Bruno Buonaguidi, Università della Svizzera italiana
Dans les pays occidentaux, l’été est synonyme, pour beaucoup, de vacances. Mais ces réjouissances peuvent rapidement se transformer en cauchemar pour ceux qui ne prennent pas les précautions nécessaires pour éviter la fraude à la carte bancaire.
Si vous possédez une carte de crédit ou de débit, vous encourez un risque non négligeable d’être victime d’une fraude. Des millions de personnes peuvent déjà en témoigner, y compris en France.
Depuis les années 1980, l’utilisation des cartes bancaires, qu’elles soient de crédit, de débit ou prépayées, a connu une hausse impressionnante. Selon le bulletin d’informations The Nilson Report (spécialisé dans les paiements par cartes et mobiles) paru en octobre 2016, ce type de paiement a généré plus de 31 000 milliards de dollars (plus de 27 000 milliards d’euros) dans le monde en 2015, soit une hausse de 7,3 % par rapport à l’année précédente.
Cette tendance est vouée à perdurer, bien aidée par les nouveaux systèmes de transfert d’argent en ligne et par le développement mondial du e-commerce. Ce dernier connaît, par exemple, une croissance impressionnante dans les pays du Sud, grâce au poids de quelques entreprises comme Flipkart, Snapdeal, Amazon India – qui se partageaient plus de 80 % du marché indien en 2015 – ou encore Alibaba et JingDong, qui détenaient plus de 70 % du marché chinois en 2016.
Cette situation est une mine d’or pour les fraudeurs. La cybercriminalité, elle aussi, est à la hausse. Toujours selon The Nilson Report, le préjudice mondial causé par la fraude à la carte bancaire s’élevait à 21 milliards de dollars (18,4 milliards d’euros) en 2015, contre seulement 8 milliards (7 milliards d’euros) en 2010. Un chiffre qui devrait grimper au-dessus de 31 milliards de dollars (27 milliards d’euros) d’ici 2020.
Chaque année, des milliards de transactions électroniques sont entachées de fraude. Ce sont plusieurs centaines de milliards de dollars dont la société entière ne profite pas.
Les banques et émetteurs de cartes, par exemple, doivent rembourser leurs clients victimes de cyberfraude. Aux États-Unis et dans la plupart des banques occidentales, le montant à la charge des consommateurs est plafonné à 50 dollars (environ 44 euros) si le crime est dénoncé rapidement : dans les 30 jours pour les cartes de crédit, dans les deux jours pour les cartes de débit. En France, les clients bénéficient d’un délai de 13 mois pour réclamer le remboursement des sommes débitées. Les banques investissent donc largement dans les technologies antifraude, comme l’a montré un rapport de l’entreprise Ovum.
Les vendeurs doivent supporter le coût nécessaire pour que leurs clients puissent acheter en toute sécurité, sous peine de voir les banques émettrices de cartes leur reprocher leur négligence. Les consommateurs, eux, sont pénalisés deux fois : d’abord en étant victimes des fraudeurs, puis une seconde fois lorsque leur carte est inutilement bloquée par l’émetteur. Celui-ci, enfin, subit aussi de lourds préjudices en terme d’image.
Comment se déroule une transaction par carte de crédit ?
Le fonctionnement d’une transaction par carte de crédit est assez simple et s’articule en deux étapes : l’autorisation et le règlement de l’opération.
Tout d’abord, les différentes parties impliquées (client, émetteur de la carte, vendeur et banque de ce dernier) s’envoient leurs informations respectives et décident d’autoriser ou de rejeter l’achat. S’il est autorisé, la transaction peut alors s’effectuer, généralement quelques jours après cette autorisation.
Photo Mix/Pexels
Il convient de garder en mémoire qu’une fois que l’achat a été validé, il est impossible de revenir en arrière. Ce qui signifie que toutes les dispositions permettant de détecter une fraude doivent être prises pendant la phase d’autorisation. Vous trouverez ci-dessous un descriptif simplifié de cette étape essentielle, avec le rôle de chacun des acteurs impliqués.
Des entreprises célèbres, comme Visa ou Mastercard, vendent l’utilisation de leur marque à l’émetteur de la carte et à la banque du vendeur et fixent les règles de la transaction.
Ensuite, l’émetteur délivre la carte au client. Celui-ci l’utilise alors pour ses achats, en la donnant au vendeur en magasin, ou, lorsqu’il achète en ligne, en fournissant les données bancaires qui lui sont demandées. On pense par exemple aux achats effectués sur Amazon. Les données relatives au consommateur et à l’achat sont alors transmises à la banque du vendeur.
