Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Cartes bancaires : la fraude gagne encore du terrain

Mais rien à redire sur la Carte Kiwi

Cartes bancaires : la fraude gagne encore du terrain

Le 07 juillet 2016 à 12h00

La Banque de France a publié cette semaine son observatoire sur la sécurité des cartes de paiement. Le bilan est plutôt mitigé avec un recul du nombre de cartes compromises, mais une nouvelle augmentation du taux de fraude et des montants concernés. 

Les Français utilisent de plus en plus leurs cartes bancaires pour réaliser leurs paiements. Les cartes de paiement françaises ont ainsi cumulé 592 milliards d'euros de transactions en 2015 contre 576 milliards d'euros en 2014 ou 472 milliards en 2010, Un chiffre en perpétuelle augmentation, qui attire forcément les convoitises de pirates et de fraudeurs en tous genres. 

Bilan mitigé pour la sécurité des cartes bancaires

Globalement, le taux de fraude enregistré sur les cartes bancaires françaises vient de connaître sa quatrième augmentation sur les cinq dernières années. Il s'élève ainsi à 0,070 % en 2015 contre 0,069 % un an plus tôt ou 0,057 % en 2010. Seul motif de satisfaction, la progression est plus lente que lors des années précédentes. 

Securité carte bancaires 2015Securité carte bancaires 2015

Au total, le montant de la fraude sur les cartes françaises s'élève à 416 millions d'euros, en progression de 5,2 % en un an, ce malgré une réduction de 4 % du nombre de cartes concernées par au moins une transaction frauduleuse. Le montant moyen prélevé augmente légèrement à 113 euros.

La répartition des risques n'est pas lisse, et certaines transactions présentent plus de risques que d'autres. Sur les 224,8 millions d'euros de fraude enregistrés sur les échanges « domestiques » (c'est à dire entre acteurs nationaux), près de 65 % concernent des achats sur internet, ou le taux de fraude atteint 0,229 %. Un niveau élevé qui amène la Banque de France à s'alarmer de la situation et à encourager fortement les commerçants de faire appel à des solutions « d'authentification renforcée » telles que 3D-Secure.

Securité carte bancaires 2015Securité carte bancaires 2015

Au chapitre des bonnes nouvelles, les cas de « piratage » de distributeurs de billets, notamment via l'utilisation de skimmers ou de fausses façades sont en net recul, avec 1 215 cas l'an dernier contre plus de 1 600 en 2014. Sur les paiements dits de proximité, c'est à dire via un terminal installé chez le commerçant, le taux de fraude n'atteint que 0,009 %, un chiffre historiquement bas, alors que ce moyen représente les deux tiers des transactions effectuées dans l'Hexagone. 

Le sans-contact progresse, sans générer d'inquiétude particulière

Pour la deuxième année consécutive, l'observatoire s'est également penché sur le cas des paiements sans contact. « Ainsi, sur l’ensemble de l’année 2015, 248,6 millions de paiements sans contact ont été enregistrés pour un montant total de 2 632,3 millions d’euros, soit un montant moyen de 10,6 euros par opération » note la Banque de France, qui a comptabilisé 44 000 cas de paiements frauduleux. Le taux de fraude s'élève donc à 0,019 %. Un niveau très inférieur à celui enregistré lors des retraits d'espèces et sans commune mesure avec les paiements à distance.

Pour les autorités, le constat est donc très positif, d'autant qu'elles notent que « la fraude aux paiements sans contact a pour origine quasi exclusive le vol ou la perte de la carte ». La chance de voir sa carte débitée par un passant dans le métro est donc plus que minime et la pratique est très loin d'être généralisée. Pour rappel, un plafond généralement fixé à moins de 25 euros est imposé sur les transactions unitaires et le code est systématiquement demandé lors d'échanges consécutifs excédant 100 euros.

