Le recours croissant à Internet facilite les transactions financières mais peut donner lieu à des dérives frauduleuses comme la cybercriminalité. Cette délinquance correspond à l’ensemble des infractions pénales susceptibles d'être commises sur un système informatique – ou au moyen de celui-ci –, lequel système est généralement connecté à un
La lutte contre la fraude monétique est aujourd’hui rendue complexe en raison du nombre croissant d’acteurs intervenant dans le processus des transactions par Internet. La sécurisation du
Constat chiffré et typologie des fraudes
Selon l’Observatoire de la sécurité des cartes de
Les paiements à distance, qui ont augmenté de 23,8 % en 2010 et représentent 8,6 % de la valeur des transactions nationales, comptent désormais pour 62 % du montant de la fraude.
Le
En matière de paiements à distance, les risques d’achats non sécurisés sont divers : le numéro de la carte peut être piraté afin d’être utilisé à des fins frauduleuses ou le site sur lequel la commande est effectuée peut ne pas être le site officiel, mais un faux site.
Des réseaux structurés de cybercriminalité
L’organisation du cybercrime bancaire est constituée de deux infrastructures : l’une, technique, qui conçoit les outils comme les logiciels malveillants et les réseaux de botnets (voir Glossaire); l’autre, opérationnelle, qui recrute des intermédiaires et récupère les objets volés. Certains délinquants fabriquent des logiciels malveillants, tandis que d’autres les utilisent ensuite afin de perpétrer des actions criminelles. À ce titre, il faut aussi signaler les money mules (voir Glossaire) dont le recrutement se fait au moyen de mails envoyés en grand nombre et qui proposent de faux « contrats de travail » pour se livrer à cette activité d'intermédiaire. Pour l’ensemble des services qui luttent contre la fraude monétique, ces opérations de money muling, de plus en plus élaborées et de portée internationale, doivent être un axe majeur d’attention en 2011.
La délinquance du net se professionnalise et s’organise aujourd’hui souvent en réseaux structurés. L’objectif est en général de subtiliser des informations bancaires. Les données de cartes de paiement (numéro, date de validité, code de sécurité…) se négocient facilement. Ces informations servent, par exemple, à émettre des cartes contrefaites mises en circulation, après réencodage des pistes magnétiques sur des cartes en plastique vierges. Elles peuvent passer inaperçues dans les distributeurs de billets à l'étranger et chez certains commerçants parfois complices. Elles permettent ainsi d’effectuer des achats frauduleux qui seront ensuite revendus sur le marché parallèle, avec une logistique très organisée pour la récupération des objets ou services acquis illégalement. En France, de nombreux établissements financiers ont été victimes de ce procédé. Le Groupement CB note de son côté une recrudescence de cas de commerçants acceptant des cartes contrefaites.
Les techniques utilisées
Les techniques utilisées pour récupérer les données bancaires sont de diverses natures : skimming, phishing (voir Glossaire), vol physique, exploitation des failles de sécurité, usurpation d’identité… Les plus courantes sont :
Les logiciels malveillants ou virus (malwares) : les cyberdélinquants utilisent des programmes informatiques malveillants qui vont exploiter les vulnérabilités des systèmes informatiques, ce qui constitue actuellement la façon la plus efficace d’infecter en nombre des ordinateurs et d’en prendre le contrôle à distance. La mise en œuvre des attaques est réalisée grâce à des réseaux d’ordinateurs zombies (ou botnets) utilisés pour émettre massivement des spams, permettant ainsi de contourner les filtrages par liste noire ou le contrôle de l’accès par le prestataire technique.
Les techniques d’ingénierie sociale : ces pratiques exploitent l’aspect humain et social de la structure à laquelle est lié le système informatique visé. Le délinquant exploite la confiance, la crédulité ou l’ignorance des personnes dont il cherche à obtenir les informations. Ainsi le phishing bancaire consiste à envoyer un mail semblant provenir par exemple d'un site d’établissement financier pour inciter l’internaute à fournir les codes d'accès et mots de passe, en prétextant un renforcement des contrôles de sécurité.
Par ailleurs, les paiements sans contact ou par le biais de la téléphonie mobile, dont le développement n’est encore qu’embryonnaire, sont de nouveaux terrains exploités par les cyberdélinquants, notamment lorsque certains mobiles comportent des
Les solutions contre la fraude monétique
Afin de lutter contre la progression constante de la fraude sur les paiements à distance, les acteurs se mobilisent sans cesse davantage pour renforcer la sécurisation des transactions financières.
La lutte contre les fraudes visant les distributeurs automatiques de billets.
Les banques ont pris des mesures importantes pour protéger les DAB avec des dispositifs spécifiques visant à prévenir la compromission de la piste magnétique et du code secret par des fraudes de type skimming.
Le groupement des cartes bancaires a aussi développé des systèmes visant à détecter des points de compromission et réaliser des alertes. Par ailleurs, une expérimentation de scoring « online » des demandes d’autorisation portant sur des transactions à risque a été lancée en novembre 2010. Ces traitements automatisés sont soumis à autorisation de la
Les dispositifs d’authentification des porteurs.
La généralisation de l’authentification forte (dite « non rejouable ») du porteur pour les paiements sur Internet se déploie pour sécuriser les transactions dans les e-commerces : cette architecture est aujourd’hui en place dans 47 % des e-commerces CB.
Ce dispositif nécessite, d’une part, l’équipement du porteur en solutions techniques (code à usage unique généré par une calculette ou envoyé par SMS, lecteur autonome de carte EMV, etc.), dont le choix revient aux émetteurs de cartes ; d’autre part, le déploiement par le commerçant et sa banque acquéreur d’une architecture de mise en œuvre de l’authentification, comme par exemple le protocole « 3D-Secure » promu par plusieurs systèmes de paiement par carte. Plusieurs grands e-commerçants, parmi lesquels Air France et Orange Boutique, ont déjà adopté ce dispositif, ce qui devrait permettre une augmentation significative du taux de transactions par carte en ligne sécurisées. La solution d’authentification par SMS est largement majoritaire, même si certains établissements ont mis en place des solutions reposant sur un « token », un lecteur de cartes ou un courriel adossé à la saisie d’un code unique disponible sur une carte matricielle.
Si l’équipement des porteurs a été achevé en 2010, ces derniers n’ont pas encore pleinement appréhendé les modalités d’activation et de fonctionnement de ces nouveaux outils. La mise en œuvre de ces dispositifs par les porteurs varie, en fonction de l’émetteur, entre 30 et 85 % de la population totale des acheteurs en ligne. Cette situation contrastée s’explique par la complexité plus ou moins élevée du processus d’activation proposé par l’émetteur. Un accompagnement des utilisateurs vers ces nouveaux dispositifs par tous les acteurs concernés reste donc nécessaire.
Perspectives
Face à une criminalité de mieux en mieux organisée, les établissements financiers, mais aussi tous les acteurs qui interviennent dans la chaîne des paiements comme les opérateurs de téléphonie, doivent se mobiliser pour lutter contre les fraudes monétiques. On constate une complexification de l’univers monétique aujourd’hui avec des acteurs aux cultures différentes pouvant laisser craindre un monde de systèmes de paiement «
