Cloud Security Knowledge Sharing By Guy-Bertrand Kamga

To promote a Secure Cloud-Based Digital Transformation

Lutte contre les fraudes à la carte bancaire: les banques ont-elles vraiment tout essayé?

Comme de millions d’usagers de banque (y compris moi-même), vous utilisez sans doute des cartes bancaires pour régler vos achats au quotidien chez les commerçants en direct ou à distance, entre autres parce que c’est simple et pratique.

Selon les chiffres du groupement qui gère les cartes bancaires (CB) en France, en 2016, il y avait environ 66,5 millions de cartes CB en circulation (soit autant que le nombre d’habitants), assurant plus de 12 milliards de transactions pour un chiffre d’affaires de plus de 592 milliards€.

Le cas de fraude à la carte bancaire décrit dans cet article pourrait être le vôtre.

Découvrez comment un ami s’est fait dépouiller environ 200 pendant deux semaines par un arnaqueur qui effectuait des achats par Internet avec sa CB en douce, sans que sa banque ne bronche.

Récit du cas récent de fraude à la CB par Internet d’un proche

J’ai toujours suivi des histoires de fraude à la carte bancaire (CB) de loin, notamment à la télévision mais cette semaine, j’ai été témoin d’un cas concret.

En effet, jeudi 15 mars dernier, un ami à moi résidant en région parisienne, s’est connecté à son compte bancaire (domicilié dans une grande banque du CAC 40) pour vérifier la situation de son compte.

A sa grande surprise, il constate que le solde de son compte ne correspond pas à ce à quoi il s’attendait.

En analysant de plus près les dernières opérations enregistrées, il se rend compte que les 5 dernières opérations concernent des achats par Internet pour une même entreprise dont les détails ne laissent aucun doute qu’elle se trouve à l’étranger (voir capture d’écran ci-dessous du relevé de compte). Après une petite enquête, le commerçant impliqué existe bien et a son siège social à Tallinn (Estonie).

Cas réel de fraude liée aux paiements par carte bancaire à distance

Mon ami comprend tout de suite que sa carte bancaire a été piratée et comme il est plus de 23 heures, il envoie un e-mail (courriel) à son gestionnaire de compte.

Le lendemain matin à 9h, il appelle son gestionnaire de son compte, qui n’avait pas encore pris connaissance du mail envoyé la veille.

Il explique la situation par téléphone et le gestionnaire se connecte à son compte, constate les opérations et lui dit :

« Si vous ne reconnaissez pas ces achats, vous devez faire opposition à votre carte, télécharger en ligne ou passer à l’agence retirer un kit d’opposition pour contester formellement les achats par écrit, envoyer la contestation à notre service de gestion de litiges, afin de vous faire rembourser ces montants. Attention, avant de faire opposition à votre carte, retirez de l’argent car après l’opposition, il faudra attendre 4 à 5 jours pour que nous vous envoyons une nouvelle carte bancaire ».

Mon ami lui dit que ce n’est pas grave, il peut tenir 4 à 5 jours car il a une autre CB d’un 2e compte domicilié dans une autre banque (l’expression « il ne faut pas mettre tous ses œufs dans le même panier » prend tout son sens 😊).

Son gestionnaire transfère son appel vers le service d’opposition et c’est ainsi qu’il fait opposition à sa carte par téléphone. Il reçoit dans la foulée un SMS confirmant que son opposition a bien été enregistrée.

Mon analyse de ce cas de fraude

Certes, la FBF (Fédération Bancaire de France) fait beaucoup d’effort pour maintenir le taux de fraude en dessous de 0,1%, notamment avec la mise en place du protocole interbancaire 3D Secure, il n’est pas normal que ce genre d’histoire soit encore possible en 2018.

Ce qui n’est pas normal, ce n’est pas tant que la fraude soit encore possible, mais plus le fait que la banque n’ait pas pu découvrir par elle-même ces opérations frauduleuses, étalées sur deux semaines, concernant un même commerçant situé à l’étranger et jusqu’à 2 opérations certains jours (les 6 et 13 mars).

Ça donne l’impression que même les emails personnels sur le web sont plus protégés que les achats par CB à distance. En effet, dans la plupart des solutions de messagerie grand public (Gmail, Yahoo, Outlook, etc.), dès qu’une connexion se fait à partir d’un terminal non connu, d’un pays inhabituel ou de tout nouveau contexte, vous recevez un email ou SMS tout de suite pour vous informer qu’une connexion inhabituelle s’est déroulée sur votre compte. Certaines solutions comme Office 365 vont encore plus loin avec le concept de contrôle d’accès conditionnel.