Securité carte bancaires 2015Securité carte bancaires 2015

Les commerçants sont d'ailleurs de plus en plus nombreux à s'équiper en terminaux compatibles avec le paiement sans contact. Ils seraient ainsi près de 30 % en avril 2016 à pouvoir procéder à ce type de transactions, ce alors que le nombre de cartes dotées de puces NFC était proche des 40 millions en juin 2015. Le terrain devient donc propice à une explosion de cet usage, ce qui semble être le cas dans les faits.

De nouvelles pistes pour la sécurité

Pour limiter les risques, les prestataires de paiement développent de nouvelles solutions pour sécuriser les paiements à distance. Les travaux sont pour l'instant dirigés vers la génération de cryptogrammes temporaires à même la carte. Concrètement, une petite pile et un écran e-ink intégrés à la carte pourraient permettre de générer des codes à trois chiffres au dos différents toutes les heures. 

Certains concepts vont encore un peu plus loin en ajoutant un clavier tactile sur la carte afin d'y entrer un code confidentiel dédié à la génération du cryptogramme. Ce dispositif n'a toutefois que peu de chances d'être industrialisé prochainement au vu de sa complexité. Autre piste envisagée, le couplage de la carte avec une application de reconnaissance biométrique sur smartphone. Cette fois-ci, l'obstacle se trouvera plutôt sur la méthode à employer pour faire accepter un tel mécanisme aux utilisateurs. De même, la fiabilité des relevés biométriques pourrait elle aussi être insuffisante vis à vis du niveau de robustesse attendu par les banques.

Commentaires (40)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Me suis fait avoir dimanche tout est à l’intérieur du distributeur d’essence la carte n’est pas coincé le seul truc qui ne marche pas est la détection de la carte. Tu ne vois absolument rien le distributeur est absolument identique à la normale. (bon après le mec a pas été discret et a démarrer direct alors qu’il avait pas pris d’essence à la pompe, j’ai cramé direct)

votre avatar

Quand on voit les frais bancaires associés aux transactions, on se demande bien ce qu’ils couvrent, car ils sont bien loin devant le taux de fraude!

 

Le pire dans l’histoire c’est que les banques facturent le fait d’utiliser les solutions type 3DSecure… Donc aucun intérêt pour un commerçant de l’utiliser, autant avoir une transaction refusée de temps en temps…

 





Horizon69 a écrit :



Je me suis fait volé la CB juste après avoir composé mon code en début d’année (il m’avais vu taper le code) et la banque ne ma pas remboursé (Boursorama). Donc prudence avec les banque “gratuite”. Une des pistes serait d’avoir une validation systématique sur téléphone pour les grosses transaction (pour les clients qui le souhaite).



Si je ne dis pas de bétise, je pense que tu dois t’adresser à Visa directement. 

Après je me suis aussi fait voler ma CB, et débité 30€ (recharge SFR….. bande de boulets). C’était tellement galère de se faire rembourser avec des formulaires à remplir etc que j’ai abandonné…





XMalek a écrit :



Me suis fait avoir dimanche tout est à l’intérieur du distributeur d’essence la carte n’est pas coincé le seul truc qui ne marche pas est la détection de la carte. Tu ne vois absolument rien le distributeur est absolument identique à la normale. (bon après le mec a pas été discret et a démarrer direct alors qu’il avait pas pris d’essence à la pompe, j’ai cramé direct)



:o Ca existe encore ce genre de trucs?


votre avatar

Le 3d Secure devrait être le minimum syndicale. Sa me fait toujours drôle de payer parfois sur internet et ne pas avoir le 3d Secure derrière.



La meilleur solution serait clairement avec un cryptogramme temporaire à même la carte, ou à récupérer via un site de sa banque, mais j’imagine que ça serait contraignant.

votre avatar







k43l a écrit :



Le 3d Secure devrait être le minimum syndicale. Sa me fait toujours drôle de payer parfois sur internet et ne pas avoir le 3d Secure derrière.



