La Banque de France a publié cette semaine son observatoire sur la sécurité des cartes de paiement. Le bilan est plutôt mitigé avec un recul du nombre de cartes compromises, mais une nouvelle augmentation du taux de fraude et des montants concernés.
Les Français utilisent de plus en plus leurs cartes bancaires pour réaliser leurs paiements. Les cartes de paiement françaises ont ainsi cumulé 592 milliards d'euros de transactions en 2015 contre 576 milliards d'euros en 2014 ou 472 milliards en 2010, Un chiffre en perpétuelle augmentation, qui attire forcément les convoitises de pirates et de fraudeurs en tous genres.
Bilan mitigé pour la sécurité des cartes bancaires
Globalement, le taux de fraude enregistré sur les cartes bancaires françaises vient de connaître sa quatrième augmentation sur les cinq dernières années. Il s'élève ainsi à 0,070 % en 2015 contre 0,069 % un an plus tôt ou 0,057 % en 2010. Seul motif de satisfaction, la progression est plus lente que lors des années précédentes.
Au total, le montant de la fraude sur les cartes françaises s'élève à 416 millions d'euros, en progression de 5,2 % en un an, ce malgré une réduction de 4 % du nombre de cartes concernées par au moins une transaction frauduleuse. Le montant moyen prélevé augmente légèrement à 113 euros.
La répartition des risques n'est pas lisse, et certaines transactions présentent plus de risques que d'autres. Sur les 224,8 millions d'euros de fraude enregistrés sur les échanges « domestiques » (c'est à dire entre acteurs nationaux), près de 65 % concernent des achats sur internet, ou le taux de fraude atteint 0,229 %. Un niveau élevé qui amène la Banque de France à s'alarmer de la situation et à encourager fortement les commerçants de faire appel à des solutions « d'authentification renforcée » telles que 3D-Secure.
Au chapitre des bonnes nouvelles, les cas de « piratage » de distributeurs de billets, notamment via l'utilisation de skimmers ou de fausses façades sont en net recul, avec 1 215 cas l'an dernier contre plus de 1 600 en 2014. Sur les paiements dits de proximité, c'est à dire via un terminal installé chez le commerçant, le taux de fraude n'atteint que 0,009 %, un chiffre historiquement bas, alors que ce moyen représente les deux tiers des transactions effectuées dans l'Hexagone.
Le sans-contact progresse, sans générer d'inquiétude particulière
Pour la deuxième année consécutive, l'observatoire s'est également penché sur le cas des paiements sans contact. « Ainsi, sur l’ensemble de l’année 2015, 248,6 millions de paiements sans contact ont été enregistrés pour un montant total de 2 632,3 millions d’euros, soit un montant moyen de 10,6 euros par opération » note la Banque de France, qui a comptabilisé 44 000 cas de paiements frauduleux. Le taux de fraude s'élève donc à 0,019 %. Un niveau très inférieur à celui enregistré lors des retraits d'espèces et sans commune mesure avec les paiements à distance.
Pour les autorités, le constat est donc très positif, d'autant qu'elles notent que « la fraude aux paiements sans contact a pour origine quasi exclusive le vol ou la perte de la carte ». La chance de voir sa carte débitée par un passant dans le métro est donc plus que minime et la pratique est très loin d'être généralisée. Pour rappel, un plafond généralement fixé à moins de 25 euros est imposé sur les transactions unitaires et le code est systématiquement demandé lors d'échanges consécutifs excédant 100 euros.
Les commerçants sont d'ailleurs de plus en plus nombreux à s'équiper en terminaux compatibles avec le paiement sans contact. Ils seraient ainsi près de 30 % en avril 2016 à pouvoir procéder à ce type de transactions, ce alors que le nombre de cartes dotées de puces NFC était proche des 40 millions en juin 2015. Le terrain devient donc propice à une explosion de cet usage, ce qui semble être le cas dans les faits.
De nouvelles pistes pour la sécurité
Pour limiter les risques, les prestataires de paiement développent de nouvelles solutions pour sécuriser les paiements à distance. Les travaux sont pour l'instant dirigés vers la génération de cryptogrammes temporaires à même la carte. Concrètement, une petite pile et un écran e-ink intégrés à la carte pourraient permettre de générer des codes à trois chiffres au dos différents toutes les heures.
Certains concepts vont encore un peu plus loin en ajoutant un clavier tactile sur la carte afin d'y entrer un code confidentiel dédié à la génération du cryptogramme. Ce dispositif n'a toutefois que peu de chances d'être industrialisé prochainement au vu de sa complexité. Autre piste envisagée, le couplage de la carte avec une application de reconnaissance biométrique sur smartphone. Cette fois-ci, l'obstacle se trouvera plutôt sur la méthode à employer pour faire accepter un tel mécanisme aux utilisateurs. De même, la fiabilité des relevés biométriques pourrait elle aussi être insuffisante vis à vis du niveau de robustesse attendu par les banques.
