La Banque de France a publié cette semaine son observatoire sur la sécurité des cartes de paiement. Le bilan est plutôt mitigé avec un recul du nombre de cartes compromises, mais une nouvelle augmentation du taux de fraude et des montants concernés.
Les Français utilisent de plus en plus leurs cartes bancaires pour réaliser leurs paiements. Les cartes de paiement françaises ont ainsi cumulé 592 milliards d'euros de transactions en 2015 contre 576 milliards d'euros en 2014 ou 472 milliards en 2010, Un chiffre en perpétuelle augmentation, qui attire forcément les convoitises de pirates et de fraudeurs en tous genres.
Bilan mitigé pour la sécurité des cartes bancaires
Globalement, le taux de fraude enregistré sur les cartes bancaires françaises vient de connaître sa quatrième augmentation sur les cinq dernières années. Il s'élève ainsi à 0,070 % en 2015 contre 0,069 % un an plus tôt ou 0,057 % en 2010. Seul motif de satisfaction, la progression est plus lente que lors des années précédentes.
Au total, le montant de la fraude sur les cartes françaises s'élève à 416 millions d'euros, en progression de 5,2 % en un an, ce malgré une réduction de 4 % du nombre de cartes concernées par au moins une transaction frauduleuse. Le montant moyen prélevé augmente légèrement à 113 euros.
La répartition des risques n'est pas lisse, et certaines transactions présentent plus de risques que d'autres. Sur les 224,8 millions d'euros de fraude enregistrés sur les échanges « domestiques » (c'est à dire entre acteurs nationaux), près de 65 % concernent des achats sur internet, ou le taux de fraude atteint 0,229 %. Un niveau élevé qui amène la Banque de France à s'alarmer de la situation et à encourager fortement les commerçants de faire appel à des solutions « d'authentification renforcée » telles que 3D-Secure.
Au chapitre des bonnes nouvelles, les cas de « piratage » de distributeurs de billets, notamment via l'utilisation de skimmers ou de fausses façades sont en net recul, avec 1 215 cas l'an dernier contre plus de 1 600 en 2014. Sur les paiements dits de proximité, c'est à dire via un terminal installé chez le commerçant, le taux de fraude n'atteint que 0,009 %, un chiffre historiquement bas, alors que ce moyen représente les deux tiers des transactions effectuées dans l'Hexagone.
Le sans-contact progresse, sans générer d'inquiétude particulière
Pour la deuxième année consécutive, l'observatoire s'est également penché sur le cas des paiements sans contact. « Ainsi, sur l’ensemble de l’année 2015, 248,6 millions de paiements sans contact ont été enregistrés pour un montant total de 2 632,3 millions d’euros, soit un montant moyen de 10,6 euros par opération » note la Banque de France, qui a comptabilisé 44 000 cas de paiements frauduleux. Le taux de fraude s'élève donc à 0,019 %. Un niveau très inférieur à celui enregistré lors des retraits d'espèces et sans commune mesure avec les paiements à distance.
Pour les autorités, le constat est donc très positif, d'autant qu'elles notent que « la fraude aux paiements sans contact a pour origine quasi exclusive le vol ou la perte de la carte ». La chance de voir sa carte débitée par un passant dans le métro est donc plus que minime et la pratique est très loin d'être généralisée. Pour rappel, un plafond généralement fixé à moins de 25 euros est imposé sur les transactions unitaires et le code est systématiquement demandé lors d'échanges consécutifs excédant 100 euros.
Les commerçants sont d'ailleurs de plus en plus nombreux à s'équiper en terminaux compatibles avec le paiement sans contact. Ils seraient ainsi près de 30 % en avril 2016 à pouvoir procéder à ce type de transactions, ce alors que le nombre de cartes dotées de puces NFC était proche des 40 millions en juin 2015. Le terrain devient donc propice à une explosion de cet usage, ce qui semble être le cas dans les faits.
De nouvelles pistes pour la sécurité
Pour limiter les risques, les prestataires de paiement développent de nouvelles solutions pour sécuriser les paiements à distance. Les travaux sont pour l'instant dirigés vers la génération de cryptogrammes temporaires à même la carte. Concrètement, une petite pile et un écran e-ink intégrés à la carte pourraient permettre de générer des codes à trois chiffres au dos différents toutes les heures.
