Au début du commerce électronique de nombreux sites se contentaient de récupérer le numéro de carte bancaire du client via un simple formulaire sur une page web toute aussi simple. La méthode se révélait peu fiable puisque non sécurisée. Une personne pouvait très facilement récupérer le numéro de la carte lors du transfert puis s’en servir aisément par la suite. De plus les données bancaires se retrouvaient stockées sur le serveur du commerçant. Le serveur pouvait être alors la cible de piratages. Ces méthodes désormais obsolètes sont à la base d’une certaine méfiance autour des paiements sur Internet.
Durant la dernière décennie le développement exponentiel d’Internet à changé la manière de réaliser du chiffre d’affaires pour les entreprises. L’e-commerce (electronic commerce) est devenu une méthode incontournable pour conclure des transactions B2B (Business to Business), B2C (Business to Consumer) ou même C2C (Consumer to Consumer). Malgré cette forte croissance, les transactions électroniques sur Internet ont semblé être freinées par la peur du manque de sécurité des paiements en ligne. Pourtant de nombreux de moyens de paiements, autres que la carte bancaire, ont été développés ; et des systèmes de contrôle évitant l’usurpation de carte ont été mise en place. Ces différents moyens sont disponibles grâce à de nombreuses sociétés spécialisées dans le paiement en ligne, les PSP (Payment Service Provider). Celles-ci ont pour but de proposer différentes solutions de paiement pour un site d’ecommerce.
Transactions B2C
Les solutions de paiements en ligne ou plus communément appelé e-paiement (paiement électronique)sont des transactions numériques échangées entre deux parties. Dans une définition plus large un e-paiement est une valeur monétaire transférée électroniquement entre deux entités en compensation de biens ou de services rendus. Les entités se réfèrent aux banques, entreprises, consommateurs et gouvernements. Les paiementsélectroniques sont souvent associés à internet mais ils peuvent également transiter via un terminal de paiement, un téléphone ou une télévision. Par paiements électroniques nous entendons entre autres : les cartes de crédit, les virements bancaires, les portes monnaies électroniques ou les chèques électroniques.
Quelques dates clés.
La monnaie électronique date de 1918 lorsque la réserve fédérale des Etats-Unis transfert une somme d’argent via le télégraphe. Ce n’est que bien plus tard que les paiements électroniques débutent sur Internet.
En 1978, l’algorithme RSA inventé par Ronald Rivest, Adi Shamir et Len Adelman, estutilisé pour la cryptographie à clé publique. C’est en 1983 que son brevet est déposé. Cet algorithme est toujours utilisé aujourd’hui et sert beaucoup lors des transactions sur Internet.
En 1984 David Chaum met en place un protocole de signature permettant de supporter les transactions sur Internet. Il créé la société Digicash en 1990 qui lance en 1994 la première monnaie virtuelle « Cyberduck » permettant de réaliser des transactions réelles grâce à de multiples partenaires acceptant cette monnaie. Cependant l’expérience n’a pas duré puisque l’entreprise dépose le bilan en 1998 du fait d’un trop fort conservatisme de la part des consommateurs.
En 1996, le protocole SET est définit par VISA, Mastercard et American Express. Cette technologie est spécialement destinée aux paiements par carte bancaire sur Internet. Elle sera remplacée en 2000 par 3D-Secure.
En 1999 Paypal est fondé par la fusion de deux jeunes sociétés : Xcom et Confinity. L’idée de base est de permettre le paiement entre internautes à partir de deux adresses mails seulement. Paypal bénéficie de la croissance d’Ebay, le site de vente aux enchères le plus populaire. En 2002, la société Ebay rachète Paypal du fait que la moitié des transactions réalisées sur le site se termine par un paiement paypal.
Comment peut-on définir la fraude?
Le code pénal prévoit plusieurs définitions de la fraude mais l’idée à la base de cette notion est sensiblement la même. L’article 323-1 [Gouvernement 04] punit « le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données » de deux ans d’emprisonnement et de 30 000 Euros d’amende. Lorsqu’il en est résulté soit de la suppression ou la modification de données contenues dans le système, soit d’une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45 000 Euros d’amende. » Le code pénal qualifie donc de fraude la simple intention de rentrer dans un système.
Plus généralement, la fraude peut prendre plusieurs formes. Nous parlerons d’impayés le fait d’utiliser des données bancaires frauduleuses et qui donc représente un manque à gagner pour le commerçant. Nous parlerons de fraude le fait de tenter de commettre un acte délictueux même si cette situation échoue.
Et la loi alors?