Avec toutes ces nouvelles technologies qui existent aujourd’hui, que ça soit le Cloud (capacités élastiques de calcul), la Cybersécurité (accès au service en fonction du contexte de l’utilisateur), le Big data (analyse de grande quantité de données), l’Intelligence Artificielle (détection automatique de situations anormales), ça devient presque la norme d’avoir des robots (machines ou agents intelligents) qui détectent des opérations suspectes ou anormales, et de prendre des décisions adéquates, comme avertir le client par email ou SMS qu’une opération suspecte a été effectuée sur son compte, ou lui demander de bien confirmer qu’il s’agit bien de lui (par exemple en lui envoyant un code temporaire à saisir).

Les clients reçoivent (généralement par SMS) un code d’authentification pour les achats par CB seulement à partir d’un certain montant.

Qui (banque, commerçant ou autre) décide du montant à partir duquel une authentification du client est requise ?

Même si les mesures actuelles de réduction des fraudes liées aux achats par CB à distance peuvent être satisfaisantes pour les banques, commerçants, etc., le risque résiduel (risque restant après la mise en place des contre-mesures des fraudes) reste significatif pour les clients.

Pour bien le comprendre, en cas de fraude, l’impact est significatif pour le client :

  • Risque de rejet de paiements légitimes: les achats frauduleux réduisent la capacité d’achat du client, tant que les achats frauduleux n’ont pas été découverts (181,40 en 2 semaines pour le cas ci-dessus)
  • Perte de temps au client : le client doit surveiller régulièrement son compte, appeler sa banque en cas de fraudes, faire opposition à sa carte, remplir le formulaire de réclamation, l’envoyer au service des litiges et attendre son remboursement.
  • Interruption de service: le client n’a plus de carte bancaire pendant 4 à 5 jours à partir de l’opposition (et pourtant il continue de payer les même frais)
  • Risque de perte/vol d’argent : le client doit avoir suffisamment d’espèces avec lui dans l’attente de sa nouvelle carte
  • Perte/diminution de confiance du client en sa banque : le client a l’impression que la banque donne plus de priorité à sa marge qu’à ses clients (ce qui peut être légitime mais a un impact négatif sur la réputation de la banque)

Mes recommandations pour réduire/limiter davantage ce genre de fraude

Pourquoi ne pas authentifier systématiquement les utilisateurs pour tous les achats par CB à distance, notamment quand l’acte d’achat se passe à l’étranger ou quand le commerçant se trouve à l’étranger ?

Cette mesure aurait empêché toutes les 5 opérations frauduleuses du cas ci-dessus.

Ou alors, si ce n’est pas possible d’authentifier en direct toutes les opérations concernant l’usage des CB à distance, mettre en place des systèmes de détection des opérations suspectes qui avertissent en temps réel ou en léger différé le client, afin qu’il confirme être bien l’auteur de l’opération.

Cette autre mesure aurait détecté la 1ère des 5 opérations frauduleuses du cas ci-dessus et les 4 suivantes auraient pu être évitées.

Est-ce que ces mesures de sécurité coûtent aussi chères qu’auparavant ?

Si nous prenons par exemple le taux de fraude lié aux paiements CB à distance (100 millions € en 2010), ça représente 1 milliards€ sur dix ans.

Est-ce qu’il n’est pas préférable d’investir cette somme colossale pour empêcher ces fraudes liées aux paiements à distance, au lieu de laisser les arnaqueurs se servir dans les comptes des clients ?

Chers clients des banques, en attendant que ces mesures soient implémentées, il faut continuer à appliquer quelques bonnes pratiques :

