Les fraudeurs sont toujours plus inventifs pour tenter de voler nos coordonn\u00e9es bancaires. Mais face \u00e0 eux, des sp\u00e9cialistes comme Michael Toromona, en charge \u00e0 l\u2019OSB des services de paiement en ligne, luttent au quotidien pour prot\u00e9ger nos informations confidentielles.<\/p>\n
A l\u2019heure de l\u2019Internet et du tout-connect\u00e9, comment les banques prot\u00e8gent-elles leurs moyens de paiement de la fraude et de la cyber criminalit\u00e9 ?<\/strong><\/p>\n Concernant les moyens de paiement, le premier est l\u2019esp\u00e8ce, que l\u2019on peut se procurer au guichet d\u2019une banque ou dans un distributeur de billets. Puis vient le ch\u00e8que, \u00e9mis par un client pour un fournisseur, \u00e9vitant de transporter de fortes sommes et risquer un vol. La fin du 20e si\u00e8cle et le d\u00e9but du 21e ont vu l\u2019av\u00e8nement de la carte bancaire, moyen de paiement id\u00e9al, rapide et s\u00fbr. Ce support a consacr\u00e9 la d\u00e9mat\u00e9rialisation de la monnaie, avec l\u2019\u00e9mergence du e-paiement, du e-commerce, et du m-paiement, fond\u00e9s sur la vente \u00e0 distance. Quels sont aujourd\u2019hui les risques principaux qui menacent les moyens de paiement physiques ou d\u00e9mat\u00e9rialis\u00e9s, et les m\u00e9thodes pour les contrer ?<\/strong><\/p>\n La carte bancaire \u00e9tant devenue le moyen de paiement le plus r\u00e9pandu, les fraudeurs se sont int\u00e9ress\u00e9s aux moyens de subtiliser les donn\u00e9es confidentielles que celle-ci contient, sans abandonner la contrefa\u00e7on de la monnaie fiduciaire (pi\u00e8ces et billets) ou des ch\u00e8ques. La protection des donn\u00e9es porte \u00e9galement sur les terminaux (ordinateur, tablette ou smartphone) qui peuvent \u00eatre pirat\u00e9s lors d\u2019un achat en ligne. De m\u00eame le phishing, ou falsification d\u2019identit\u00e9 Internet, tente de collecter des donn\u00e9es personnelles client avec de faux sites de fournisseurs. A quelles \u00e9volutions doit-on s\u2019attendre du coup pour les banques et leurs moyens de paiement ?<\/strong><\/p>\n Pour les retraits au guichet, le guichetier donnera au client une carte de retrait \u00e0 usage unique (dite \u00ab one shot \u00bb), pour retirer au distributeur, et dissuader d\u2019attaquer le guichet. Pour les distributeurs eux-m\u00eames, les cassettes abritent d\u00e9sormais des agents chimiques pour maculer irr\u00e9m\u00e9diablement les billets en cas d\u2019effraction. La strat\u00e9gie de protection est ici bas\u00e9e sur la dissuasion.
\nCette \u00e9volution a \u00e9t\u00e9 accompagn\u00e9e d\u2019un renforcement de la protection et de la s\u00e9curisation des moyens de paiement par les banques, visant \u00e0 d\u00e9jouer les tentatives de fraude d\u00e9ploy\u00e9es par les escrocs en tout genre.
\n<\/span>Ainsi, l\u2019objectif premier des banques est de d\u00e9mat\u00e9rialiser le plus possible la monnaie, afin de r\u00e9duire au maximum les vols \u00ab physiques \u00bb (en 2012, en France, les attaques de distributeurs de billets ont augment\u00e9 de 73%). Mais au-del\u00e0, cette d\u00e9mat\u00e9rialisation impose la protection des donn\u00e9es personnelles, car la fraude s\u2019est adapt\u00e9e pour subtiliser les donn\u00e9es confidentielles des clients et usurper leur identit\u00e9 (les fraudes dans les points de vente ont augment\u00e9 de 250% en 2012, et Internet regroupe 61% des op\u00e9rations frauduleuses globales).