La meilleur solution serait clairement avec un cryptogramme temporaire à même la carte, ou à récupérer via un site de sa banque, mais j’imagine que ça serait contraignant.







Déjà, quand je vois le bordak que c’est pour les numéros de carte bancaire à usage unique (avec l’emploi d’une application qui, jusqu’à une date récente, était en flash, bonjour la sécurité <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> ), je me dis qu’il y a des améliorations à faire de ce côté-là.



En attendant, je dois avoir du bol parce qu’en dix ans d’achats sur le net à tire-larigot, Franbce et étranger, y compris hors CE, les seuls emmerdements avec des moyens de paiement que j’ai eus concernent une fois un chèque, une autre un compte Paypal…


votre avatar

Ben comme marqué dans la news c’est&nbsp; 1215 terminaux en 2015.

votre avatar

En 15 ans de paiements intensifs sur le net à deux, ma femme a eu une fois un retrait frauduleux de 700 euros à 1000km de là où elle se trouvait.



Chose remboursée très rapidement par la banque (c’est une obligation légale), donc rien à redire, pas de préjudice (sauf sans doute pour la banque, évidemment), je ne vois pas pourquoi on ne continuerait pas.



&nbsp;

votre avatar







Horizon69 a écrit :



Je me suis fait volé la CB juste après avoir composé mon code en début d’année (il m’avais vu taper le code) et la banque ne ma pas remboursé (Boursorama). Donc prudence avec les banque “gratuite”. Une des pistes serait d’avoir une validation systématique sur téléphone pour les grosses transaction (pour les clients qui le souhaite).







Boursorama a justement des systèmes de détection assez performants. J’ai fait un retrait de 20€ en Guadeloupe (j’habite en région parisienne), j’avais un sms dans les 5 secondes pour me prévenir qu’un retrait sortant de mes habitudes avait été fait. Pour tous les gros montants, je reçois également un sms de leur part.



Et méfiance avec les pompes a essences. Ca fait plusieurs fois, à la même pompe à essence (automate 2424 pas vraiment surveillé dans une zone éloignée des habitations), assez tard le soir, qu’on me demande de dépanner contre liquide, à cause d’une panne d’essence. Pas de chance, ils tombent tous en panne le soir à la même pompe. Par contre, ils ont de la chance, ils tombent en panne à la pompe…



votre avatar







Commentaire_supprime a écrit :



Pour les paiements sur le net, le système des numéros de CB à usage unique est quand même ce qu’il y a de plus simple et de plus efficace.



Si c’est gratuit, à la limite. Dans les faits ca ne sert pas à grand chose, les mecs ne se font plus chier à casser le TLS, ils volent les cartes ou utilisent des générateurs aléatoires, c’est nettement plus simple.


votre avatar







t-la a écrit :



(…)



Et méfiance avec les pompes a essences. Ca fait plusieurs fois, à la même pompe à essence (automate 2424 pas vraiment surveillé dans une zone éloignée des habitations), assez tard le soir, qu’on me demande de dépanner contre liquide, à cause d’une panne d’essence. Pas de chance, ils tombent tous en panne le soir à la même pompe. Par contre, ils ont de la chance, ils tombent en panne à la pompe…





D’autant que les Distributeurs Automatiques de Carburant (DAC) ont un fonctionnement anachronique : le porteur de la CB accepte le paiement en tapant son code secret (qui vaut signature) avant de connaître le montant de la transaction.



Personnellement, j’ai connu un incident une fois avec un DAC : avant de partir avec mon véhicule, je n’ai pas attendu que l’automate affiche l’écran de fin de session (avec généralement, la formule de politesse type “au revoir, à bientôt”) et le client qui me suivait dans la fil d’attente s’est servi à l’oeil.



Les DAC, c’est comme lesautomates de péage d’autoroute : en matière de sécurisation, il y a des choses à revoir.


votre avatar

<img data-src=" />

votre avatar







Patch a écrit :



Si c’est gratuit, à la limite. Dans les faits ca ne sert pas à grand chose, les mecs ne se font plus chier à casser le TLS, ils volent les cartes ou utilisent des générateurs aléatoires, c’est nettement plus simple.







