Les statistiques de l’Observatoire de la sécurité des cartes de paiement marquent une augmentation des fraudes des paiements à distance, principalement sur Internet. Quelles conclusions en tirez-vous ?
Cela fait plusieurs années que nous constatons une augmentation du taux de fraude sur Internet, même si celle-ci s’est récemment accélérée. La fraude sur ce canal dépasse les 100 millions d’euros en termes de montant nominal. Elle est vingt fois supérieure à celle enregistrée sur le canal de proximité. C’est un vrai sujet pour nous, sachant que les transactions sur Internet représentent 8 % du total des transactions de paiement, mais plus de 60 % de la fraude domestique. Cependant, le message que nous essayons de faire passer auprès du grand public est que ce n’est pas payer sur Internet qui est dangereux, mais que les données de cartes bancaires subtilisées en amont par différents moyens (phishing, attaques de bases de données de commerçants, paiement chez des commerçants de proximité peu sécurisés…) sont utilisées en priorité sur Internet. Bien entendu, nous préconisons depuis plusieurs années l’authentification « non rejouable », qui consiste à faire valider le paiement des transactions – en plus des numéros de carte qui peuvent être récupérés de manière relativement simple – par un code utilisable une seule fois. Cela stoppe la possibilité de se servir des données des cartes, sauf à avoir subtilisé non seulement votre carte mais aussi vos moyens d’authentification (portable…).
La préconisation de la Banque de France reste en effet celle du code « non rejouable ». Est-ce le seul système envisageable ?
L’objectif de la Banque de France est en termes de résultats, et non de moyens. Nous sommes complètement agnostiques au niveau de la technologie employée. Ce que nous voulons, c’est une authentification renforcée. Le dispositif aujourd’hui le plus connu est 3D Secure pour le paiement par carte.
L’utilisation d’un mot de passe à emploi unique nous paraît préférable à des systèmes d’envoi de documents d’identité scannés, qui posent des problèmes de stockage, induisent un risque d’usurpation d’identité numérique pour le consommateur et n’apportent pas le niveau de sécurité souhaité.
La recommandation de la Banque de France sur l’utilisation d’un mot de passe non rejouable est relayée depuis janvier 2013 par
Quelle est la portée de cette recommandation du SecuRe Pay Forum ?
L’Union européenne, grâce notamment au passeport, favorise la concurrence pour obtenir le prix le moins élevé sur les moyens de paiement. La sécurité ayant un coût, le risque est d’en faire une variable d’ajustement, avec un nivellement vers le bas dans la réglementation de certains pays. Or un rapport de la BCE paru en juillet constate la même situation dans tous les pays européens qu’en France : Internet est aujourd’hui le vecteur le plus sensible en termes de fraude. Pour lutter contre cette fraude, le forum européen SecuRe Pay préconise également un dispositif d’authentification « non rejouable » ainsi qu’une approche par les risques. ll fixe comme date butoir de mise en œuvre le 1er février 2015.
Qu’entendez-vous par une approche par les risques ?
L’idée n’est pas de sécuriser toutes les transactions, mais en priorité les plus risquées. Les commerçants, aujourd’hui, doivent connaître leur environnement de fraudes pour identifier les opérations problématiques. Par exemple, quand voyages-sncf a lancé en 2011 l’achat de billets électroniques dématérialisés, son site a enregistré une hausse sensible de la fraude. En effet, auparavant, le seul moyen de récupérer les billets était de se présenter en gare avec sa carte bancaire. Ainsi, le fraudeur qui avait subtilisé les seules données de paiement ne pouvait pas récupérer le billet. Cet obstacle est tombé avec les billets dématérialisés imprimés chez soi. Pour d’autres commerçants, la problématique touche certains types de produits : Orange a été obligé de retirer temporairement des catalogues d’achat en ligne les iPad ou tablettes, trop ciblés par les fraudeurs. Autre transaction sensible : les livraisons en Point Relais, les fraudeurs se faisant rarement livrer chez eux. Le rapport de l’Observatoire montre que la téléphonie ou la télécommunication, de même que les produits techniques et culturels sont beaucoup plus sujets à la fraude que d’autres (voir Encadré 1). Les jeux en ligne étaient également très exposés. Un effort conséquent a été porté, notamment avec l’aide de l’
Il faudra appliquer le principe du « comply or explain » : soit vous vous conformez aux recommandations, soit, dans le cas contraire, il faut justifier ce choix en mentionnant notamment les résultats obtenus. Pour ceux qui n’auront pas mis en place une authentification « non rejouable » efficace, l’explication sera certainement compliquée à fournir.
Les commerçants en France sont-ils en retard dans ces efforts de sécurisation par rapport à d’autres pays européens ?
