Protection de la carte bancaire : et si le problème n'était pas que dans le monde numérique ?

Vers des formulaires papier over TLS ? 171
Accès libre
image dediée
Crédits : karelnoppe/iStock/Thinkstock
Securité EDITO
Par
le lundi 20 novembre 2017 à 16:54
David Legrand

Si certains ont encore parfois peur de se faire pirater leurs informations de paiement lors d'un achat en ligne, il est plus rare de voir des utilisateurs se méfier lorsqu'un commerçant ou un téléconseiller leur demande la transmission d'une telle information. C'est pourtant bien plus risqué.

Avec la montée en puissance de la vente en ligne à coup de « 1-click » et des services de paiement ou de transfert d'argent nouvelle génération, un élément devient de plus en plus crucial à protéger : les informations relatives à votre carte bancaire.

Les dispositifs en place sont plutôt bons en la matière, et la fraude à un niveau assez bas. Ainsi, ce ne sont le plus souvent pas les informations de votre carte qui sont stockées par les sites, mais un simple « jeton » (ou token) lié à une autorisation qui peut être révoquée. Et ceux qui utilisent ce genre d'outils sont soumis aux normes PCI-DSS.

En ligne, des règles claires

De son côté, la CNIL dispose depuis des années de recommandations claires sur ce qu'il est possible de faire ou non. La semaine dernière, elle a publié un rappel sur le sujet suite à une délibération intervenue cet été. Elle y précise que le numéro de la carte, la date d'expiration et le cryptogramme visuel ne doivent être conservés au-delà de la transaction.

Il y a bien sûr des exceptions possibles, comme en cas d'abonnement à tacite reconduction, ou la facilitation des achats ultérieurs si le client a exprimé son consentement qui « doit prendre la forme d'un acte de volonté explicite, par exemple au moyen d'une case à cocher et non pré-cochée par défaut ». Dans tous les cas « la conservation du cryptogramme est interdite après la réalisation de la première transaction ».

La Commission nous a confirmé qu'elle ne reconnaissait pas les données bancaires comme des données dites sensibles. Il s'agit néanmoins d'une donnée à caractère personnelle puisque la loi informatique et libertés dispose dans son article 2 que cela concerne « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». 

Un guide datant de fin 2016 est également disponible : Commerce et données personnelles.

CNIL Achat en ligne

IRL, vos données de carte bancaire en mode YOLO

Contrairement à ce que l'on pense, c'est dans le monde physique que les choses se gâtent. Si une fuite en ligne peut rapidement être massive, une attaque « In Real Life » (IRL) est plus limitée, mais aussi bien plus simple.

L'un des dangers identifiés est celui du paiement sans contact, à travers une carte bancaire ou un smartphone. Très bavard au départ, ce dispositif a été largement renforcé ces dernières années. Mais comme l'a encore montré récemment le blogueur Numendil, c'est loin d'être parfait.

Avec un bon équipement, ou même une simple application Android, on peut encore récolter quelques informations qui peuvent être utiles depuis une carte de paiement qui est constamment accessible, contrairement à une application de paiement sur smartphone qui doit être activée.

Mais il y a encore bien pire que cela, et l'on rencontre encore couramment des pratiques qui n'ont pas lieu d'être en 2017. Il fût un temps où l'on passait les cartes bancaires dans des « presses » afin d'en effectuer une empreinte carbone. Une période révolue ? Pas tant que cela.

Hôtels, achat par correspondance, centres d'appel : CB partout, protection nulle part

Ceux qui vont couramment dans des hôtels en dehors des grandes chaînes savent qu'il est souvent demandé de fournir une carte au moment du « Check-in ». Et là, les informations de la cartes sont parfois stockées directement dans la base de données client ou même simplement écrites sur une fiche papier.

Ce, alors que les TPE prennent parfaitement en charge l'empreinte bancaire permettant aux commerçants de se couvrir en cas de problème. Et sur le sujet, il est bien plus difficile de trouver la trace de recommandations de la CNIL, ou même de savoir si elle effectue concrètement des vérifications sur les procédures de paiement des commerçants.

Un conseil, donc, si vous allez souvent d'un hôtel à un autre : pensez à utiliser une carte de paiement secondaire à autorisation systématique, sur laquelle vous laissez assez peu de fonds. En cas de problème, le risque sera ainsi limité.

Cette pratique se retrouve d'ailleurs dans d'autres secteurs que l'hôtellerie. Pour l'abonnement à la presse papier, ou l'achats de produits par catalogue, on retrouve encore souvent des formulaires proposant au client d'inscrire les informations de sa carte bancaire. Des informations qui seront protégées par une simple enveloppe lors du transport.

Abonnement Magazine CB

Parfois, c'est au téléphone que l'employé du centre d'appel d'un organisme de crédit ou d'une société vous proposera de lui donner les informations de votre carte bancaire. Qui vous assurera qu'il ne le met pas de côté pour une utilisation ultérieure ? Rien, si ce n'est le risque de se faire prendre par son employeur.

On se demande alors à quoi cela peut bien servir de mettre en place des solutions de chiffrement comme TLS si c'est pour au final transmettre ce genre de données dans un simple courrier ou au téléphone. Surtout qu'en cas de problème, il sera bien compliqué d'identifier la fuite de manière certaine.

La protection des données de paiement doit être assurée partout

Bref, s'il est important de sécuriser le partage des données bancaires en ligne et de renforcer le niveau de sécurité dans le domaine du paiement, notamment à l'heure où le smartphone devient un outil de plus en plus utilisé, il faut aussi ne pas oublier de regarder plus près de nous, dans notre quotidien.

Car tant que la sécurité de l'utilisateur reposera sur quelques chiffres présents sur une carte plastique, qu'on lui demande de partager parfois sans assurer le moindre niveau de protection, toutes ces mesures deviendront inutiles. C'est toujours sur le maillon le plus faible de la chaîne que les attaquants portent leurs coups. 

Certes, en cas de fuite, l'utilisateur est protégé par la législation et peut de plus en plus facilement faire renouveler sa carte. Des mesures comme 3D Secure sont également parfois mises en place par les commerçants. Mais celle-ci n'est pas systématique et pose encore trop souvent des problèmes. Surtout lors des périodes commerciales intenses comme le Black Friday ou les les soldes.

Mais il s'agit là d'une autre histoire, que nous aurons sans doute l'occasion d'évoquer dans un prochain édito.


chargement
Chargement des commentaires...