Le manque de confiance des utilisateurs autour de la sécurité des paiements sur Internet est encore aujourd’hui le principal frein au développement du commerce en ligne. Nombreux sont ceux qui ne souhaitent pas transmettre leurs numéros de cartes bancaires. Ces craintes sont justifiées car les paiements sur Internet sont exposés à certains risques étant donné qu’il s’agit d’un réseau ouvert où les acteurs demeurent virtuels. Il en résulte que l’identification mutuelle de ces acteurs n’est pas certaine.
Cependant le consommateur français est assez bienprotégé par la loi. En effet, la LSQ (loi sur la sécurité quotidienne) de novembre 2001 [Gouvernement 01] indique que la « responsabilité du titulaire d’une carte bancaire n’est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte ». En clair, le consommateur peut contester des opérations frauduleuses effectuées à distance et se faire rembourser par la banque et sans frais
En revanche, le cybercommerçant n’est pas aussi bien protégé. En cas de fraude, le consommateur est donc crédité des sommes en jeu par la banque au détriment du commerçant. En effet, celui-ci voit son compte débité de cette même somme. Il est donc dans l’intérêt du commerçant de se protéger efficacement, voir de souscrire à une assurance puisqu’au final il reste la seule victime.
Un peu de statistiques.
Selon un rapport de la société FIA-NET [FIA-NET 09] nous constatons de 2002 à 2008 que le taux de fraudes à augmenté de 21% et que le taux d’impayés baisse de 33% en France. Ces statistiques laissent à penser que les systèmes de protections jouent de mieux en mieux leurs rôles malgré l’augmentation des tentatives d’intrusions.
Evolution des fraudes depuis 2002 [FIA-NET 09]
Nous constatons qu’en 2007 les impayés touchent principalement quatre secteurs : l’informatique, le tourisme, le matériel électronique et la téléphonie. Nous notons que le secteur de l’informatique a capté 37% des impayés bien loin devant les autres catégories.
Poids respectif de la fraude en 2007 dans chaque secteur [FIA-NET 09]
Les différents types de fraudes.
Deux types de problèmes majeurs se posent lors d’un paiement électronique. Le premier problème provient de la vérification de l’identité des parties impliquées dans une transaction. Cette vérification se fait généralement par un couple identifiant/mot de passe par le client vis-à-vis du serveur du commerçant ou de la banque. Le risque de fraude vient du fait qu’il manque une authentification forte et mutuelle entre les deux parties.
Le second problème vient du manque de protection de l’ordinateur du client. Celui-ci est souvent peu ou mal protégé contre les programmes malveillants. Parmi ceux-ci nous pouvons citer les virus, les trojans ou les spywares.
Afin d’illustrer ces propos, les points suivants porteront sur des exemples de méthodes qu’utilisent des fraudeurs dans le but de récupérer des informations bancaires auprès d’utilisateurs d’Internet. Les différentes méthodes présentées ne sont pas exhaustives et ont toutes le même but : voler le numéro d’une carte bancaire sur Internet. Selon l’observatoire de la sécurité des cartes de paiement les fraudes liées à l’usurpation de numéros et utilisées pour des paiements en ligne représentent 51% du total des fraudes en rapport avec les cartes bancaires.
Logiciels de cardings.
Un numéro de carte bancaire est généré par un algorithme appelé clé de Luhn. Le numéro n’est donc pas vraiment créé aléatoirement. Celui-ci est composé de quatre groupes de quatre chiffres que nous définissons suivant le format suivant : ABCD EFGH IJKL MNOP.
Le premier chiffre A indique le type de carte bancaire : 4 pour Visa, 5 pour Mastercard ou 6 pour Discover.
La suite de chiffres, BCD,BCDE ou BCDEF est le numéro de la banque. La suite peut-être de longueur plus ou moins grande selon la banque : 978 pour la Poste, 972 pour LCL ou 973 pour la société générale.
Le numéro suivant jusqu’à O inclus est un nombre choisi aléatoirement par la banque pour désigner un client.
Le dernier chiffre P correspond à la clé de Luhn permettant de vérifier la validité du numéro de la carte.
A noter que la date de validité de type mois/année, ne rentre pas en compte dans la vérification. Il faut juste savoir que la date d’expiration ne peut pas être supérieure à deux ans par rapport au présent (une carte bancaire à une validité maximum de deux ans). Le mieux est de choisir une date relativement proche.
