Nadia ANTONIN

- Plus de 50 millions de cartes de type « interbancaire » et 25 millions de cartes de type « privatif » sont émises en France.

- Le paiement par carte représente plus du tiers des transactions scripturales, pour
presque 400 milliards d’euros.

1. Les différentes fraudes sur les cartes

1.1 Une taxonomie des fraudes

L’Observatoire de la sécurité des cartes de paiement de la Banque de France distingue les origines de la fraude et les techniques de fraude.

Les origines de la fraude :

- carte perdue ou volée ;
- carte non parvenue : la carte a été interceptée lors de son envoi à son titulaire légitime ;
- carte falsifiée ou contrefaite : une carte de paiement authentique est falsifiée par modification des données magnétiques, d’embossage ou de programmation ;
- numéro de carte usurpé ;
- fractionnement du paiement : cette opération consiste à scinder le paiement en vue de passer en dessous des plafonds fixés par l’émetteur).

Les techniques de fraude :

- Copie de la piste magnétique (« skimming ») : technique consistant en la copie, dans un commerce de proximité ou dans des distributeurs automatiques, des pistes magnétiques d’une carte de paiement à l’aide d’un lecteur à mémoire appelé « skimmer ».
- ouverture frauduleuse de compte : un particulier ouvre un compte de référence en fournissant de fausses données personnelles ;
- usurpation d’identité : il s’agit d’actes frauduleux liés à un paiement par carte et supposant l’utilisation de l’identité d’une autre personne ;
- répudiation abusive : le porteur, de mauvaise foi conteste un ordre de paiement valide dont il est l’initiateur ;
- piratage d’automates de paiement ou de retrait : technique consistant à placer des dispositifs de duplication de cartes sur des automates de paiement ou des distributeurs automatiques de billets.

1.2 Un fait divers

Le 21 août 2009 on lisait dans la presse que 130 millions de cartes avaient été piratées aux États-Unis. Selon l’acte d’accusation dressé par un tribunal de l’État du New Jersey, les pirates ont commencé de façon classique, en faisant des repérages dans les magasins pour observer le fonctionnement de leurs terminaux de cartes bancaires. Ils ont aussi visité leurs sites Web pour glaner des informations sur leur système de gestion des paiements en ligne.

2. Statistiques de fraude

(Source : Observatoire de la sécurité des cartes de paiement de la Banque de France)

2.1 L’Observatoire de la sécurité des cartes de paiement de la Banque de France

L’Observatoire de la sécurité des cartes de paiement a été créé par loi sur la sécurité quotidienne de novembre 2001
Ses missions
Ses missions en font une instance destinée à favoriser l’échange d’informations et la concertation entre toutes les parties concernées (consommateurs, commerçants, émetteurs et autorités publiques) par le bon fonctionnement des systèmes de paiement par carte.
L’Observatoire exerce un suivi des mesures de sécurisation ;
Établit des statistiques de fraude ;
Assure une mission de veille technologique.

2.2 Évolution de la fraude

Le taux de fraude sur les paiements et les retraits par carte est en augmentation comparé à celui des années précédentes. Il s’établit en 2008 à 0,069% pour un montant de 320,2 millions d’euros.

La progression des montants de fraude (320,2 millions d’euros en 2008 contre 268,5 millions d’euros en 2007, soit une hausse de 19,3%) est plus importante que la croissance du montant des transactions (464,0 milliards d’euros contre 430,7 milliards d’euros en 2007, soit une hausse de 7,7%). Le montant moyen d’une transaction frauduleuse est stable, à 131 euros contre 130 en 2007.

Pour les cartes de type « interbancaire », le taux de fraude est en hausse en 2008. La valeur moyenne d’une transaction frauduleuse est de 127 euros. Pour les cartes de type « privatif », le taux de fraude n’augmente que légèrement. La valeur moyenne d’une transaction frauduleuse s’élève à 357 euros en 2008 contre 432 en 2007.

59% de la fraude porte sur les transactions internationales1.

Le taux de fraude sur les paiements de proximité et sur automate continue de diminuer notamment grâce au renforcement des mécanismes cryptographiques opéré depuis plusieurs années. Le taux de fraude sur les paiements à distance est en hausse en 2008. Les paiements à distance, qui représentent 6% de la valeur des transactions nationales, comptent ainsi désormais pour 51% du montant de la fraude. Le taux de fraude sur les retraits diminue à seulement 0,018% pour un montant de fraude de 19,1 millions d’euros.
1 Transactions d’un porteur français à l’étranger ou d’un étranger en France.

Les secteurs Voyage/transport, Commerce généraliste et semi-généraliste et Téléphonie/communication représentent 55% de la fraude.

En augmentation depuis 2005, l’origine de la fraude la plus importante (51,3% contre près de 40% en 2007) est désormais celle liée aux numéros de carte usurpés, utilisés pour les paiements frauduleux à distance.

3. Sécurisation des paiements par carte

3.1 Quels sont les besoins ?

Confidentialité des données durant la transaction et l’archivage.

Authentification mutuelle et non rejouable des parties : pour renforcer toujours plus la sécurité des paiements en ligne, les banques s’équipent de dispositifs d’authentification forte à code non rejouable, c’est-à-dire utilisable qu’une seule fois. Ces dispositifs d’authentification du titulaire de la carte sont au choix de chaque banque et peuvent prendre plusieurs formes (voir ci-après). Elles s’intègrent dans le protocole « 3D-Secure ».