Certains concepts vont encore un peu plus loin en ajoutant un clavier tactile sur la carte afin d'y entrer un code confidentiel dédié à la génération du cryptogramme. Ce dispositif n'a toutefois que peu de chances d'être industrialisé prochainement au vu de sa complexité. Autre piste envisagée, le couplage de la carte avec une application de reconnaissance biométrique sur smartphone. Cette fois-ci, l'obstacle se trouvera plutôt sur la méthode à employer pour faire accepter un tel mécanisme aux utilisateurs. De même, la fiabilité des relevés biométriques pourrait elle aussi être insuffisante vis à vis du niveau de robustesse attendu par les banques.
Commentaires (40)
#1
Heureusement ApplePay arrive pour relancer la fraude
" />
#2
C’est pas possible !
#3
Pour information les skimmers sont maintenant implémentés DANS les distributeurs d’essence, donc aucune chance de les détecter avant de mettre la carte. Donc la captation des informations de carte bancaire automatisée est de plus en plus dure à détecter.
#4
Autre piste envisagée, le couplage de la carte avec une application de reconnaissance biométrique sur smartphone.
Et le smartphone est offert avec la CB ? Et puis ca serait bête de ne pouvoir utiliser sa carte pake on a plus de batterie…
#5
C’est déjà le cas avec les systèmes qui envoient un code par SMS quand tu achètes sur le net, c’est pas super contraignant en pratique.
#6
le seul truc qui peut être volé sur une carte type CB est sa piste magnétique, ou alors via le sans contact, mais les banques rembourse la fraude avéré. Les transactions contacts sont très sécurisés et le craquage d’une puce couterais plus cher que ce que rapporterais la fraude elle-même
#7
Pour les paiements sur le net, le système des numéros de CB à usage unique est quand même ce qu’il y a de plus simple et de plus efficace.
Par contre, côté sites marchands, l’obligation de recréer ab initio un numéro de carte bancaire ordinaire à chaque transaction avec un numéro de CB “jetable”, franchement, ça finit par gaver sévère. Et on se retrouve ainsi avec X numéros de CB sur le site marchand faute d’avoir un écran dédié aux numéros de CB à usage unique…
Là, il y a un gros progrès à faire du côté du codage des sites marchands ! J’en parle parce que j’utilise systématiquement, à quelques exceptions près (paiement en trois fois par exemple), la CB à numéro unique.
3D secure est excellent aussi. Employé par mes soins pour mes achats de rails au Japon, par exemple.
#8
#9
ou via deux caméras une en dessous un au dessus et après tu fais tes achats sur le net sur des sites sans 3dsecure….
#10
oui, ou une caméra au dessus du DAB ou DAC avec un truc pour piéger la carte dans le lecteur, il y a plein de possibilités, mais leur mise en œuvre doit être enrayé par le porteur de carte, normalement sur les DAB et DAC il y a des images qui montrent a quoi doit ressembler le lecteur, si ce n’est pas le cas, on y met pas sa carte …
#11
Je me suis fait volé la CB juste après avoir composé mon code en début d’année (il m’avais vu taper le code) et la banque ne ma pas remboursé (Boursorama). Donc prudence avec les banque “gratuite”. Une des pistes serait d’avoir une validation systématique sur téléphone pour les grosses transaction (pour les clients qui le souhaite).
#12
Tout a fait, rester attentif est la meilleur protection. On m’avait fait suivre ce lien qui montre que les escrocs savent pousser loin :https://trustfoundry.net/reverse-engineering-a-discovered-atm-skimmer/
Par contre, sur internet… Cadenas ou pas, on sait jamais si les sites chiffrent ou pas les infos. Ou mieux, si elles sont effectivement enregistrées alors qu’on n’a jamais donné son accord
#13
Me suis fait avoir dimanche tout est à l’intérieur du distributeur d’essence la carte n’est pas coincé le seul truc qui ne marche pas est la détection de la carte. Tu ne vois absolument rien le distributeur est absolument identique à la normale. (bon après le mec a pas été discret et a démarrer direct alors qu’il avait pas pris d’essence à la pompe, j’ai cramé direct)
#14
Quand on voit les frais bancaires associés aux transactions, on se demande bien ce qu’ils couvrent, car ils sont bien loin devant le taux de fraude!
Le pire dans l’histoire c’est que les banques facturent le fait d’utiliser les solutions type 3DSecure… Donc aucun intérêt pour un commerçant de l’utiliser, autant avoir une transaction refusée de temps en temps…
#15
Le 3d Secure devrait être le minimum syndicale. Sa me fait toujours drôle de payer parfois sur internet et ne pas avoir le 3d Secure derrière.
La meilleur solution serait clairement avec un cryptogramme temporaire à même la carte, ou à récupérer via un site de sa banque, mais j’imagine que ça serait contraignant.
