Paiement en ligne : la lutte contre la fraude à la carte bancaire s’intensifie

80% de la fraude à la carte bancaire sur Internet concerne le cryptogramme à trois chiffres qui figure au dos de la carte. BPCE et Oberthur s’apprêtent à expérimenter une solution de cryptogramme dynamique.
Christine Lejoux
Le rafraîchissement du cryptogramme est inférieur à une heure.

Ce qui suit n'est en rien de la science-fiction. Un SMS s'affiche sur l'écran de votre smartphone: "21281653 : code à saisir pour votre achat de 150 euros." Jusque-là tout va bien, il s'agit du système d'authentification renforcée 3D Secure, qui exige de l'auteur d'un paiement en ligne de valider sa transaction via un code à usage unique, reçu par texto. Le hic, c'est que vous n'étiez nullement en train d'effectuer un paiement sur Internet... Une conclusion s'impose : les données de votre carte bancaire ont été piratées. Et encore, estimez-vous heureux : 3D Secure - qui est à la main des banques - ne concernant que 20% des transactions en ligne, vous auriez pu découvrir bien plus tard avoir été victime d'une escroquerie.

"Malgré l'avènement de nouveaux moyens de paiement, la carte bancaire reste très utilisée et les fraudeurs ne s'y trompent pas : ils continuent à l'attaquer beaucoup", a souligné Catherine Fournier, directrice générale de Natixis Payment Solutions (groupe BPCE (Banque Populaire Caisse d'Epargne)), lors d'une conférence de presse, mercredi 20 mai. Des attaques qui se concentrent sur les paiements à distance, très vulnérables puisqu'ils nécessitent d'utiliser les données imprimées en clair sur la carte bancaire, à savoir le numéro de celle-ci, sa date d'expiration et le cryptogramme à trois chiffres figurant au dos. De fait, la fraude sur Internet représente près des deux tiers (64,6%) du total des arnaques à la carte bancaire, alors même que les transactions en ligne pèsent 11% seulement du montant global des paiements en France, selon le rapport 2014 publié par l'Observatoire de la sécurité des cartes de paiement.

80% de la fraude à la carte bancaire sur Internet concerne le cryptogramme visuel

"Cette proportion ne fait que croître : bientôt, 80% de la fraude à la carte bancaire s'effectuera dans le cadre de paiements à distance [par opposition aux paiements en magasin ; Ndlr]", prédit Catherine Fournier. D'abord parce qu'avec l'essor annoncé du paiement mobile, les transactions en ligne sont appelées à monter encore davantage en puissance. Ensuite, parce que les fraudeurs à la carte bancaire n'ont rien d'amateurs : ils agissent en bandes organisées, sont très pointus dans leur domaine et s'adaptent remarquablement bien aux évolutions des moyens de paiement. Si le phishing - cette technique consistant à faire croire à la victime que le lien sur lequel elle s'apprête à cliquer provient d'un tiers de confiance tel qu'une administration publique - est aujourd'hui un peu passé de mode, la capture des données de cartes bancaires au moyen de logiciels malveillants installés dans les ordinateurs est en revanche très en vogue chez les fraudeurs.

Et la principale donnée bancaire que ces logiciels s'attachent à capturer, c'est le cryptogramme visuel à trois chiffres qui figure au dos de la carte. "80% de la fraude à la carte bancaire sur Internet concerne le CVV (Card Verification Value)", indique Catherine Fournier. C'est pourquoi BPCE et le spécialiste des solutions de sécurité numérique Oberthur Technologies ont présenté le 20 mai une carte de paiement intégrant un cryptogramme dynamique, une innovation qualifiée par les deux groupes de première mondiale. De quoi s'agit-il ? D'une carte de paiement semblable à n'importe quelle autre, à ceci près que le cryptogramme à trois chiffres figurant au dos est remplacé par un mini-écran affichant un code de sécurité, lequel n'est plus statique mais change automatiquement à intervalles réguliers. "Le taux de rafraîchissement sera inférieur à une heure", précise Eric Duforest, "managing director" chez Oberthur.

D'autres banques sur les rangs pour utiliser la solution Motion Code

Conséquence, un fraudeur ayant réussi à dérober ce cryptogramme dynamique ne disposera que de quelques dizaines de minutes pour l'utiliser. Ce qui n'est pas dans les us et coutumes des "hackers" (pirates), le délai moyen entre le piratage d'une carte bancaire et son utilisation frauduleuse étant compris entre une dizaine de jours et un mois. Autre avantage, cette solution de cryptogramme dynamique, baptisée Motion Code, sera indolore pour les porteurs de cartes et pour les cybermarchands, puisqu'elle ne nécessitera aucune modification du parcours d'achat des uns et aucune adaptation des sites Internet des autres.

Motion Code est pour l'heure un pilote, qui sera expérimenté auprès de 500 clients du réseau Banque Populaire et de 500 clients du réseau Caisse d'Epargne, à partir de l'automne prochain et jusqu'au printemps 2016. D'autres établissements bancaires devraient prochainement se convertir à la carte bancaire à cryptogramme dynamique, Eric Duforest se disant "extrêmement heureux des retours des nombreuses autres banques avec lesquelles Oberthur est en contact, aux quatre coins du monde", et entendant bien faire de Motion Code "un nouveau standard de paiement." Mais le cryptogramme dynamique n'est pas la seule innovation à l'étude pour faire reculer la fraude à la carte bancaire sur Internet. Le GIE Cartes Bancaires, qui compte 126 banques et établissements de paiement, planche également sur le système de reconnaissance vocale Talk to Pay et sur la carte virtuelle à usage unique.

Christine Lejoux

Sujets les + lus

|

Sujets les + commentés

Commentaires 6
à écrit le 27/05/2015 à 9:09
Signaler
Génial! vivement la généralisation de cette CB! à la trappe la eCB qui ne permet pas d'acheter des billets de trains et autres restrictions, aux loueurs de voiture qui continuent de prélever des frais 3 mois après avoir rendu le véhicule...

à écrit le 22/05/2015 à 22:39
Signaler
On nous impose les CB et autres moyens sécurisés en nous forçant à nous défaire des espèces (sous peu ce sera officiellement imposé). Malgré le coût évident de ces moyens de payement, on nous dit que c'est pour lutter contre l'économie au noir. Mais ...

à écrit le 22/05/2015 à 18:39
Signaler
il existe un moyen plus simple avoir un numéro de carte unique pour chaque achat toutes les banques le font cela s'appelle e carte bleue

à écrit le 22/05/2015 à 11:34
Signaler
L’éternelle fuite en avant qui ne règle aucun problème et toujours basé sur la peur!

à écrit le 22/05/2015 à 9:39
Signaler
le gros des pbs viennent des sites qui stockent chez eux et en clair les donnees des cartes bancaires pour eviter les travers et autres stress, faut utiliser des numeros a usage unique, vu qu'on ne sait jamais comment fonctionne le commercant en fac...

le 22/05/2015 à 10:09
Signaler
Ou des modes de paiement qui évitent la circulation des numéros de carte comme Paypal ou Paylib et ont en outre des service de protection des achats. Par exemple, un des sites auquel j'ai acheté a fait faillite entre la commande et la livraison et j...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.