3.2 La technologie existe

Mot de passe dynamique : on insère la carte dans un lecteur et on obtient un code de contrôle à usage unique pour valider ses opérations. Ce code, non réutilisable, change à chaque utilisation et empêche toute opération frauduleuse sur le compte.

Authentification multi-canal : l’utilisation simultanée de plusieurs canaux de communication, dite multi-canal (mot de passe envoyé par internet et renvoyé par téléphone ou par SMS).

« 3D Secure »
: Pour enrayer la hausse de la fraude concernant les paiements sur Internet, la Banque de France exige que les banques adoptent d’ici à juin 2010 le dispositif « 3DSecure ».

« 3D Secure » est un protocole commun de communication entre le commerçant, la banque acquéreur et la banque émettrice. Il a été développé par Visa pour améliorer la sécurité des paiements en ligne.

Le dispositif « 3D Secure », déjà utilisé sous diverses formes par certaines banques, a pour but, lors de chaque achat sur internet, de permettre une authentification plus poussée du porteur de la carte bancaire. Pour chacun de ses achats, le client devra s’authentifier auprès de sa banque et fournir un code secret non réutilisable, ce qui rend ainsi la transaction plus sûre pour les trois parties, le vendeur, l’acheteur et son organisme bancaire contrairement au dispositif précédent qui mettait en relation seulement deux intervenants, le vendeur et le client.

4. Glossaire

Carte de type « interbancaire » : Toute carte émise par un établissement de crédit ou par une institution mentionnée à l’article L 518-1 du Code monétaire et financier et permettant à son titulaire de retirer ou de transférer des fonds.
« Carding » : Utilisation frauduleuse de numéros de cartes essentiellement pour des paiements à distance.
Carte de type « privatif » : Carte de paiement utilisable auprès d’un seul accepteur ou d’un nombre limité d’entre eux.
Carte blanche : Carte magnétique copiée destinée à effectuer des retraits frauduleux.
Cheval de Troie (Trojan horse) : Programme malveillant dissimulé dans un programme autorisé.
Copie de la piste magnétique (« skimming ») : Technique consistant en la copie, dans un commerce de proximité ou dans des distributeurs automatiques, des pistes magnétiques d’une carte de paiement à l’aide d’un lecteur à mémoire.
Embossage : Procédé de mise en relief d’informations sur une carte permettant d’obtenir une empreinte sur un support papier (« facturette » et « fer à repasser »).
Émetteur CB : Établissement de crédit ou institution financière, membre ou affilié du Groupement des Cartes Bancaires, qui a émis une carte bancaire agréée CB au profit du porteur de carte.
Note : L’émission de la carte n’est possible que lorsqu’un contrat lie l’émetteur au porteur.
Émetteur de carte : Organisme ou son agent qui a émis une carte d’identification au profit du porteur de carte.
Fraude : Toute utilisation illégitime d’une carte de paiement ou des données qui lui sont attachées, ainsi que tout acte concourant à la préparation ou à la réalisation d’une telle utilisation :
1. ayant pour conséquence un préjudice pour le banquier teneur de compte, le porteur, l’accepteur, l’émetteur, un assureur, un tiers de confiance ou tout intervenant dans la chaîne de conception, de fabrication, de transport, de distribution de données physiques ou logiques, dont la responsabilité civile, commerciale ou pénale pourrait être engagée ;
2. quels que soient les moyens employés pour récupérer, sans motif légitime, les données ou le support de la carte ; les modalités d’utilisation de la carte ou des données qui lui sont attachées ; la zone géographique d’émission ou d’utilisation de la carte ou des données qui lui sont attachées ; le type de carte de paiement, tel que défini à l’article L. 132-1 du Code monétaire et financier, y compris les porte-monnaie électroniques.
3. que le fraudeur soit un tiers, le banquier teneur de compte, le porteur de la carte luimême, l’accepteur, l’émetteur, un assureur, un tiers de confiance…

Groupement des Cartes Bancaires (GIE CB) : Groupement d'intérêt économique qui organise et supervise le réseau d'émission et d'acceptation des cartes bancaires agréées CB en France.
Note : Le GIE CB a été créé le 31 juillet 1984 par onze banques françaises. Ces banques dites « chefs de file » peuvent représenter des banques « sous-participantes » membres du GIE CB.

Hameçonnage (« phishing ») : Envoi massif d'un faux courriel, apparemment authentique, utilisant l'identité d'une institution financière ou d'un site commercial connu, dans lequel on demande aux destinataires, sous différents prétextes, de mettre à jour leurs coordonnées bancaires ou personnelles, en cliquant sur un lien menant vers un faux serveur Internet, copie conforme du site de l'institution ou de l'entreprise, où le pirate récupère ces informations, en vue de les utiliser pour détourner des fonds à son avantage.

Logiciel espion (spyware) : Logiciel introduit de façon clandestine sur un ordinateur pour surveiller les actions d’un utilisateur ou subtiliser des données privées.

Mot de passe dynamique
: Mot de passe à usage unique, recréé à chaque nouvelle connexion par un algorithme et ne pouvant en aucun cas être réutilisé, s’il est intercepté par une personne non autorisée.