Fraude sur l’internet : enfin des chiffres !
Publié le 21/05/2001 par Etienne Wery
En marge d’un colloque qui se tient actuellement à Athènes et qui réunit le gratin du monde bancaire, la société Europay International a dévoilé quelques chiffres intéressants concernant la fraude aux cartes de crédit sur l’internet. Europay International est un acteur majeur de ce marché. La société est issue de la fusion, en 1992, de…
En marge d’un colloque qui se tient actuellement à Athènes et qui réunit le gratin du monde bancaire, la société Europay International a dévoilé quelques chiffres intéressants concernant la fraude aux cartes de crédit sur l’internet.
Europay International est un acteur majeur de ce marché. La société est issue de la fusion, en 1992, de Eurocard et Eurochèques et gère notamment les cartes de crédit bien connues MasterCard et EuroCard.
Ces chiffres proviennent de l’industrie, c’est-à-dire d’une partie directement intéressée au problème, et doivent donc être lus avec l’indépendance requise. On sait en effet que les émetteurs de cartes ont parfois été soupçonnés de grossir quelque peu le phénomène, pour disposer d’un argument de plus dans le débat en cours sur la partage des responsabilités entre émetteur et titulaire de la carte. Néanmoins, la tendance qui se dégage de ces chiffres est incontestable.
-
Première constatation de l’industrie : la fraude est en pleine recrudescence. Pire : elle devrait encore doubler d’ici 2005.
-
Pour la zone « Europe », Europay mentionne une perte globale liée à la fraude, d’un montant de 200 millions US$ en l’an 2000.
Lorsque ce chiffre est ramené proportionnellement au nombre de cartes émises, il s’élève à 3 US$ par carte, c’est-à-dire 0,1% des achats. Est-ce beaucoup ou peu ? Cela dépend essentiellement du point de vue mais il va de soi que ce coût est, inévitablement, finalement supporté par les autres titulaires.
-
C’est essentiellement l’achat de biens et services qui est en cause. Le retrait d’argent liquide aux guichets est moins atteint car il nécessite la connaissance d’un code secret plus difficile à obtenir.
-
La fraude est divisée en deux : fraude domestique (elle a lieu dans le pays d’émission de la carte), et transfrontalière (elle a lieu dans un autre pays). La fraude domestique est stable, mais la fraude transfrotanlière est en augmentation importante. A ce petit jeu, c’est Taiwan qui décroche la lanterne rouge, suivi de la Grande-Bretagne, la Californie et la Floride.
-
Nous l’avons dit, la fraude devrait doubler d’ici 2005, mais elle devrait surtout évoluer. Actuellement, la fraude est surtout la conséquence de la perte et du vol de cartes, alors que d’ici 2005 elle devrait surtout se manifester des deux manières suivantes :
-
Interception des numéros et/ou codes qui sont ensuite réutilisés, notamment l’internet;
-
Contrefaçon, c’est-à-dire fabrication et utilisation de fausses cartes.
-
-
S’agissant de l’internet, la fraude résulte essentiellement de deux phénomènes :
-
Des sites transactionnels sont créés, récoltent des autorisations de débit, puis disparaissent tout en continuant à ponctionner régulièrement les cartes ou en ponctionnant une seule fois la carte mais d’un montant nettement supérieur à ce qui a été annoncé. Lorsque l’utilisateur veut se retourner contre le site, celui-ci a disparu depuis longtemps. Les sites pornographiques payants détiennent la palme de ce type de fraude.
-
Des serveurs insuffisament sécurisés. Le FBI a tenté de pénétrer 8.932 sites transactionnels et a réussi à 7.860 reprises ! Plus grave, il n’y a que 390 sites a avoir détecté, fût-ce a posteriori, cette intrusion. Il est donc simple de s’introduire sur le serveur, de ponctionner les données relatives aux cartes, et de les réutiliser illicitement ensuite .
-
-
Les circuits de distribution des cartes sont aussi en cause. En Hollande et en France, notamment, les cartes ont été envoyées par la poste, ce qui a permis l’interception facile. Elles devraient à l’avenir être transmises à l’utilisateur par le truchement d’un intermédiaire plus fiable, tel une agence bancaire dans laquelle l’utilisateur retire personnellement sa carte.
Et l’avenir ?
Comme souvent, la technique recèle en elle-même les moyens de lutte contre la criminalité technique. Ce sont donc les outils techniques qui permettront le plus efficacement de lutter contre cette plaie.
L’introduction de puces électroniques sur les cartes devrait être développée. En l’état actuel, ces puces sont quasiment incopiables, ou elles le sont tellement difficilement que seule la très grande criminalité y a accès.
La puce, couplée à la généralisation du code personnel complique encore la fraude et devrait être généralisée.
De nouveaux logiciels devraient aussi dresser un profil type de l’utilisateur, et détecter les transactions a priori anormale eu égard à ce profil. Mais là, les défenseurs de la vie privée ne manqueront pas de relever les dangers de ce type de technique.
Les cartes devraient enfin recevoir un « Card Vérification Code 2 » qui permet, lors de la transaction de vérifier encore une fois la validité de la carte.