Merci pour tes précisions. <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Bon, c’est payant à ma banque… À vrai dire, j’ai eu du bol jusqu’ici avec ma CB classique pour les paiements sur le net, zéro problème à ce jour.



Par contre, feu un de mes copains avait eu des crasses avec un site sur lequel il s’était fait pirater sa carte, mais c’était il y a de cela 34 ans…


votre avatar

Perso ma banque m’a fait changer de carte 3 fois cette année suite à des fraudes sur Internet.



Maintenant j’utilise le système de carte virtuelle à courte durée, donc mpossible de payer quoi que ce soit en utilisant les numéros inscrits physiquement sur la carte.



Un peu chiant à l’usage mais au final imparable.

votre avatar

idem que certains, aucun pb, surtout avec une carte temporaire, quand j’ai confiance j’augmente le montant et ça me sert pour plusieurs transactions (même numéro commerçant), c’est assez pratique pour paypal. C’est juste une gymnastique de faire le nettoyage des cartes régulièrement.



Sinon des banques comme number 26 permettent de tout gérer sur son smartphone et donc d’activer la carte que quand on s’en sert via leur app. Et aussi d’avoir les transactions en temps réel, même les demandes d’autorisation de 120€ des DAC passent directement quand elles sont faites.

votre avatar

le cryptogramme a récupérer via le site, c’est proposé en test par la poste

votre avatar

usines a gaz que tout cela.

les cartes virtuelles sont les plus sures.

j’en ai une pour mon abonnement xbox.

validité 2 ans ,montant max 1€.

&nbsp;

votre avatar







Commentaire_supprime a écrit :



Merci pour tes précisions. <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Bon, c’est payant à ma banque… À vrai dire, j’ai eu du bol jusqu’ici avec ma CB classique pour les paiements sur le net, zéro problème à ce jour.



Par contre, feu un de mes copains avait eu des crasses avec un site sur lequel il s’était fait pirater sa carte, mais c’était il y a de cela 34 ans…



Ce qui me gêne quand c’est payant, c’est que tu payes (donc banque gagnante) pour que la banque économise sur ses assurances (donc banque doublement gagnante), et au final tu n’as toujours pas plus de sécurité (à la limite tu sais que le flux n’aura pas été piraté, ou s’il l’a été ca sera totalement inutile, mais ca s’arrête là, il n’y a pas vraiment de niveau de sécurité en plus vu que pour les utilisations frauduleuses les banques doivent déjà rembourser)…



Pour ton pote, pas de bol!


votre avatar

Généralement, il ne faut pas être très pressé. Il serait intéressant dans l’article d’analyser aussi le délai moyen de remboursement par les banques. Chacune a ses petites manières…

votre avatar







eccstasy a écrit :



Généralement, il ne faut pas être très pressé. Il serait intéressant dans l’article d’analyser aussi le délai moyen de remboursement par les banques. Chacune a ses petites manières…






Code monétaire et financier - Article L133-18: "En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L133-18, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu."




Le mot “immédiatement” est ici central.

&nbsp;&nbsp; 



Si ta banque traîne des pieds, la simple mention de cet article leur donnera tout à coup une envie de régler le souci au plus vite (c'est un peu le 'mot magique', au même titre que 'DGCCRF' quand on traite avec des commerçants indélicats) ; et si ta banque continue de faire la sourde oreille, un petit tour par le juge de proximité devrait te donner l'opportunité d'obtenir une indemnité compensatoire supplémentaire.

votre avatar

Open Datas et fraudes bancaires, les piliers faibles de la politique progressiste précipitée (fail sur toute la ligne)<img data-src=" />