Il faut distinguer deux sujets : l’authentification des paiements et le degré d’authentification. 3D Secure intervient sur le fait de pouvoir authentifier le porteur. La France a en effet un retard important sur l’adoption de ce process (notamment, par rapport à l’Angleterre).
En revanche, en termes de degré d’authentification, il existe deux modalités, faible ou forte. Pour l’authentification « non rejouable » qui est la plus forte, nous avons été précurseurs. Donc, nous sommes en retard sur la technologie d’authentification, mais nous sommes « en avance » sur le degré d’authentification. Sachant qu’à partir de février 2015, tout le monde devrait être soumis aux mêmes règles.
Comment faites-vous pour informer et responsabiliser les commerçants relativement à cette approche par les risques ?
Nous avons organisé un séminaire en novembre dernier avec le Gouverneur de la Banque de France et près de 200 e‑commerçants pour faire un point sur ces messages d’approche par les risques et de dispositifs d’authentification « non rejouable ». Nous menons en outre une action bilatérale avec les e-commerçants les plus fraudés, les banques acquéreurs et le Groupement des cartes bancaires. La démarche doit s’adapter à des situations diverses : certains e-commerçants ont une grosse volumétrie de transactions et bien qu’ayant des taux de fraude inférieurs à la moyenne, représentent un montant nominal de fraude élevé. À l’inverse, des petits commerçants ont des taux de fraude bien plus élevés, mais représentent des montants moindres. L’idée est de s’adresser à l’ensemble des acteurs pour les encourager à faire des efforts à la fois en termes de lutte contre la fraude, mais aussi d’éducation du consommateur sur les mesures de sécurisation des transactions.
Les taux de fraude ont atteint un tel niveau que les commerçants peuvent difficilement prétendre maîtriser le sujet. Entre 2007 et 2013, le montant des fraudes sur Internet est passé de 26 millions à 104 millions d’euros. Bien entendu, il faut prendre en compte l’évolution très dynamique du marché. Mais si cette tendance ne fléchit pas, ce qui n’est aujourd’hui qu’une recommandation pourrait évoluer vers un texte plus contraignant.
Les commerçants, par la voix de la Fevad, estiment que les taux d’échec de transaction restent encore trop élevés…
Au démarrage, certains commerçants qui avaient lancé 3D Secure se sont plaints d’une perte de 30 % de leur chiffre d’affaires. Désormais, nous ne sommes plus du tout dans cette situation, même si le taux d’échec demeure à environ 20 %. Ce taux, qui peut paraître élevé de prime abord, ne tient toutefois pas compte des échecs suivis d’une nouvelle tentative plus fructueuse ainsi que des tentatives de fraude. Nous constatons aussi des disparités importantes de banque à banque, certaines ayant plus de difficultés soit parce qu’elles ont choisi une technologie compliquée ou que la communication avec leurs clients, du fait de leur organisation, est plus difficile. Les meilleures d’entre elles affichent des taux d’échec de transaction de l’ordre de 8 %, un taux que nous souhaiterions voir à terme se généraliser. Nous publierons en 2013, comme l’année passée, un point d’étape sur cette évolution.
Qu’attendez-vous des banques ?
Nous souhaitons que les banques acquéreurs puissent proposer des offres plus pointues de scoring pour identifier les transactions à risque. Plusieurs types d’informations permettent d’être efficace dans la détection des transactions à risque : celles détenues par le commerçant, celles détenues par la banque acquéreur, celles qui transitent par les systèmes de paiement par carte (Visa, MasterCard, Groupement Carte Bancaire), enfin et surtout, les informations de la banque émettrice qui connaît le comportement de son porteur. C’est la combinaison de tous ces éléments qui permet de lutter efficacement contre la fraude. Mais aujourd’hui, le partage de l’information a un peu perdu en interbancarité et relève souvent du domaine concurrentiel.
Ce marché évolue sous l’impulsion de l’Autorité de la concurrence qui a une volonté de « dégrouper » les contrats d’acceptation. Par le passé, toutes les autorisations de paiement par carte passaient par le Groupement carte bancaire, qui était ainsi capable de détecter qu’un porteur américain avait été victime d’une fraude chez un commerçant français. Désormais, l’autorisation de paiement pour un porteur étranger remonte directement à Visa. Avec le dégroupage, les passerelles sont débranchées. La Banque de France a toujours considéré que la lutte contre la fraude relevait du domaine public non concurrentiel : dès lors qu’une fraude est détectée sur un territoire, tous les acteurs concernés doivent avoir accès à cette information. Il faut donc mener une réflexion sur la mise en commun de ce type d’informations.
Alors que les paiements par mobile ou sans contact se développent, comment les sécuriser ?
