Accueil > Non classé > Comment s’organise la lutte contre la fraude à la carte bancaire ? Comment s’organise la lutte contre la fraude à la carte bancaire ? Protéiforme, la fraude à la carte bancaire s’étend des terminaux physiques aux paiements en ligne. Comment l’industrie bancaire agit-elle pour protéger les porteurs de cartes ? Par . Publié le 10 mars 2020 à 11h57 - Mis à jour le 26 novembre 2020 à 14h45 Ressources La carte bancaire reste le moyen de paiement favori des Français. Selon le dernier rapport de l’Observatoire de la sécurité des moyens paiements, elle était utilisée dans 53% des transactions en 2018. Le montant total de ces opérations s’élevait à 568 milliards d’euros la même année, auxquels s’ajoutent 136 milliards d’euros de retraits (pour 1,43 million d’opérations). Les cartes bancaires émises en France ont représenté 42% des cas de fraude en montant, juste derrière les chèques qui constituent le premier poste de fraudes dans l’Hexagone. Elles ont concentré en revanche 92,4% du nombre de transactions frauduleuses relevées sur l’année. Pourtant, si le volume d’attaques sur les paiements a encore bondi de 58% au deuxième semestre 2019 dans le monde, le taux d’attaques (rapporté au volume total de paiement) a diminué de 7% sur la période, selon le Cybercrime Report. Un succès qui peut s’expliquer, entre autres, par celui de la lutte contre la fraude à la carte bancaire. Mais pour appréhender cette dernière, il faut connaître ses différentes formes, que la BCE a regroupé en deux catégories : – la fraude physique, à partir de cartes volées, copiées – on parle alors de skimming – ou de pression sur le payeur. Elle rassemble les cas où le fraudeur effectue un retrait au distributeur automatique de billet (DAB) et ceux où il réalise un paiement auprès d’un terminal de point de vente (point-of-sale terminal, POS). – la fraude à distance, ou card-not-present fraud, via l’utilisation de données de cartes bancaires piratées puis utilisées pour réaliser des achats illicites, en ligne, par téléphone, par mail (paiements “MOTO”, pour mail order / telephone order) ou tout autre moyen de règlement d’une transaction à distance. Au total, la direction générale de la concurrence, de la consommation et de la répression des fraudes répertorie une dizaine de sources, de techniques et de transactions différentes sujettes à la fraude à la carte bancaire. Mais quelle que soit la méthode, le résultat est le même : ce n’est pas le propriétaire de la carte qui réalise la transaction, ou alors pas de son plein gré. Le tournant du standard EMV Si les premières cartes prépayées sont apparues aux Etats-Unis au début des années 50, et la carte bleue lancée en 1967 en France, c’est l’introduction des normes EMV (Europay, Mastercard, Visa), en 1995, qui a permis une inflexion notable dans les taux de fraude à la carte bancaire. Ces standards ont introduit le recours au code PIN et aux algorithmes cryptographiques, deux éléments qui permettent un net renforcement de la sécurité de la carte, ainsi que des usages multi-applicatif rendus possibles par la présence d’une puce électronique. La généralisation de ces nouveaux outils de paiement a permis de remplacer les cartes à bandes magnétiques, beaucoup plus simples à copier, en Europe, au Japon, au Mexique, au Canada, etc. “Les Etats-Unis réalisent une migration vers les cartes EMV, mais il reste des pays comme l’Indonésie dans lesquels on n’est toujours pas passé aux cartes à puces, précise Patrice Meilland, SVP Powered Cards Business Line chez Idemia. Sur ces marchés, on constate encore une fraude massive au paiement de proximité.” Lorsque le mouvement vers les cartes EMV est amorcé, en revanche, la chute des taux de fraude est manifeste. Au Royaume-Uni, la migration de 2007 avait ainsi permis de réduire de 67% le volume des pertes dues aux transactions illicites réalisées depuis un terminal de paiement. Les PCI DSS (Payment Card Industry Data Security Standard) constituent un autre ensemble de normes qui ont contribué à la sécurisation des paiements par carte bancaire. Mises aux