vendredi 15 juillet 2011

"Puis-je frauder ?" Le ecommerce et la fraude à la carte bancaire

Créé par la fameuse LSQ (la loi du 15 novembre 2001 relative à la sécurité quotidienne), l’Observatoire de la sécurité des cartes de paiement a publié le 13 juillet dernier son rapport annuel et ses statistiques de fraude à la carte bancaire pour l’année 2010.

Allons au cœur des chiffres. Selon le rapport de l’Observatoire, la fraude à la carte bancaire sur internet s’établit à 0,276% du montant des paiements réalisés en ligne, soit 73,9 millions d’euros. En 2009, le taux était de 0,263% pour une valeur de 51,9 millions d’euros.

Le rapport indique ainsi que : "Les paiements à distance, qui représentent 8,6 % de la valeur des transactions nationales, comptent ainsi désormais pour 62 % du montant de la fraude (contre 57 % en 2009), dans un contexte de croissance toujours soutenue du volume et de la valeur de ces paiements (+ 23,8 % entre 2009 et 2010 en valeur)".

Face à ce constat, l’Observatoire a renouvelé "son encouragement pour la mise en oeuvre de mesures permettant de lutter contre cette tendance. Le rapport 2008 de l’Observatoire avait souligné l’importance de généraliser progressivement l’authentification du porteur pour tout acte de paiement et de renforcer les méthodes d’authentification utilisées. Des progrès ont été réalisés en ce sens, mais il apparaît crucial que les efforts engagés par l’ensemble des acteurs se poursuivent afin d’infléchir cette tendance".

Parmi les mesures évoquées par le rapport de l’Observatoire, la généralisation de la solution 3D Secure (consistant à authentifier le porteur de la carte bancaire) auprès de tous les sites marchands est régulièrement évoquée.

Credit Card Fraud
Auteur : skibler (flickr)


Une fraude de quelle nature ?

Quand on parle de la fraude à la carte bancaire, on mélange souvent de nombreuses choses. Dans la croyance populaire, il s’agit de la crainte de voir ses données bancaires être piratées comme ce qui a pu arriver récemment à Sony et son service en ligne. Le stockage de numéros de carte bancaire par les sites internet étant très peu recommandé, voire décommandé par la CNIL, ce risque demeure faible sur le territoire français.

En France, la fraude à la carte bancaire provient principalement d’une « usurpation » des données de la carte. En clair, un escroc a récupéré le numéro de la carte bancaire du porteur (ainsi que des identifiants complémentaires comme par exemple la date de validité et le cryptogramme visuel) et en fait un usage sur les sites internet.

Selon le rapport de l’Observatoire, 60% des fraudes à la carte bancaire provient d’une telle usurpation contre seulement 23% en 2003 ou même 40% en 2007.

Si on parle d’usurpation des données de la carte bancaire, la question suivante que l’on peut raisonnablement se poser est la suivante : où est la source de la compromission, en clair, où ces données sont-elles récupérées et surtout, comment ?

Pour le coup, le rapport de l’Observatoire demeure silencieux sur ce point. Il est vrai qu’il est difficile de pouvoir analyser les déclarations réalisées par les porteurs de carte touchés. Au travers de la pratique professionnelle et des discussions avec des porteurs victimes – voire des escrocs utilisateurs des données, il est possible de relever quelques grands types d’usurpation :
  • La fraude familiale.
Pendant longtemps, elle représentait environ 30 à 50% de la fraude à la carte bancaire enregistrée chez un site internet. Par fraude familiale, il faut entendre des personnes qui récupèrent des numéros dans leur entourage (parents, compagnons et compagnes, voire ex-compagnons et compagnes) et qui en font usage. Bien souvent, ce type de fraude peut se régler à l’amiable.
  • La fraude organisée
Cette forme là de fraude a également plusieurs dimensions, notamment dans sa dimension organisée (ou non). Par organisée, j’entends le cas où plusieurs personnes vont travailler à récupérer des numéros de cartes bancaires. Cela passe par plusieurs canaux : (i) le monde physique et (ii) le monde immatériel.