#16
#17
Ben comme marqué dans la news c’est 1215 terminaux en 2015.
#18
En 15 ans de paiements intensifs sur le net à deux, ma femme a eu une fois un retrait frauduleux de 700 euros à 1000km de là où elle se trouvait.
Chose remboursée très rapidement par la banque (c’est une obligation légale), donc rien à redire, pas de préjudice (sauf sans doute pour la banque, évidemment), je ne vois pas pourquoi on ne continuerait pas.
#19
#20
#21
#22
#23
#24
Perso ma banque m’a fait changer de carte 3 fois cette année suite à des fraudes sur Internet.
Maintenant j’utilise le système de carte virtuelle à courte durée, donc mpossible de payer quoi que ce soit en utilisant les numéros inscrits physiquement sur la carte.
Un peu chiant à l’usage mais au final imparable.
#25
idem que certains, aucun pb, surtout avec une carte temporaire, quand j’ai confiance j’augmente le montant et ça me sert pour plusieurs transactions (même numéro commerçant), c’est assez pratique pour paypal. C’est juste une gymnastique de faire le nettoyage des cartes régulièrement.
Sinon des banques comme number 26 permettent de tout gérer sur son smartphone et donc d’activer la carte que quand on s’en sert via leur app. Et aussi d’avoir les transactions en temps réel, même les demandes d’autorisation de 120€ des DAC passent directement quand elles sont faites.
#26
le cryptogramme a récupérer via le site, c’est proposé en test par la poste
#27
usines a gaz que tout cela.
les cartes virtuelles sont les plus sures.
j’en ai une pour mon abonnement xbox.
validité 2 ans ,montant max 1€.
#28
#29
Généralement, il ne faut pas être très pressé. Il serait intéressant dans l’article d’analyser aussi le délai moyen de remboursement par les banques. Chacune a ses petites manières…
#30
#31
Open Datas et fraudes bancaires, les piliers faibles de la politique progressiste précipitée (fail sur toute la ligne)
" />
" />
Où l’illusion que les antivirus sont efficaces et que tout le monde est gentil, les bisounours sont légions
#32
Ca aurait été pareil avec une banque “classique”. Lorsqu’il y a utilisation du code, on estime que c’est de ton fait, c’est à toi de le conserver secret
#33
#34
C’est là que j’apprécie la solution récemment mise en place par le Crédit Mutuel.
Possibilité de désactiver les paiements sur Internet via un bouton unique sur leur appli mobile. La réactivation est tout aussi simple et immédiate.
Cela couplé aux numéros de CB à usage unique, le niveau de protection offert est très bon.
#35
Absolument pas, d’après le Code Monétaire et Financier, la banque n’est pas tenue de rembourser l’usager uniquement en cas de faute de sa part, et ce dans la limite d’une franchise de 150€. La charge de la preuve revient à la banque, qui aura bien du mal à prouver la négligence du client.
L’histoire du code invoquée par les banques, c’est du flan, tout comme leurs assurances bidons (qui finalement se contentent de couvrir cette franchise) alors même que la loi garantit le remboursement du client.
Un petit tour au tribunal de proximité (gratuit) remettra les idées en place d’une banque récalcitrante.
#36
Idem avec la même banque avec quelqu’un qui s’était fait plaisir chez Dell Canada, remboursement dans la semaine.
" />
Il y a 10 ans, la carte à puce était quasiment inexistante au Canada, ce qui explique sûrement la fraude dont j’avais été victime…
#37
#38
Cet article non abrogé est très clair. Les situations personnelles sont manifestement très variables…
" />
Merci à toi et Commentaire_supprime pour votre retour d’expérience très intéressant.
#39
J’ai le service de carte virtuelle sur Fortuneo.
Service gratuit & compte gratuit.
#40
Commentaire_supprime a écrit :
Par contre, côté sites marchands, l’obligation de recréer ab initio un numéro de carte bancaire ordinaire à chaque transaction avec un numéro de CB “jetable”, franchement, ça finit par gaver sévère.
Moi un site marchand qui garde mes infos de paiement liées au compte, c’est rhédibitoire. D’ailleurs ce serait bien de connaître la ventilation de la fraude entre sites gardant les infos et site les prenant à usage unique.
Mais bon, un n° fixe se retient par coeur… de même que le crypto d’ailleurs, à apprendre et gratter sur toute carte neuve comme mesure simple de sécurité, il est si facile pour qqun a qui on la donne au moment de payer de la passer recto-verso devant une caméra discrète.