points pour la première fois en 2004 par le Conseil des normes de sécurité PCI, elles visent surtout à protéger les informations des titulaires de cartes, pour éviter leur usage détourné en ligne. Elles imposent de grands principes de (cyber)sécurité autour de la sauvegarde des informations critiques, de la sécurisation des réseaux informatiques et de la gestion des accès. Néanmoins, “la fraude est un univers mouvant, jamais statique”, souligne Alexis Folliet, responsable commercial paiement chez Probayes, un spécialiste du machine learning qui travaille notamment sur la fraude à la carte bancaire. De nouvelles techniques de fraude suscitent de la crainte, comme le détournement du NFC par des malfaiteurs. Néanmoins, “aucun cas avéré de détournement de données en mode sans contact” n’a été relevé par la Banque de France, déclarait Julien Lasalle, chef du service de surveillance des moyens de paiement scripturaux au Parisien fin 2019. Déplacement en ligne Mais au-delà de ces nouvelles arnaques techniques, c’est l’écosystème entier de la fraude qui s’adapte aux nouvelles technologies. L’Observatoire de la sécurité des moyens de paiement observe que la mise en conformité des acteurs du marché avec les standards évoqués a provoqué “un report de la fraude à la carte vers le domaine des paiements MOTO”. Dans ce type de cas, le commerçant n’a pas de contact direct avec le porteur ni avec sa carte. Côté payeur, rappelle le rapport, “les informations de paiement (numéro de carte et date d’expiration) sont transmises par le biais d’un canal généralement non sécurisé et doivent être le plus souvent retraitées manuellement”. Certes le conseil de normalisation de la sécurité PCI a publié un guide des principes de sécurité dans le domaine. Néanmoins, cette méthode concentre un taux de fraude bien plus important que les autres modes de paiement par carte : le paiement MOTO ne représente que 0,5% en nombre et 0,8% en valeur des transactions effectuées en 2018. Pourtant, il a représenté 7,1% des fraudes à la carte (pour une valeur globale de 28,5 millions d’euros) en 2018. En matière de fraude à la carte bancaire, le vol des informations relativesaux cartes reste la solution la plus simple Ghislain de Pierrefeu Associé chez Wavestone Les techniques d’hameçonnage (phishing), de fraude par ingéniérie sociale et de piratage, qui permettent de récupérer de manière indue des données de cartes bancaires, constituent un autre problème récurrent. 10% des fuites de données constatées par le Data breach investigation report 2019 de Verizon concernent le secteur financier, tandis que dans 80% des cas, toutes industrie confondues, les motivations de l’attaque sont financières. Or, “en matière de fraude à la carte bancaire, le vol des informations relatives aux cartes reste la solution la plus simple” constate Ghislain de Pierrefeu, associé chez Wavestone. Ces données transitent largement, “les sites commerçants sont plus ou moins bien équipés, et si quelqu’un effectue un paiement non autorisé avec votre numéro de carte, c’est la banque qui est responsable et qui vous rembourse”. Une avis que tend à confirmer une autre étude de Verizon, le Payment Security Report, qui constate en 2019 que 41,2% des fuites de données constatées dans l’industrie du paiement entre 2010 et 2016 venaient du secteur du retail, tandis que 11,5% d’entre elles provenaient directement du secteur financier. La problématique devient donc, pour les départements de lutte contre la fraude, de parvenir à dresser le panorama complet des origines possibles d’attaque. Les solutions sont aujourd’hui multiples : géolocalisation pour s’assurer que la carte est au même endroit que le porteur, usage du code CVV, analyse comportementale ou de l’adresse IP de l’outil utilisé… Mais les premières tentatives ont pu rencontrer quelques critiques. C’est le cas des applications du protocole 3D-Secure passant par le SMS, par exemple. Certains messages textes ne peuvent pas être reçus en raison d’un défaut de réseau ou d’un déplacement à l’étranger, les réseaux par lesquels circulent lesdits