Certains logiciels sont donc capables de générer un numéro respectant l’algorithme. Il y a quelques années il était très facile de tromper un site d’e-commerce avec un logiciel de carding car seule la validité du numéro par rapport à l’algorithme était vérifiée. Il n’y avait aucune vérification de la réelle existence du numéro auprès des organismes bancaires. Aujourd’hui cette technique de fraude ne fonctionne que pour de petites sommes à payer (quelques euros). En effet, les organismes de contrôle bancaire ne vérifient pas toujours le numéro car la somme en jeu n’est pas assez élevée et n’est donc pas prioritaire. Pour preuve, en mars 2009, deux femmes françaises ont été arrêtées après avoir reçues au total 89 000 € de marchandises sur une période de deux ans auprès de multiples sites d’e-commerce souvent connus. Elles achetaient des produits de faibles valeurs ou, pour les commandes de plus grandes valeurs demandaient un paiement en trois fois sans frais. Pour cela un logiciel de carding était utilisé dans le but de générer des numéros de carte bancaire. Afin de brouiller les pistes, les deux femmes changeaient régulièrement d’identité.
Représentation d’un numéro de carte bancaire
Les keyloggers.
Un keylogger se présente la plupart du temps sous la forme d’un programme qui intercepte les frappes du clavier. A la base, un keylogger n’est pas dangereux pour l’ordinateur et est un logiciel parfaitement légitime. Il est utilisé pour réaliser des contrôles (surveillance de l’activité des enfants par les parents, contrôle de l’activité des employés dans une entreprise).
Cependant un pirate peut installer un keylogger sur l’ordinateur d’une personne à son insu. Le programme fait alors office de trojan. Dans cette situation le logiciel intercepte les mots de passe, numéros de cartes bancaires ou d’autres informations confidentielles et l’envoie au pirate en toute discrétion en passant par Internet. Une fois les données reçues ce dernier peut utiliser ces informations récoltées et réaliser des transferts d’argent.
Afin de se défendre face à ce type de menace il faut :
– ne pas utiliser un même mot de passe pour plusieurs comptes différents.
– se munir d’un système de défense proactive. La plupart des antivirus de bonne qualité possèdent cette fonction.
– utiliser des claviers virtuels. Les banques fournissent souvent un clavier virtuel pour se connecter à son compte en ligne.
Clavier virtuel de la banque Caisse d’Epargne afin d’accéder à son compte
Le phishing.
Le phishing (hameçonnage en français) est une technique permettant de récupérer des informations confidentielles et souvent bancaires. La méthode est d’envoyer un mail à de nombreux internautes en se faisant passer pour une entreprise reconnue comme une banque ou un site d’e-commerce. L’e-mail indique qu’il faut cliquer sur un lien hypertexte pour se rendre sur un site fantôme. Ce site ressemble en tout point à l’original pour tromper la personne et demande à l’utilisateur de renseigner certaines informations via un formulaire. Le pirate qui à créé le faux site récupère ainsi toute sorte d’informations de type numéro de carte bancaire, identifiant, mot de passe ou numéro de compte. Une fois en possession de ces données, le fraudeur peut s’en servir à sa guise.
La seule façon de se protéger de cette menace est de savoir qu’une banque, un site quelconque ou un organisme officiel ne demandera jamais de fournir des informations confidentielles via un e-mail. De plus les mails provenant de ces personnes sont très mal écrits en français et souvent traduits par un traducteur automatique d’une langue étrangère.
Pour conclure.
L’achat en ligne est entré dans les mœurs. Cependant la fraude est la plus grande faiblesse des paiements sur Internet. Elle est toujours présente et représente encore plusieurs millions d’euros de perdus pour les cybercommerçants rien qu’en France. Malgré les idées reçues, le consommateur n’a rien à craindre puisqu’il est protégé par la loi depuis 2001. De plus le respect de quelques règles simples en termes d’utilisation et de vigilance permet de limiter les risques de façon très nette. D’autant plus que ces risques ne sont pas supérieurs à ceux encourus lors d’un achat dans la vie de tous les jours. En effet, la fraude existe aussi hors Internet et peut prendre de nombreuses formes.
Les acteurs financiers et technologiques ont depuis quelques années relevé le défi de la sécurité des paiements en ligne en proposant diverses solutions : les certificats qui reposent sur un échange de clé publiques/privées et de signature électroniques, les systèmes de paiement fourni au commerçant via un kit qui décharge ce dernier de toute responsabilité ou encore la création de solution comme la carte de crédit jetable.
La meilleure solution reste de faire le bon compromis entre la sécurité et la facilité de la transaction pour le cybercommerçant car la solution universelle n’existe pas pour le moment. Du côté consommateur, la première recommandation à faire est de maintenir sa vigilance lorsque de l’argent est en jeu. Dans l’immédiat c’est sans doute le paramètre qui peut influer fortement sur le taux de fraude des paiements en ligne. L’erreur est souvent humaine.