Où l’illusion que les antivirus sont efficaces et que tout le monde est gentil, les bisounours sont légions <img data-src=" />

votre avatar

Ca aurait été pareil avec une banque “classique”. Lorsqu’il y a utilisation du code, on estime que c’est de ton fait, c’est à toi de le conserver secret

votre avatar







eccstasy a écrit :



Généralement, il ne faut pas être très pressé. Il serait intéressant dans l’article d’analyser aussi le délai moyen de remboursement par les banques. Chacune a ses petites manières…







La SG avec une fraude à la CB via Paypal, fraude que j’avais déclarée dans l’heure qui a suivi avec demande immédiate de blocage de la CB : c’était réglé dans la semaine pour moi, et le gusse qui a fait le con avec ma CB n’a pas pu se payer des meubles de salle de bain à Leroy-Merlin aux frais de l’assurance de ma banque…



Curieusement, il avait mon identité et mon numéro de portable… et pas remarqué que ma CB arrivait à expiration à la fin du mois.


votre avatar

C’est là que j’apprécie la solution récemment mise en place par le Crédit Mutuel.

Possibilité de désactiver les paiements sur Internet via un bouton unique sur leur appli mobile. La réactivation est tout aussi simple et immédiate.



Cela couplé aux numéros de CB à usage unique, le niveau de protection offert est très bon.

votre avatar

Absolument pas, d’après le Code Monétaire et Financier, la banque n’est pas tenue de rembourser l’usager uniquement en cas de faute de sa part, et ce dans la limite d’une franchise de 150€. La charge de la preuve revient à la banque, qui aura bien du mal à prouver la négligence du client.



L’histoire du code invoquée par les banques, c’est du flan, tout comme leurs assurances bidons (qui finalement se contentent de couvrir cette franchise) alors même que la loi garantit le remboursement du client.



Un petit tour au tribunal de proximité (gratuit) remettra les idées en place d’une banque récalcitrante.

votre avatar

Idem avec la même banque avec quelqu’un qui s’était fait plaisir chez Dell Canada, remboursement dans la semaine.<img data-src=" />



Il y a 10 ans, la carte à puce était quasiment inexistante au Canada, ce qui explique sûrement la fraude dont j’avais été victime…

votre avatar







CounterFragger a écrit :



Idem avec la même banque avec quelqu’un qui s’était fait plaisir chez Dell Canada, remboursement dans la semaine.<img data-src=" />



Il y a 10 ans, la carte à puce était quasiment inexistante au Canada, ce qui explique sûrement la fraude dont j’avais été victime…







Cela reste encore un problème avec les achats outre-atlantique : la puce EMV n’est pas encore banalisée, et tout passe par la piste magnétique.



Dire qu’en Pologne et en Ukraine, ils ont des terminaux EMV partout…


votre avatar

Cet article non abrogé est très clair. Les situations personnelles sont manifestement très variables…



Merci à toi et Commentaire_supprime pour votre retour d’expérience très intéressant. <img data-src=" />

votre avatar

J’ai le service de carte virtuelle sur Fortuneo.

Service gratuit & compte gratuit.

votre avatar



Commentaire_supprime a écrit :

Par contre, côté sites marchands, l’obligation de recréer ab initio un numéro de carte bancaire ordinaire à chaque transaction avec un numéro de CB “jetable”, franchement, ça finit par gaver sévère.

&nbsp;

Moi un site marchand qui garde mes infos de paiement liées au compte, c’est rhédibitoire. D’ailleurs ce serait bien de connaître la ventilation de la fraude entre sites gardant les infos et site les prenant à usage unique.



Mais bon, un n° fixe se retient par coeur… de même que le crypto d’ailleurs, à apprendre et gratter sur toute carte neuve comme mesure simple de sécurité, il est si facile pour qqun a qui on la donne au moment de payer de la passer recto-verso devant une caméra discrète.

votre avatar

Heureusement ApplePay arrive pour relancer la fraude <img data-src=" />

votre avatar

C’est pas possible !

votre avatar

Pour information les skimmers sont maintenant implémentés DANS les distributeurs d’essence, donc aucune chance de les détecter avant de mettre la carte. Donc la captation des informations de carte bancaire automatisée est de plus en plus dure à détecter.

votre avatar



Autre piste envisagée, le couplage de la carte avec une application de reconnaissance biométrique sur smartphone.