SMS – et donc les codes qu’ils contiennent – sont faiblement sécurisés, etc. Surtout, l’adoption de cet outil a traumatisé les e-commerçants à la fin des années 2000. L’absence de sensibilisation des utilisateurs finaux avait provoqué une chute pouvant atteindre 40% de leur chiffre d’affaires. Mais tout de même : au gré des évolutions et des nouvelles de méthodes constatées, il a fallu créer de nouveaux standards techniques et réglementaires. La nouvelle directive sur les services de paiement (DSP2) a par exemple encore relevé les exigences en termes d’authentification forte, ce qui permet à des solutions innovantes de lutte contre la fraude de se positionner aussi auprès des e-commerçants (lire notre dossier). Solutions intégrées à la carte Dans tous les cas, l’objectif demeure : certifier que la personne derrière la transaction est bien celle qu’elle prétend être. Pour ce faire, il est possible d’assigner plus précisément la carte bancaire à son porteur que par la puce et un jeu de numéros. “Une forme de fraude en ligne à la CB consiste simplement à utiliser ces informations pour payer, parce que des bases de données ont été piratées, des données de cartes copiées à partir de photos, de facturettes, etc”, rappelle Patrice Meilland chez Idemia. La carte à cryptogramme dynamique répond à cet enjeu. Toutes les 45 minutes ou toutes les heure, le code CVV inscrit au dos est modifié. “Le fonctionnement de l’outil est relativement simple, détaille Patrice Meilland : une petite pile permet de faire fonctionner un microprocesseur intégré à la carte.” Un algorithme de cryptographie exploitant les paramètres de la carte (numéro personnel, date d’expiration) est lancé au moment du paiement, pour définir un code spécifique. La carte présente aussi une clé individuelle, ce qui rend le code CVV calculé spécifique à l’objet. “Du côté de la banque, poursuit Patrice Meilland, un serveur effectue le même calcul. Il cherche le numéro de la carte, le reconstitue pour retrouver le cryptogramme dynamique qui lui est propre, puis compare avec ce qui est indiqué sur la transaction.” Si les valeurs correspondent, cette dernière est autorisée. Autrement, un deuxième palier de vérification est demandé. Pionnière en France et dans le monde, Société Générale a lancé la sienne dès 2016, suivie par BNP Paribas, Crédit du Nord ou encore Crédit Mutuel. Les politiques tarifaires, et mêmes d’offre, varient. “Une banque comme Société Générale l’offre pour un euro supplémentaire par mois, tandis qu’Orange Bank la déploie systématiquement sur un segment précis, celui des packages premium (Visa)”, relève Patrice Meilland. Aujourd’hui, plus de 600 000 clients de la Société Générale en sont équipés et le résultat est jugé probant : la fraude par phishing est quasiment tombée à zéro pour les porteurs de ce type de cartes, rapporte un porte-parole de la banque. Mais la nouvelle génération de cartes bancaires est déjà en cours de construction. Car Idemia lance une carte biométrique, F.CODE, en phase pilote. Dans ce nouvel objet, le porteur est identifié via son empreinte digitale. “L’empreinte est stockée pendant la phase d’enrôlement, au cours de laquelle on demande à l’utilisateur d’appliquer plusieurs fois son doigt sur le capteur, pour que celui-ci enregistre plusieurs versions de l’empreinte digitale”, explique le représentant d’Idemia. La comparaison est faite au moment du paiement, “localement, à la manière de ce qui se fait sur les smartphones : aucune base de données biométriques n’est constituée par une entité tierce”. L’information qui est envoyée à la banque porte sur la correspondance ou non entre l’empreinte présentée par le payeur et celle qui a été enregistrée. “En France, la première banque à avoir annoncé cette expérimentation est Société Générale”, note Patrice Meilland. Ce nouveaux dispositifs répondent aux attentes de deux catégories de clientèle : les early adopters, qui aiment l’innovation et les nouvelles technologies, et les clients haut de gamme, “à la surface financière assez importante, qui souhaitent donc être sécurisés en ligne