Puis c’est au tour de l’émetteur de la carte de recevoir les informations dont il a besoin. Après analyse des données reçues, il décide d’approuver ou de rejeter l’achat. Sa décision est alors renvoyée au vendeur et à sa banque. L’achat, et donc la livraison de biens et services au propriétaire de la carte, ne peuvent être validés que si la réponse de l’émetteur est positive.
Il est à noter que seuls deux cas de figure peuvent permettre à l’émetteur de rejeter une transaction : lorsque le solde sur le compte du propriétaire de la carte n’est pas suffisant, ou lorsqu’il y a une suspicion de fraude. L’émetteur doit donc détecter la fraude avant d’approuver la transaction, et sur la seule base des données fournies par la banque du vendeur.
Les différents types de fraudes
Il n’est pas facile de lister rigoureusement les différents types de fraude : la cybercriminalité évolue et devient plus sophistiquée à mesure que les nouvelles technologies se développent. En France, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) a tenté de les recenser. D’une manière générale, on peut toutefois ranger les fraudes en deux grandes catégories :
- Les fraudes sans présence de la carte (card-not-present ou CNP). Ce type d’escroquerie est aujourd’hui le plus courant. Il se déroule sans utilisation concrète de la carte, mais les coordonnées bancaires de son propriétaire sont volées et utilisées illégalement. Ce type de fraude se déroule, en général, en ligne. Le phishing (ou hameçonnage) en est l’un des exemples : la victime reçoit un mail de la part des fraudeurs, qui prétendent souvent appartenir à des institutions fiables. C’est lorsqu’elle clique sur les liens contenus dans ce mail que ses informations personnelles, ou bancaires, sont volées.
- Les fraudes en présence de la carte. Désormais moins répandues que les fraudes CNP, elles restent tout de même d’actualité, à l’image du skimming. Cette technique se produit lorsqu’un commerçant malhonnête profite de votre inattention pour glisser votre carte de crédit dans un skimmer, un dispositif qui lit les informations enregistrées dans votre carte, dans le but, ensuite, de les copier sur une autre.
Shutterstock
Comment riposter ?
Il est important de développer de nouvelles technologies pour contrer de plus en plus efficacement les fraudes lors des transactions électroniques. Le délai entre la fraude et sa détection doit être raccourci, tout en évitant au maximum de bloquer injustement les cartes. Mes travaux actuels visent à utiliser des techniques avancées de statistiques et de probabilité pour mieux détecter les fraudes.
J’utilise une analyse séquentielle pour détecter, aussi précisément que possible, les occurrences de fraudes dans les transactions par carte bancaire. Grâce à la surveillance continue des dépenses et des informations bancaires du propriétaire de la carte (heure, lieu, montant des achats), mon objectif est de développer un modèle capable de calculer la probabilité qu’un achat soit entaché de fraude. Si cette probabilité dépassait un certain seuil, une alarme serait déclenchée. L’émetteur pourrait alors décider soit de bloquer directement la carte, soit d’essayer d’en savoir plus, par exemple en appelant le consommateur.
Ce modèle tire sa force du fait que tous les calculs sont effectués en contrôlant la fréquence des fausses alarmes. Cependant, il n’empêche pas la fraude. Le respect de quelques simples règles de sécurité pourrait, en revanche, réduire significativement le risque d’être victime de fraude à la carte bancaire et, plus largement, de cybercriminalité :
- Dans un e-mail, ne jamais ouvrir un lien qui vous demande des informations personnelles, même si l’expéditeur semble être une banque digne de confiance. Ne jamais partager vos coordonnées bancaires ou personnelles.
- Si vous achetez un produit en ligne sans connaître l’entreprise qui le commercialise, faites une recherche pour vérifier si celle-ci a bonne réputation ou non.
- Lorsque vous payez en ligne, vérifiez que l’adresse de la page web commence par HTTPS, ce qui signifie que le transfert de données est sécurisé. Vérifiez aussi que cette page web ne contient pas d’erreurs grammaticales ou de termes suspects. Si c’est le cas, vous êtes probablement sur un site qui cherche à dérober vos coordonnées bancaires.
Le respect de ces règles, conjugué à la recherche en technologies antifraude, nous sera d’une grande aide pour éloigner les cyber-escrocs.
Découvrez les travaux de recherche de Bruno Buonaguidi sur le site du Fonds AXA pour la Recherche.
Bruno Buonaguidi, Researcher, InterDisciplinary Institute of Data Science, Università della Svizzera italiana
La version originale de cet article a été publiée sur The Conversation.