Et le smartphone est offert avec la CB ? Et puis ca serait bête de ne pouvoir utiliser sa carte pake on a plus de batterie…

votre avatar

C’est déjà le cas avec les systèmes qui envoient un code par SMS quand tu achètes sur le net, c’est pas super contraignant en pratique.

votre avatar

le seul truc qui peut être volé sur une carte type CB est sa piste magnétique, ou alors via le sans contact, mais les banques rembourse la fraude avéré. Les transactions contacts sont très sécurisés et le craquage d’une puce couterais plus cher que ce que rapporterais la fraude elle-même

votre avatar

Pour les paiements sur le net, le système des numéros de CB à usage unique est quand même ce qu’il y a de plus simple et de plus efficace.



Par contre, côté sites marchands, l’obligation de recréer ab initio un numéro de carte bancaire ordinaire à chaque transaction avec un numéro de CB “jetable”, franchement, ça finit par gaver sévère. Et on se retrouve ainsi avec X numéros de CB sur le site marchand faute d’avoir un écran dédié aux numéros de CB à usage unique…



Là, il y a un gros progrès à faire du côté du codage des sites marchands ! J’en parle parce que j’utilise systématiquement, à quelques exceptions près (paiement en trois fois par exemple), la CB à numéro unique.



3D secure est excellent aussi. Employé par mes soins pour mes achats de rails au Japon, par exemple.

votre avatar







Theloque a écrit :



le seul truc qui peut être volé sur une carte type CB est sa piste magnétique, ou alors via le sans contact, mais les banques rembourse la fraude avéré. Les transactions contacts sont très sécurisés et le craquage d’une puce couterais plus cher que ce que rapporterais la fraude elle-même





C’est ce que m’avait dit mon banquier : “Même si les infos ne sont pas chiffrées, vous n’avez rien à craindre, il y a une assurance”.



Depuis, au taf, je fais pareil, je code comme un étudiant en L1 et je dis que de toute façon je suis dispo en cas de problème <img data-src=" />


votre avatar

ou via deux caméras une en dessous un au dessus et après tu fais tes achats sur le net sur des sites sans 3dsecure….

votre avatar

oui, ou une caméra au dessus du DAB ou DAC avec un truc pour piéger la carte dans le lecteur, il y a plein de possibilités, mais leur mise en œuvre doit être enrayé par le porteur de carte, normalement sur les DAB et DAC il y a des images qui montrent a quoi doit ressembler le lecteur, si ce n’est pas le cas, on y met pas sa carte …

votre avatar

Je me suis fait volé la CB juste après avoir composé mon code en début d’année (il m’avais vu taper le code) et la banque ne ma pas remboursé (Boursorama). Donc prudence avec les banque “gratuite”. Une des pistes serait d’avoir une validation systématique sur téléphone pour les grosses transaction (pour les clients qui le souhaite).

votre avatar

Tout a fait, rester attentif est la meilleur protection. On m’avait fait suivre ce lien qui montre que les escrocs savent pousser loin :https://trustfoundry.net/reverse-engineering-a-discovered-atm-skimmer/



Par contre, sur internet… Cadenas ou pas, on sait jamais si les sites chiffrent ou pas les infos. Ou mieux, si elles sont effectivement enregistrées alors qu’on n’a jamais donné son accord

Cartes bancaires : la fraude gagne encore du terrain

  • Bilan mitigé pour la sécurité des cartes bancaires

  • Le sans-contact progresse, sans générer d'inquiétude particulière

  • De nouvelles pistes pour la sécurité

Fermer