comme hors ligne”. Quid, alors, de la protection des autres ? Il y a les cartes bancaires virtuelles, générées à usage temporaire ou dédié à un usage spécifique. Sans support, elles présentent en revanche les même données (numéro, date d’expiration, code CVV) qu’une carte bancaire classique. Ce service est aussi bien fourni par les grands réseaux de cartes bancaires que par des enseignes qui créent leurs e-cartes cadeaux. Le big data contre la fraude Par ailleurs, le niveau de sécurité est déjà suffisamment élevé pour qu’au sein des banques, “la plupart des réflexions nouvelles soient anglées sur la prévention plutôt que sur la détection ou la réaction”, selon Ghislain de Pierrefeu. Brice Perdrix, le DG d’ISoft – qui propose depuis 2005 des outils de lutte contre la fraude et de machine learning pour différents cas d’usage – va dans le même sens : “Les banques ont réalisé une sorte de course à l’“armement” technique pour se protéger face aux fraudeurs.” Leurs départements fraude ont par ailleurs longtemps travaillé à partir d’un jeu de règles limitées : “si tel montant était dépassé, si tel virement était initié d’un pays réputé suspect, il fallait vérifier, détaille Ghislain de Pierrefeu. Aujourd’hui, l’idée est de profiter de toutes les informations disponibles sur le profil du payeur pour savoir directement si c’est lui.” Carine Cartaud, directrice des ventes France et Europe du Sud pour LexisNexis Risk Solutions, explique : “on se base sur deux types de données : les techniques, issues de l’équipement qu’utilise l’internaute pour se connecter, sa façon de taper sur le clavier, la langue utilisée, etc. Et puis celles que peut fournir et utiliser la banque”, anonymisées pour l’éditeur de la solution de gestion de la fraude. Une solution comme FraudManager se place en dernier rempart Brice Perdrix PDG de ISoft Chez ISoft, une solution comme FraudManager se place ainsi “en dernier rempart : celui où on analyse le comportement de la personne pour tenter de déterminer a priori s’il s’agit bien du payeur qu’elle prétend être, ou qu’elle n’est pas victime d’un abus de confiance.” Du côté de la banque du commerçant ou de la banque du client, elle sonde la totalité des transactions bancaires qu’elle connaît, puis préconise “en quelques millisecondes” la marche à suivre, un score de confiance accompagnant la recommandation. La banque peut ensuite accepter, rejeter la transaction, voire ajouter un niveau de vérification avant de définitivement valider (ou pas) l’opération. Du côté des paramètres retenus pour estimer la probabilité que l’auteur de la transaction est aussi le propriétaire de la carte bancaire utilisée, “c’est la banque cliente qui fixe le seuil lui permettant de maximiser le nombre de fraudes arrêtées tout en minimisant le nombre de client gênés, détaille Brice Perdrix, CEO d’ISoft. Nous proposons une solution explicable, avec des algorithmes transparents”, ce qui permet aux clients de maîtriser totalement leur méthode de gestion de la fraude. Filiale de La Poste, Probayes propose un outil similaire, “pensé pour être complémentaire aux logiciels de lutte contre la fraude déjà existant”, détaille Alexis Folliet : FraudIA utilise des algorithmes d’intelligence artificielle pour estimer les risques de fraude transactionnelle (transaction CB, prélèvement et virement SEPA, fraude sur chèque, KYC, etc) dans leur ensemble. Dans le cas de la fraude à la CB, “il retourne en temps réel des indications sur une potentielle fraude. Ces données peuvent ensuite être exploitées directement par le client, ou venir s’intégrer dans les règles de gestion fixées par les logiciels de fraud management déjà utilisés.” Quel est l’accueil réservé à ce type de solution ? Si Brice Perdrix ne donne pas de chiffres, il déclare qu’ISoft a convaincu ses clients (la plupart des grandes banques françaises, tous cas d’usage – y compris marketing – confondus) grâce à des démonstrations très simples. “Il nous suffit de prendre un ancien jeu de données et de lancer notre algorithme pour montrer combien de tentatives de fraude supplémentaires