  • Ne saisissez votre numéro de carte ainsi que le cryptogramme que sur des sites que vous connaissez et qui sont sécurisés (connexion en https et non http, avec le symbole d’un cadenas vert à gauche de “https” dans la barre d’adresse du navigateur; ce qui signifie que la connexion est sécurisée)
  • Faites attention aux messages reçus par e-mail, contenant des liens semblables à vos principaux sites de confiance (ex. Banque, Impôts, Edf, Caf, Sécurité sociale, etc.) et qui vous demandent vos informations confidentielles. Prendre soin de bien vérifier la cible de ces liens (en passant la souris dessus sans cliquer)
  • Éviter tant que possible, de communiquer votre numéro de carte et le cryptogramme par téléphone
  • Ne perdez pas des yeux votre carte bancaire quand vous la remettez à un commerçant pour effectuer un paiement (c’est souvent pendant ces moments que certains commerçants véreux profitent pour récupérer le cryptogramme de votre CB : les 3 derniers chiffres de votre CB ou les 4 chiffres à l’avant de la carte Amex)
  • Ayez le réflexe d’identifier et de blacklister les commerçants véreux. La plupart des commerçants sont de bonne foi ; ils vous donnent le terminal de paiement afin que vous y mettiez par vous-même votre CB ou bien ils le font généralement sous vos yeux. Cependant, chez d’autres, vous devez systématiquement leur remettre votre CB et c’est là qu’il faut être très vigilant. Certains vont faire semblant de chercher quelque chose derrière leur comptoir et profiter pour mémoriser votre cryptogramme. Si ça vous arrive une fois, évitez si vous pouvez ce commerçant ou alors utilisez un autre moyen de paiement comme les espèces.
  • Ne laissez pas votre portefeuille contenant votre CB à la portée des personnes auxquelles vous n’avez pas confiance. Il est plus facile, voir plus rentable à un malintentionné de relever discrètement votre numéro de carte et son cryptogramme que de voler votre CB (car vous allez le constater et faire opposition très vite)
  • Surveillez régulièrement les opérations effectuées sur votre compte (ça tombe bien, on peut les consulter en ligne même à partir des smartphones). Il faut noter que certaines banques sont plus vigilantes que d’autres. Je me souviens en 2012, je m’étais rendu dans un pays étranger pour la 1ère fois et j’avais effectué un retrait de 150€ dans un DAB (Distributeur Automatique de Billets). Trois jours plus tard, mon conseiller clientèle m’avait appelé pour me demander si c’est bien moi qui avais effectué un retrait à l’étranger et cela m’avait beaucoup rassuré et augmenté par la même occasion mon degré de satisfaction pour cette banque.

Si avec toutes ces recommandations, vous êtes quand même victime, les délais de contestation d’après la directive européenne (DSP Directive sur les Services de Paiement), transposée en droit français sont les suivants:

  • 13 mois pour les paiements effectués dans l’Espace Économique Européen (EEE)
  • 70 jours pour les paiements hors EEE

Si vous avez lu cet article jusqu’à la fin, je vous en remercie car je reconnais qu’il est long. J’ai partagé ce cas de fraude subi par cet ami dans le seul but qu’ensemble, nous contribuons à réduire, voire empêcher ces fraudes.

Si vous avez aimé cet article, n’hésitez pas à le partager via votre LinkedIn, Facebook, WhatsApp, Telegram, Google+, etc. car il peut être utile aussi à vos proches et amis.

Previous

Test your Cloud Computing Knowledge (English or French)

Next

Test your Cloud Security Knowledge (English or French)

3 Comments

  1. Guy-Bertrand Kamga

    En retour de ce post, j’ai appris que la société Oberthur Technologies a développé une solution innovante anti-fraude appelée “cryptogramme dynamique”.

    Le cryptogramme de la carte change toutes les heures. Ce qui réduit significativement les risques de fraude.

    Certaines banques proposent déjà cette carte mais c’est dommage que ça soit en option (aux alentours de 12euros supplémentaires par an) et qu’il n’y ait pas trop de communication sur cette solution.

    Ici, le client est une fois de plus sollicité pour contribuer à la sécurité de la carte bancaire.

    L’idéal serait que ce genre de solution innovante soit financée par les économies réalisées sur les fraudes.

    • Raz B.

      Oui je l’ai vu à l’oeuvre cette “option” de sécurité sur des cartes SOCGEN et plutôt assez convaincu. La question que je me suis immédiatement posée est celle-ci: “Que va-t-il advenir des modules de renouvellement d’abonnement automatique qui réutilise les information pré-enregistrées des cartes dont le fameux code à 3 chiffres?”. Je n’ai pas encore de réponse.

      • Guy-Bertrand Kamga

        Effectivement, cette solution de cryptogramme dynamique a un défaut pour les renouvellements automatiques à base de cartes pré-enregistrées. Car l’utilisateur sera obligé de renseigner le cryptogramme valide au moment du renouvellement.
        Comme d’habitude, il va falloir trouver un bon compromis entre la sécurité et l’expérience utilisateur.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Powered by WordPress & Theme by Anders Norén