Le monde physique ? Il peut s’agir notamment des hôtels (où vous pouvez être amenés à donner votre numéro de carte bancaire comme garantie) ou des restaurants et plus généralement de tout lieu où peut s’opérer un paiement par carte bancaire. En effet, le double de la facturette conservée par le marchand conserve, en clair, le numéro de votre carte bancaire ainsi que sa date de validité.

Le monde immatériel ? On parle souvent de phishing. Mais clairement, les marchands commencent à subir le contrecoup de cette technique de fraude. De plus en plus d’escrocs obtiennent par cet intermédiaire les données des cartes bancaires et ensuite les utilisent.

Space Police 3 Tardis
Source : JimmytheJ (flickr)

Ensuite, l’organisation de la fraude prendra une ampleur plus ou moins grande. Je me souviens de cette enquête, initiée suite à une plainte déposée pour de faibles montants (8000€ environ), qui a débouché à la mise à jour d’un réseau complexe entre la France, le Nigéria ou le Royaume-Uni. L’enquête est toujours en cours même si des premières arrestations ont eu lieu.

Ainsi, la fraude à la carte bancaire n’est pas la fraude gravée dans le subconscient du grand public. Le risque ne vient pas d’une interception des données lors d’une transaction sur l’internet. Même si les médias aiment à rappeler l’histoire du « https » ou du « petit cadenas », il n’en demeure pas moins que les transactions bancaires sont aujourd’hui sécurisées.

Surtout, au-delà de cela, il apparaît qu’il est plus facile – voire économique – d’obtenir des données bancaires soit directement auprès du porteur de la carte (vie physique, phishing, etc.), soit auprès d’un site internet qui aurait manqué à ses obligations de sécurité.

Protéger le consommateur ou protéger le marchand ?

Protéger le consommateur. Tel est le choix réalisé par la loi sur la sécurité quotidienne depuis le 15 novembre 2001. En cas d’utilisation frauduleuse des données de la carte, le porteur doit le signaler à sa banque qui est alors tenue de procéder à son remboursement.

Depuis une réforme du Code monétaire et financier, l’article L. 133-19 prévoit que "La responsabilité du payeur n'est pas engagée si l'opération de paiement non autorisée a été effectuée en détournant, à l'insu du payeur, l'instrument de paiement ou les données qui lui sont liées".

En conséquence, le porteur de la carte aura un délai de 13 mois, à compter de la date de débit, pour contester l’opération (article L.133-24). Et une fois la contestation intervenue, "le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée".

Au final qui supporter la fraude ? Reprenons le raisonnement. L’escroc (A) utilise la carte bancaire de Monsieur (B) pour acheteur sur le site (C). Le site (C) reçoit de la banque de (B) l’argent. Le porteur de la carte fait opposition. La banque de Monsieur (B) le rembourse et prend contact avec la banque du site (C) qui alors débite le compte du site internet. En résumé : l’escroc obtient le produit ou le service commandé, le porteur de la carte est remboursé et le site internet subit la perte.

Sur la base de ces principes, on peut alors s’interroger sur certaines assurances complémentaires permettant au porteur d’une carte de s’assurer contre la fraude à la carte bancaire et ainsi d’être remboursé … alors que la loi lui offre ce droit.

Face donc à une croissance de la fraude, les banques ont imaginé des mécanismes d’authentification du porteur de la carte. Ces mécanismes reposent également sur un renversement des responsabilités. Pour faire simple : lors d’une opération bancaire, la banque de l’acheteur va l’authentifier (saisie d’une date de naissance ou d’un mot de passe envoyé par SMS). Si le marchand enregistre ensuite une opposition, la fraude sera alors supportée par la banque du porteur de carte.

Clairement, cette solution est souvent décriée par les cybermarchands dont de nombreux gros ont décidé – pour l’heure – de ne pas la déployer même si les contrats conclus avec leurs banques imposent le recours à une solution d’authentification. La crainte première est simple : une baisse importante du taux de transformation lors du passage en caisse.

Et la lutte contre la fraude et les escroqueries ?