nous aurions pu éviter.” ISoft revendique par ailleurs le traitement de 90% des transactions bancaires françaises pour aider les banques dans leur lutte contre la fraude. Du côté de Probayes, qui travaille notamment avec la Banque Postale, Société Générale et GIE CB, Alexis Folliet avance deux chiffres : “un temps de réponse maximum par transaction de 50 millisecondes, et la capacité à gérer des volumes illimités de données, avec par exemple un traitement de plus de 8 millions de transactions par jour chez certains clients à l’heure actuelle.” L’enjeu de la mutualisation Deux sujets de mutualisation prennent leur importance dans la lutte contre la fraude à la carte bancaire. Celui de la mutualisation des données essaimées par l’utilisateur à travers ses différents canaux de contact avec la banque et/ou les (e-)commerçants, d’abord. Qu’il paie via son smartphone, son ordinateurs, sa tablette, la puce NFC de sa carte, la carte elle-même, le client présente des manières de faire qui lui sont propres, et qui doivent pouvoir permettre de le reconnaître à chaque fois – puis de certifier si il représente un risque ou non. Une fois ce risque défini, on pourra procéder aux manoeuvres de vérifications nécessaires. Mais des acteurs comme LexisNexis Risk Solutions ou Forter misent aussi sur communauté d’acteurs. Les fraudeurs eux-mêmes construisent de vastes réseaux, et se mettent à multiplier les lieux et canaux d’attaque, constatait le Cybercrime Report paru début mars. Aussi Michael Reitblat, CEO et fondateur de Forter, détaillait-il ainsi à mind Fintech une partie de l’activité de son entreprise : “Nous somme partis du constat qu’à plusieurs, il est plus facile de se défendre. Nous réunissons donc plusieurs revendeurs (une centaine à l’heure actuelle) pour les associer dans la lutte contre la fraude.” Chez LexisNexis Risk Solutions, le combat est le même. La société se targue de compter plus de 6 000 clients utilisateurs de sa solution, ce qui a permis à l’entreprise d’établir “une collection de 4,5 milliards de machines uniques”, et de reconstituer “quelque 1,5 milliard d’identités numériques uniques”, selon Carine Cartaud. Dans le cas de la fraude à la carte bancaire, la richesse de ces données permet par exemple “de repérer qu’une carte est utilisée dans une machine suspecte, que la typologie de produit acheté ne correspond pas aux habitudes de consommation”, bref de suspecter une tentative de fraude avant même que le propriétaire n’ait mis la carte en opposition. Mais pour y parvenir, rassembler des informations issues de différentes industries peut aider à prendre les fraudeurs de court. Carine Cartaud détaillait dans une tribune publiée dans Les Echos la façon dont les criminels utilisent des services en ligne proposant un mois d’essai gratuit pour tester les données de cartes bancaires qu’ils ont récupérées. Une pratique qui éclaire le regret qu’exprimait Michael Reitblat à mind Fintech en février, celui de voir un “secteur financier déconnecté des activités de lutte contre la fraude des autres secteurs”. Néanmoins, la fraude évolue toujours, et le secteur financier doit faire face à son industrialisation. Les bases de données piratées par les malfaiteurs permettent ainsi des agissements à grande échelle et à travers plusieurs industries, comme le souligne le Cybercrime Report de LexisNexis Risk Solutions. Après tout, les criminels s’équipent autant en matériel technique et en algorithmes que le font leurs opposants. Cela leur permet notamment de s’adonner au carding, qui consiste pour eux à automatiser des tests jusqu’à déchiffrer un jeu de données bancaires. Pour contrer cela, LexisNexis Risk Solutions vient précisément de lancer une solution dite de biométrie comportementale, “par abus de langage” précise la représentante de l’éditeur de logiciel. “Si les malfaiteurs ont racheté un fichier complet de logins et de mots de passe, ils vont automatiser les tests, détaille Carine Cartaud. Or détecter ce type de schéma d’activité, bien plus rapide, bien plus robotique que ne le serait un comportement humain, c’est