Les fraudeurs sont toujours plus inventifs pour tenter de voler nos coordonnées bancaires. Mais face à eux, des spécialistes comme Michael TOROMONA, en charge à l’OSB des services de paiement en ligne, luttent au quotidien pour protéger nos informations confidentielles.
Comment les criminels se sont-ils adaptés aux nouveaux modes de paiement ?
Après l’espèce et le chèque, la fin du 20e siècle a assisté à l’avènement de la carte bancaire. Moyen de paiement rapide et sûr, ce support a consacré la dématérialisation de la monnaie et permet aujourd’hui l’émergence du e-paiement, du e-commerce et du m-paiement (payer avec son smartphone).
En 2012 les attaques de distributeurs de billets ont augmenté de 73% en France. L’objectif premier des banques est donc de dématérialiser le plus possible la monnaie pour diminuer les vols physiques. Mais les escrocs se sont adaptés et s’en prennent maintenant aux données confidentielles des clients pour usurper leur identité. Ainsi, Internet regroupe 61% des opérations frauduleuses globales.
L’enjeu se déplace donc de la protection de la monnaie physique vers la protection des données personnelles.
Quels sont aujourd’hui les risques principaux qui menacent les moyens de paiement ?
La contrefaçon des billets devient de plus en plus difficile : bande métallique, filigranes multiples… Sans compter les mesures de sécurité connues uniquement des banques. Les chèques, eux, restent aisés à contrefaire mais les commerçants disposent de lecteurs qui vérifient leur conformité technique ou s’ils sont frappés d’une opposition.
C’est pourquoi les escrocs se concentrent sur le vol des cartes de paiement et sur le vol de données personnelles pour accéder aux comptes des clients légitimes et les vider. On trouve ainsi des distributeurs de billets modifiés avec un faux clavier pour enregistrer la saisie du code de la carte, ou de faux terminaux de paiement (TPE) chez les commerçants. Il faut rappeler aux porteurs de carte de ne jamais la quitter des yeux et de toujours saisir leur code à l’abri des regards. Un coup d’œil indélicat permet de facilement récupérer l’essentiel.
L’usurpation des données visibles sur la carte (numéro de carte, date d’expiration et cryptogramme visuel) constitue ainsi la source principale de la fraude sur Internet. Des normes de sécurité comme 3DSecure, qui rajoutent une étape dans la transaction, permettent de réduire cette fraude. Ainsi l’envoi d’un SMS de vérification au porteur légitime de la carte lors d’une transaction est très difficile à contourner.
La protection des données porte également sur les terminaux (ordinateur, tablette ou smartphone) qui peuvent être piratés lors d’un achat en ligne. Ne naviguez que sur des sites connus et sécurisés ! De même le phishing tente de collecter les données personnelles du client avec de faux sites de fournisseurs.
A quelles évolutions doit-on s’attendre du coup pour les banques et leurs moyens de paiement ?
Pour les retraits au guichet, le guichetier donnera au client une carte de retrait à usage unique pour retirer au distributeur afin de dissuader les attaques au guichet. Pour les distributeurs eux-mêmes, les cassettes abritent désormais des agents chimiques pour maculer irrémédiablement les billets en cas d’effraction.
Mais la vraie évolution sera la généralisation de « l’authentification instantanée », notamment grâce au smartphone, moyen de paiement privilégié, véritable e-portefeuille connecté aux services en ligne de plus en plus intégrés avec les systèmes d’information des professionnels. Tout paiement se fera par l’authentification du porteur, par exemple avec un code gestuel unique ou par l’envoi d’un mot de passe à usage unique par SMS. Ces e-portefeuilles n’abritant pas toutes les données personnelles, seuls des identifiants activables seronttransmis après validation de l’identité du propriétaire.