SAVOIR PLUS

Découvrez l’article de la journaliste d’Alexandra Oubrier dans l’hebdomadaire de L’AGEFI. Ici on parle innovation, croissance sans levée de fond et ambition à la française!

Fintech innovante et rentableTélécharger

En ce moment, nous travaillons sur les parcours pour rendre l’initiation de paiement plus fluide en e-commerce que ce qu’il existe déjà sur le marché.

Anton Bielakoff, Lyra

On sort des sentiers battus et on vous parle aujourd’hui, non pas de lancement de nouveauté produit ou de tendances du paiement, mais de sécurité. Non pas sur notre métier du paiement sécurisé, mais sur la sécurité au sein de notre entreprise. Bien sûr, on ne pourra pas tout vous dire, car ça reste secret, mais notre responsable sécurité a décidé de prendre la parole lors d’un événement sur-mesure.

Quel est ce rendez-vous des professionnels de la Cybersécurité ?

La sécurité en entreprise, c’est adapter son cadre aux éventuelles menaces. La menace cyber est comme le décrit les organisateurs de l’événement ; protéiforme, transverse, évolutive et peut toucher toutes les fonctions de l’entreprise. Chez Lyra, la sécurité c’est notre dada, on développe des solutions de paiement sécurisé pour nos clients, et pour garantir un cadre aussi sûr, la sécurité est dans un premier temps au cœur de notre structure. Protéger notre entreprise, c’est aussi protéger nos clients, c’est bien vrai ça !

Matthieu Pech prendra donc le micro le mercredi 24 novembre 14h15 – 15h05 : « Gouvernance de la cybersécurité : quelle feuille de route ? »

Obtenez votre entrée gratuite et aux événements co-organisés : Cloud Expo Europe, DevOps Live, Big Data & AI World et Data Centre World

LIEU ET HORAIRES

Paris Porte de Versailles

Hall 3

23 novembre 2021  • 09:00 – 17:30

24 novembre 2021  • 09:00 – 17:00