possible”, en rassemblant des données sur le temps moyen passé sur chaque page, sur des vitesse d’écriture, etc. Dans la lutte contre la fraude à la carte bancaire, comme dans les autres types de fraude, conclut Ghislain de Pierrefeu, ce qui progresse n’est finalement “pas tant la technologie que l’idée d’utiliser un maximum de données pour vérifier qu’on est dans un cas légitime ou pas”. Aux banques d’apprendre à gérer cette question de mutualisation des données issues de canaux aussi divers que la carte, le site web, l’application mobile, le NFC, les courriers, etc. “Il s’agit d’avoir des informations sur l’émetteur, sur le récepteur et sur la transaction elle-même, continue-t-il. Plus on a d’infos sur toute la chaîne, plus juste on sera dans la détermination de la légitimité du paiement.” Et aux prestataires de tenter de deviner suffisamment en amont quelles seront les nouvelles techniques de fraude. Chez Probayes, Alexis Folliet s’attend à ce que “les taux de fraude diminuent dans un premier temps grâce à l’authentification forte. Mais ensuite, les malfaiteurs s’adapteront. C’est pourquoi nous cherchons à anticiper leurs comportements de demain et nous faisons évoluer nos modèles en permanence.” Les outils de lutte contre la fraude au service de l’expérience client L’enjeu de la lutte contre la fraude est d’optimiser les refus de transactions pour ne surtout pas se retrouver à bloquer des clients légitimes. Néanmoins, “les banque et les e-commerçants n’affrontent pas les mêmes risques, selon leur place sur la chaîne du paiement”, note Brice Perdrix (ISoft). Les banques gèrent le risque de fraude, cherchant à en éviter un maximum tout en préservant l’expérience client, tandis que le commerçant essaiera surtout de limiter son risque d’impayé. “En cas de doute, il permettra la transaction mais ne proposera peut-être pas le paiement en trois fois.” “D’un point de vue technique, les deux approches sont très similaires”, continue Brice Perdrix. L’analyse comportementale et une collaboration entre banques et commerçants, via la DSP2, aident d’ailleurs à limiter drastiquement les vérifications si le marchand est quasi-certain que la personne est bien celle qu’elle prétend être. C’est ce que fait Amazon avec le paiement en un clic. “Dans ce cas, l’analyse est mise au service de la meilleure expérience client possible.” Et Carine Cartaud (LexisNexis Risk Solutions) d’ajouter : “Nos modèles ont aussi une vraie valeur à l’onboarding, puisque par définition, c’est un moment où l’on ne peut pas faire d’authentification forte.” Les outils d’analyse comportementale permettent alors d’envoyer un score de risque à l’entreprise concernée, afin de lui signifier si la personne qui ouvre un compte a l’air légitime, ou si elle agit anormalement. “C’est très utile, notamment, pour les sociétés de crédit en ligne ou de crédit à la consommation, car le secteur est en pleine croissance, mais aussi très attaqué.” Et cela permet d’offrir une expérience utilisateur relativement simple au moment de la création de compte. Dernier élément : les cartes bancaires biométriques. Avec leur mémoire de l’empreinte digitale, elle pourrait permettre l’émergence d’un nouvel usage, estime Patrice Meilland (Idemia) : “En sans contact, on sait qu’on ne pourra pas payer plus de 30 euros, mais là, si la carte est volée, il deviendra impossible de réaliser le moindre achat.” Avec la protection du paiement “dès le premier euro”, ce nouvel outil permet de lutter contre la fraude, mais aussi, “potentiellement, de faire du paiement sans contact pour n’importe quel montant”. big datacybersécuritéfraude Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind À lire Cybersécurité : des besoins encore loin d’être satisfaits Comment les banques s’emparent-elles de leurs données ? Entretien Yohan Trépanier Montpetit (Flare Systems) : “Nous aidons les équipes de cybersécurité et de lutte contre la fraude à communiquer plus efficacement" Entretien Michael Reitblat (Forter) : “Le secteur financier est déconnecté des activités de lutte contre la fraude des autres secteurs”