Au final, la question qui se pose alors est de savoir comment lutter contre les escroqueries à la carte bancaire. En effet, le cadre protecteur du consommateur fait reposer le risque sur les épaules des cybermarchands. Si des gros sont en mesure d’absorber le coût de la fraude dans la ligne « pertes et profits », d’autres – souvent plus petits – peuvent se retrouver démunis voire, comme cela est arrivé, frappés d’une procédure collective suite au trou creusé dans la trésorerie.

La première réponse demeure entre les mains du marchand, voire de l’ensemble des cybermarchands. Depuis de nombreuses années, la question d’une mutualisation des données relatives aux fraudes à la carte bancaire se pose. Naturellement, outre les aspects de nature concurrentielle, la point délicat demeure l’adéquat d’une telle base de données avec le cadre existant en matière de protection des données personnelles (et notamment le phénomène de blacklistage de certaines cartes bancaires).

Autre solution, qui peut être couteuse en soi, la constitution au sein du site marchand d’une équipe de lutte contre la fraude destinée, d’une part, à analyser les transactions suspicieuses (voire à demander certains documents pour valider une commande) et, d’autre part, à assurer des procédures de recouvrement – notamment auprès des auteurs de fraudes familiales. Quoique l’on puisse en dire, cela fonctionne. Alors que le taux de fraude du secteur s’établit à 0,276%, chez PriceMinister, il tombe à 0,150% - voire à 0,08% si on intègre les remboursements obtenus par la voie du recouvrement amiable.

Dernière solution la voie judiciaire. Dans le cadre de mes activités chez PriceMinister, un principe de tolérance zéro a toujours été appliqué avec, en l’absence de recouvrement amiable, un dépôt de plainte systématique. En moyenne, entre 250 et 300 plaintes simples sont adressées aux divers Procureurs de la République de France et de Navarre. Des plaintes à l’avenir incertain.

"Two men looked out from prison bars, one saw the mud, the other saw the stars." Frederick Langbridge
Source : antonychammond (flickr)

Dans certaines situations, les dossiers seront traités par les unités de police et de gendarmerie, seront instruites et déboucheront sur une convocation de l’auteur de l’infraction voire, par la suite, sa comparution devant le Tribunal correctionnel. Cela représente environ une trentaine de dossiers chaque année.

Pour le reste ? De nombreux parquets n’hésitent pas à procéder à des classements sans suite des plaintes ainsi déposées. La palme revenant au Parquet de Bobigny qui, ainsi, avait classé sans suite le 4 avril une plainte adressée 3 jours avant.

Les motifs de classement sans suite sont classiquement les mêmes. En voici un florilège :
« La personne qui a commis l’infraction dont vous avez été victime n’a pas été identifiée »
« L’examen de cette procédure ne paraît pas justifier de poursuite pénale »
« Les faits ou les circonstances des faits dont vous vous êtes plaint n’ont pu être clairement établis par l’enquête. Les preuves ne sont donc pas suffisantes pour que l’affaire soit jugée par un tribunal »

Voire d’autres raisons :
« Les faits dont vous vous êtes plaint ne peuvent être jugés en raison d’un obstacle juridique » ;
« Les faits dont vous vous êtes plaint ne sont pas suffisamment graves pour que le parquet estime utile de faire juger cette affaire sur le plan pénal »
« Les faits dont vous vous êtes plaint ont donné lieu à une mesure décidée par une autre administration que celle de la justice »
« En l’état des informations portées à la connaissance, le préjudice, bien que réel, n’apparaît pas imposer des poursuites pénales »
Voire, la plus originale à ma connaissance : « je n’ai pas donné suite à votre plainte pour la ou les raisons suivantes : immunité ».

Il n’existe donc pas de solution miracle pour lutter contre les fraudes à la carte bancaire dont les victimes demeurent, au final, les cybermarchands. Au-delà, bien souvent, il y a ce sentiment que chaque camp se renvoie la balle. Les autorités demandent aux banques de sécuriser les moyens de paiement, les banques demandent aux cybermarchands de déployer des systèmes d’authentification et les cybermarchands demandent aux autorités d’agir contre la fraude au travers de moyens ne pénalisant pas l’acte d’achat. La fraude a donc encore de grands jours devant elle.

Aucun commentaire: