Il y a aujourd’hui un consensus pour dire que les consommateurs sont bien protégés dans le cadre du paiement sur Internet par carte bancaire. Il n’en va pas de même pour le commerçant, qui assume tous les risques d’impayés, puisqu’il doit rembourser la banque en cas de contestation par l’acheteur. Quels sont ces risques, comment peut-on évaluer leur poids économique et quelles sont les mesures à prendre ?
La sécurisation des règlements en ligne par carte bancaire est une question clef pour le développement du commerce électronique et l’établissement de la confiance entre acheteurs et vendeurs sur Internet.
Il apparaît aujourd’hui que les risques du côté de l’acheteur sont extrêmement faibles, grâce à la mise en place de protocoles sécurisés et à l’action des pouvoirs publics en faveur du consommateur. Celui-ci peut notamment demander à sa banque le remboursement de tout débit suspect dans un délai de quatre mois, sans avoir de justificatif à apporter (voir le dossier : « Quelles précautions prendre lors d’un achat en ligne par carte bancaire ? »).
En revanche, le problème reste entier du côté du commerçant, qui assume le coût de la grande majorité des fraudes à la carte bancaire sur Internet, même si des réflexions sont en cours pour transférer la responsabilité de l’identification des internautes des cybermarchands vers les banques.
On peut catégoriser les fraudes selon quatre grands types, en notant que ces fraudes concernent toutes les ventes à distance (par exemple la vente de billets de spectacle par téléphone) et pas seulement Internet.
1- Usurpation de numéro de carte bancaire :
Il s’agit de la fraude la plus simple qui consiste à utiliser le numéro de carte (et la date de péremption) d’un tiers. Le fraudeur est soit un proche, soit un voleur de carte bancaire, soit quelqu’un qui a eu connaissances des données d’une carte en espionnant les utilisateurs d’un distributeur de billets ou autre.
2- Numéros fictifs frauduleux de cartes bancaires :
Les pirates informatiques ont acquis les techniques cryptographiques nécessaires pour générer des numéros de cartes acceptés par les autorités de vérification, ainsi que pour fabriquer de fausses cartes physiques en enregistrant des données directement sur la bande magnétique.
Ces fausses cartes (souvent appelées « Yescard » parce qu’elles disent toujours « Oui ») peuvent être générées soit par un algorithme mathématique qui donne une valeur d’authentification purement fictive, soit à partir de la carte d’une personne réelle. Dans les deux cas, l’achat peut être annulé après sa réalisation et sa livraison, soit par la banque dans le cas d’un faux numéro, soit par le propriétaire de la carte réelle.
3- Mauvaise foi de l’acheteur : ce type de fraude est relativement faible, même s’il a tendance à augmenter légèrement. Les acheteurs sur Internet connaissent de mieux en mieux leurs droits et notamment leur possibilité de contester un paiement avec leur carte bancaire si le commerçant ne peut justifier une signature du client ni la saisie d’un code confidentiel par l’acheteur. Certains en abusent et répudient en toute légalité des achats qu’ils ont effectivement réalisés. Le commerçant a alors des recours limités, qu’il n’utilise pas étant donnés les coûts des procédures judiciaires face aux montants en jeu.
4- Blanchiment d’argent : ce type de fraude ne concerne pas vraiment le site marchand, mais il peut être inquiété s’il fait partie du processus de blanchiment en connaissance de cause. Il concerne plus particulièrement les produits à forte valeur ajoutée, faciles à revendre comme l’informatique, les matériels audio (HI-FI), la photo numérique, etc. De nombreuses transactions de montants importants doivent alerter le commerçant, car il peut s’agir de recyclage d’agent au bénéfice de la mafia ou de réseaux terroristes.
Focus sur les risques : les chiffres disponibles
Les risques du paiement sur Internet sont de 2 ordres : perte d’argent et atteinte à la vie privée. Le premier concerne les acheteurs, vendeurs et prestataires, le second se produit si des données qu’un utilisateur souhaite garder privées sont mises à disposition de tiers.
Au niveau européen, des études de l’e-Payment Systems Observatory (www.e-pso.info) montrent que les fraudes de paiement sur Internet liées aux cartes bancaires sont relativement faibles ( 5 à 9%) par rapport à l’ensemble des plaintes utilisateurs, mais ils précisent également que ces chiffres devraient augmenter rapidement à l’avenir. L’association for Payments Clearing Services (www.apacs.org.uk) indique que les fraudes à la carte bancaire sur Internet (« card-not-present Internet fraud ») ont augmenté de 86% en 2002 pour atteindre 28 millions de livres sterling, soit 7% de l’ensemble des fraudes à la carte bancaire en Grande-Bretagne.
Il est extrêmement difficile de connaître les vrais statistiques de la fraude à la carte bancaire sur Internet en France, car il semblerait que le GIE Cartes Bancaires (Groupement des Cartes Bancaires) n’aie pas vraiment intérêt à communiquer sur les problèmes de sécurité de sa solution. L’Etat ne dispose pas non plus de chiffres précis, car il ne fait pas la différence entre une fraude à la carte bancaire sur Internet et dans le commerce classique.
Il existe cependant quelques études d’entreprises telles que Fia-Net ou SSL ePay Security, dont le métier consiste à fiabiliser les achats par carte sur Internet et qui sont donc aux premières loges pour analyser le phénomène.
D’après Fia-Net, les paiements frauduleux en ligne par carte bancaire en 2002 représentent 3 à 4 % du total des transactions, en progression de 1,2 % par rapport à 2001. Cette entreprise note cependant que ces fraudes portent sur des montants plus importants, le panier moyen d’un sinistre passant de 391 à 459 euros (+ 18,5% par an). Cette forte augmentation en valeur est explicable par une certaine professionnalisation des techniques de fraude et par du blanchiment d’argent réalisé par des organisations criminelles ou terroristes.
Un audit réalisé par SSL ePaySecurity entre 2000 et 2003 (premier trimestre) présentent des chiffres beaucoup plus impressionnants. Ils ont analysé les transactions de 100 de leurs clients européens et ont identifié des taux de fraude de 2,34 % en 2000, de 5,72 % en 2001, 13,52 % en 2002 et 7,85 % sur le premier trimestre 2003. Ces résultats très élevés montrent un réel problème dont les pouvoirs publics ne parlent pas, mais il faut aussi les pondérer par le fait que les cybermarchands de SSL ePaySecurity présentent sans doute un risque de fraude supérieur à la moyenne des sites marchands.
Cet audit précise clairement par ailleurs que les victimes de ces fraudes ne sont en aucun cas les acheteurs payeurs qui sont bien protégés par les technologies de sécurisation et la législation, mais bien les commerçants qui doivent rembourser les achats frauduleux.
Quels moyens mettre en oeuvre pour une meilleure sécurité des transactions ?
– A partir de janvier 2004, les banques mettent en place un outil pour améliorer l’identification des porteurs de cartes bancaires. Pour cela, les sites marchands auront pour obligation de demander systématiquement, au moment du paiement, le cryptogramme visuel (suite de trois chiffres au dos de la carte, près de la signature) de l’acheteur pour valider une transaction. Grace à cette mesure, il ne sera plus possible de régler un achat en disposant simplement d’un numéro de carte et de sa date de péremption.
– La solution e-Carte Bleue.
Grâce au service e-Carte Bleue (mis en place par le GIE Carte Bleue Visa et relayé par les banques), le numéro de la Carte Bleue réelle ne circule plus sur Internet. Lorsque l’utilisateur souhaite effectuer un achat en ligne, un e-numéro (numéro de carte à 16 chiffres valable seulement pour la transaction de paiement) est créé et est transmis en temps réel à l’acheteur. Une fois qu’il l’a utilisé pour payer, ce e-numéro ne pourra plus être utilisé.
L’internaute doit s’inscrire auprès de sa banque, pour recevoir un identifiant et un mot de passe, ainsi que l’adresse Internet où il téléchargera son logiciel e-Carte Bleue. Une fois le logiciel installé, l’icône matérialisant le service e-Carte Bleue sera présente à l’écran, dans la barre d’outils.
Cette solution permet de sécuriser l’acheteur en lui évitant de saisir son numéro de carte sur Internet. Elle comporte cependant des inconvénients. Il s’agit d’abord d’un service payant pour l’utilisateur, qui implique en plus un logiciel à télécharger, deux éléments qui freinent considérablement sa mise n’oeuvre. Ensuite, tout comme pour la carte de paiement classique, il est possible pour un fraudeur de générer des codes de e-Carte Bleue illicites et faire assumer ce risque par les sites marchands.
En conclusion, la e-Carte Bleue ne change pas grand chose pour l’acheteur (qui de toute façon est protégé pour ses achats par carte bancaire) ni pour le vendeur.
– Afin de limiter le taux de fraude sur un site Internet, il faut aujourd’hui appliquer des règles de bon sens qui permettent d’identifier l’acheteur et de prouver que les livraisons son faites à la bonne adresse. En cas d’achats pour des montants importants, il faut systématiquement demander une autorisation au système de carte bancaire, et une demande de confirmation par fax est judicieuse.
Lors de la livraison de produits, utilisez un mode de livraison avec accusé de réception (genre recommandé AR ou colissimo suivi).
Un autre moyen de maîtriser les risques est de s’assurer contre les impayés par carte bancaire auprès de prestataires spécialisés qui garantissent les transactions, notamment Fia-Net ou SSL ePay Security.
– Utiliser lorsque c’est possible des moyens de micropaiement.
Les micropaiements sont adaptés aux règlements de petits montants (moins de 10 euros) et concernent la vente de services ou de biens numériques. Ils utilisent des technologies adaptées qui garantissent le paiement sans répudiation possible par la banque ou le consommateur.
ML
Pour en savoir plus :
http://www.journaldunet.com/0307/030710cb.shtml
http://www.apacs.org.uk
http://www.fianet.fr