Ces transactions restent encore limitées. À partir de l’année prochaine, nous collecterons les données sur ces paiements, mais les chiffres dont nous disposons par la Fevad en montrent déjà la progression. Aujourd’hui, aucun système de sécurisation ne paraît véritablement adapté au canal mobile. Nous lançons un appel aux banques et aux fournisseurs de solutions pour qu’ils développent des authentifications qui soient multicanal (mobile, Internet, tablettes…), sachant que le système par envoi de SMS ne perdurera sans doute pas.
Où en est-on concernant la technique NFC (Near Field Communication) en matière de sécurisation ?
La technologie sans contact est suivie par l’Observatoire depuis 2007. Les risques sont assez bien identifiés. Néanmoins, l’Observatoire a souhaité faire dans le cadre de son rapport 2012 un nouvel état des lieux sur les récentes publications faites autour de la technologie NFC. Aucune faille n’a été révélée, mais elle suscite toutefois plusieurs sujets d’attention :
- le premier est la possibilité de vous faire payer « sans que vous vous en rendiez compte ». Aujourd’hui, le nombre de transactions en mode sans contact et sans utiliser le code PIN est en général limité à 5, chacune inférieure à 20 euros. Le fraudeur peut ainsi capter au maximum 100 euros.
- un sujet plus problématique concerne la captation des données. Les lecteurs NFC se multiplient. La question est de savoir ce que peut faire un fraudeur avec les données volées. Aujourd’hui, il ne peut pas les réutiliser sur Internet en France, car il ne dispose pas du code CX2 obligatoire pour effectuer une transaction sur Internet. Mais il peut le faire en Grande-Bretagne car ce code n’y est pas exigé.
- finalement, il s’agit essentiellement d’un risque d’image, de réputation sur ce mode de paiement.
Qu’en est-il de la protection des données personnelles ?
Sur cet aspect, certaines précautions restent encore à prendre, même si des réflexions et des actions ont été menées sur l’intérêt de rendre disponibles certaines informations via l’interface sans contact des cartes : ainsi, depuis septembre 2012, le nom du porteur n’est plus lisible en France sur les cartes sans contact. Un deuxième aspect concerne l’historique de transaction. En fonction des cartes et des émetteurs, il était possible d’y retrouver une vingtaine, voire une centaine de transactions. Le Groupement carte bancaire, de la même façon, travaille sur un masquage complet de la traçabilité historique.
Il existe donc deux dimensions en matière de paiement sans contact : l’aspect fraude, mais nous continuons à penser qu’il s’agit plutôt d’un risque d’image que d’un risque financier, et la protection des données personnelles. L’Observatoire a préconisé en la matière plusieurs mesures. L’une d’elles consiste à permettre au consommateur de ne plus utiliser, s’il le souhaite, la fonction sans contact. Cela peut se faire par différents moyens : le premier envisagé était un boîtier de protection hermétique qui coupe le flux des ondes et interrompt la fonction sans contact. Mais c’est une mesure extrême en cas de grande défiance vis-à-vis de ce moyen de paiement. Depuis, la technologie a évolué : il est désormais possible de désactiver la fonction sans contact à l’aide de scripts EMV, soit de manière généralisée, ou au cas par cas à la demande du porteur. C’est un sujet particulièrement important, dans la mesure où les cartes sont désormais quasi systématiquement équipées d’une fonction sans contact. C’est la raison pour laquelle nous poussons vraiment pour la mise en œuvre de la possibilité pour un porteur de ne pas être équipé ou de changer sa carte. A contrario, nous ne souhaitons pas que l’ajout de la fonction sans contact se fasse à la demande, car cela rendrait très difficile de construire un ecosystème parmi les porteurs permettant le décollage de ce nouveau moyen de paiement.
Comment voyez-vous se développer ces nouvelles formes de paiement, mobile ou sans contact ?
Le paiement sans contact présente un intérêt pour gagner des parts de marché sur des petits montants et pour certaines enseignes de grande distribution pour lesquelles le délai de temps de paiement est une variable importante. En revanche, le marché du sans contact en France est actuellement plus mature sur la carte que sur le mobile.
Concernant le mobile, les banques et les opérateurs ne se sont pas encore entendus sur un modèle économique universel de financement et de partage de valeur sur ce marché. Sans accord sur ce point, il nous paraît difficile de voir ces paiements se développer largement. Le forum européen SecuRe Pay s’intéresse à ces sujets, avec pour objectif de publier des recommandations harmonisées en la matière. Outre le NFC, apparaissent des technologies similaires, mais à un niveau plus local : dans chaque pays, en Pologne, au Luxembourg, il existe une à deux nouvelles offres de paiement mobile et/ou sans contact qui ne sont pas basées sur la technologie NFC, mais sur des QR code, un paiement dans le cloud, la biométrie... Notre objectif est de sortir des recommandations qui soient universelles en termes de technologies.