\n<\/span>L\u2019enjeu se d\u00e9place ainsi de la protection de la monnaie physique vers la protection des donn\u00e9es personnelles et la cl\u00e9 est d\u00e9sormais l\u2019authentification des utilisateurs de moyens de paiement d\u00e9mat\u00e9rialis\u00e9s.<\/span><\/p>\n
\nLa contrefa\u00e7on des billets devient de plus en plus difficile, vu la complexit\u00e9 de leur fabrication, comme la bande m\u00e9tallique, les filigranes multiples et d\u2019autres \u00e9l\u00e9ments de contr\u00f4le connus uniquement des banques. Ce sont ici les m\u00e9thodes de fabrication qui prot\u00e8gent les billets. Les ch\u00e8ques eux restent ais\u00e9s \u00e0 contrefaire, mais les commer\u00e7ants disposent par exemple de lecteurs de ch\u00e8ques pour v\u00e9rifier la conformit\u00e9 technique du ch\u00e8que, ainsi que l\u2019opposition ou l\u2019interdit \u00e9ventuels frappant celui-ci.
\n<\/span>C\u2019est pourquoi les escrocs se concentrent sur le vol de donn\u00e9es personnelles pour acc\u00e9der aux comptes des clients l\u00e9gitimes et les vider, en plus du vol pur et simple des cartes.
\n<\/span>On trouve ainsi des distributeurs de billets modifi\u00e9s avec un faux clavier pos\u00e9 sur le clavier d\u2019origine pour enregistrer la saisie du code de la carte, ou de faux terminaux de paiement chez les commer\u00e7ants enregistrant les donn\u00e9es saisies. Plus simplement, il faut rappeler aux porteurs de carte de ne jamais quitter des yeux leur carte lorsqu\u2019ils payent sur un TPE, et de toujours saisir le code \u00e0 l\u2019abri des regards, car un coup d\u2019\u0153il ind\u00e9licat permet de facilement r\u00e9cup\u00e9rer l\u2019essentiel. De m\u00eame, il ne faut payer que sur des sites Internet s\u00e9curis\u00e9s.
\n<\/span>L\u2019usurpation des donn\u00e9es carte visibles (num\u00e9ro de carte, date d\u2019expiration et cryptogramme visuel) constitue ainsi la source principale de la fraude sur Internet.
\n<\/span>La norme de s\u00e9curit\u00e9 3DSecure, qui rajoute une \u00e9tape dans la transaction (par exemple envoi d\u2019un SMS de v\u00e9rification au porteur l\u00e9gitime de la carte), permet de r\u00e9duire la fraude en question, les fraudeurs ne pouvant pas r\u00e9pondre \u00e0 la derni\u00e8re \u00e9tape, celle-ci n\u2019\u00e9tant pas li\u00e9e \u00e0 une information pr\u00e9sente sur la carte.<\/span><\/p>\n
\nLa r\u00e9ponse adapt\u00e9e \u00e0 ces attaques est le recours aux requ\u00eates de v\u00e9rification et d\u2019authentification, comme 3DSecure, pour interagir avec le client lors de l\u2019utilisation de son moyen de paiement, tandis que les mots de passe \u00e9voluent aussi par le recours de plus en plus fr\u00e9quent aux codes \u00e0 usage unique.
\n<\/span>La d\u00e9mat\u00e9rialisation des moyens de paiement entra\u00eene ainsi, dans notre \u00e9conomie interconnect\u00e9e, une pouss\u00e9e des processus d\u2019authentification tendant vers l\u2019instantan\u00e9, recours le plus efficace contre le vol de codes d\u2019acc\u00e8s rejouables.<\/span><\/p>\n
\nPour les cartes et leur d\u00e9mat\u00e9rialisation, les donn\u00e9es sensibles seront sur des serveurs hautement s\u00e9curis\u00e9s, reli\u00e9s \u00e0 un identifiant stock\u00e9 sur le smartphone du client. Tout paiement se fera par l\u2019authentification du porteur (code gestuel unique ou envoi d\u2019un \u00ab one time password \u00bb via SMS). La tendance sera finalement de d\u00e9ployer des e-portefeuilles (wallets) n\u2019abritant pas de donn\u00e9es cartes, et utilisant uniquement des identifiants activables par la validation instantan\u00e9e de l\u2019identit\u00e9 du propri\u00e9taire. La strat\u00e9gie de protection est ici fond\u00e9e sur la tokenisation de l\u2019information (fractionnement des donn\u00e9es utiles) et l\u2019instantan\u00e9it\u00e9.
\n<\/span>Le smartphone va ainsi devenir un \u00ab moyen \u00bb de paiement privil\u00e9gi\u00e9, connect\u00e9 \u00e0 des services en ligne de plus en plus int\u00e9gr\u00e9s avec les syst\u00e8mes d\u2019information des professionnels.<\/span><\/p>\n