•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Peut-on faire confiance aux services de paiement en ligne?

Pour obtenir vos gains en ligne, Loto-Québec vous redirige vers une plateforme inconnue où vous devez soumettre vos informations bancaires.

Capture d'écran d'un tutoriel de Loto-Québec.

Ce tutoriel de Loto-Québec explique comment enregistrer son compte bancaire en passant par la plateforme Paysafe.

Photo : Loto-Québec

Les technologies de l’information prennent de plus en plus de place dans nos activités financières. Nous sommes à l’ère des fintechs et des risques qui les accompagnent. La fuite massive de données chez Desjardins a été un rappel brutal de cette réalité.

À la suite de la publication de notre article sur la fin inévitable des chèques dans nos systèmes de paiement, un résident de Drummondville nous a écrit pour faire part d’une expérience vécue avec Loto-Québec et montrer le revers de la médaille de ce changement.

J’ai été chanceux, j’ai gagné 1000 $, dit Patrick Rioux, qui joue au casino en ligne quelques fois par année. À ma grande surprise, pour pouvoir encaisser mon montant, on me redirigeait vers un site Internet.

M. Rioux s'est retrouvé sur la plateforme Paysafe, où il devait sélectionner son institution financière, puis entrer son numéro de carte de débit et son mot de passe dans une nouvelle fenêtre. Je regarde en haut [dans la barre d’adresse URL] et ce n’était pas l’adresse de Desjardins, mais de Paysafe. Évidemment, je pensais que c’était du hameçonnage, s'est-il étonné.

En citoyen averti, il a contacté son institution, qui lui aurait déconseillé de poursuivre les démarches, et s’est informé auprès de Loto-Québec pour vérifier s’il lui était possible de recevoir son dû autrement. Une seconde option, plus discrète, permettait de simplement entrer les renseignements inscrits sur un chèque bancaire pour obtenir un dépôt.

Il y a eu tellement de fraudes un peu partout. [...] Il faut qu’on fasse confiance aux gens, mais pour moi, c’est contre nature d’aller donner mes informations à quelqu’un qu’on connaît peu.

Une citation de :Patrick Rioux

Les explications de Loto-Québec

Loto-Québec fait affaire avec Paysafe en tant que fournisseur de traitement de paiement depuis 2010. Ce n’est que récemment qu’elle est passée à la version plus récente de la plateforme qui, souligne-t-on, est également utilisée par d’autres sociétés de loterie canadiennes.

Capture d'écran d'un tutoriel de Loto-Québec.

Loto-Québec fait affaire avec Paysafe depuis 2010.

Photo : Loto-Québec

La société d’État répond qu’elle s’assure dans ses contrats que les fournisseurs et les sous-traitants mettent en place des mesures qui procurent le même niveau de protection des données personnelles des clients que celles qu’elle applique.

L’entreprise Paysafe, dont le siège social est au Royaume-Uni, nous explique pour sa part que les noms d’utilisateur et les mots de passe inscrits à l’adresse URL [où Loto-Québec redirige ses clients] sont directement acheminés du fureteur du client à sa banque préférée. Les informations ne seraient ni reçues, ni stockées, ni traitées par Paysafe.

Sur son site web, le fournisseur dit procéder à des millions de transactions par jour sur la planète et détenir une certification PCI de niveau 1, la norme de sécurité la plus élevée de l’industrie des cartes de paiement.

Une saine méfiance?

Ce client avait totalement raison d’avoir peur et a eu un comportement exemplaire, selon le professeur de l’École de technologie supérieure Jean-Marc Robert. C’est ce qu’on a toujours demandé de faire.

Toutefois, les façons d’agir évoluent. Désormais, on est davantage appelé à utiliser des tiers de confiance pour authentifier son identité numérique (sociale, financière ou gouvernementale) afin de se connecter à différents sites web ou applications. Les comptes Facebook ou Google, par exemple, peuvent être utilisés en tant que tiers.

Dans le cas de Loto-Québec, c’est le même principe, au dire de M. Robert. Ici, on aurait pu croire qu’on était chez Paysafe, mais c’est la banque qui a seulement dit : "Oui, c’est vraiment cette personne." La banque a authentifié l’identité et Paysafe a accepté.

Avec le protocole, si le site web est bien monté et s’il n’y a pas de failles, ça passe d’abord par le serveur d’authentification. La banque va envoyer des informations au client, qui vont être présentées par la suite au serveur de Paysafe.

Une citation de :Jean-Marc Robert, professeur de l’École de technologie supérieure

Vous aurez retenu qu’il importe de se retrouver sur un site web de confiance. Quand ce sont des plateformes appuyées par des organisations solides, on peut avoir un certain degré de confiance, croit Mourad Debbabi, directeur du Centre de recherche sur la sécurité de l’Université Concordia.

Tout citoyen est appelé à faire sa propre analyse. Il y a toujours un risque résiduel, nuance-t-il, mais plus l’organisation est grande, plus elle est en affaires depuis un certain temps, plus on a confiance dans la sécurité qu’elle déploie.

En 2009 et 2010, des entreprises de solutions de paiement appartenant à Paysafe avaient été ciblées par une attaque informatique, entraînant une fuite historique de données personnelles de 7,8 millions de clients.

Un projet de loi attendu

Mourad Debbabi déplore qu’il soit impossible de mieux connaître comment ces plateformes de paiement privées traitent les données à l’interne. On n’a pas de visibilité! Il soutient qu’une garantie de conformité n’est pas une garantie de sécurité.

Le Centre d'analyse des opérations et déclarations financières du Canada confirme que Paysafe est inscrite en tant qu'entreprise de services financiers étrangère et qu'elle doit respecter les obligations légales en vigueur au pays, comme la tenue de documents, la vérification de l'identité des clients et la mise en œuvre d'un régime de conformité.

La Banque du Canada rappelle toutefois que Paysafe n’est pas actuellement assujettie à sa supervision. Le gouvernement fédéral a annoncé son intention en 2019 de présenter un projet de loi pour créer un nouveau cadre de supervision en vertu duquel l’institution serait responsable de la surveillance des fournisseurs de services de paiement, mais son dépôt se fait toujours attendre.

Au Québec, l’Assemblée nationale étudie présentement le projet de loi 64 visant à renforcer la protection des renseignements personnels des citoyens et à imposer jusqu’à 25 millions de dollars d’amende aux entreprises qui contreviendraient aux règles.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !