Paiement en ligne : comment ne pas se faire pirater sa carte bancaire

Le Revenu

Contre les pirates du Web, il n’y a pas une parade miracle, mais des réflexes à acquérir. Guide des bonnes pratiques pour acheter sur Internet.

Vous ne laisseriez pas votre portefeuille sans surveillance ? Pro­té­ger vos cartes bancaires et vos données personnelles peut vous éviter une perte bien supérieure à celle de quelques coupures ! En 2015, 868.400 fraudes ont été relevées pour 71,7 millions de cartes interbancaires émises en France. La facture a atteint 416 millions d’euros, (113 euros par transaction frauduleuse) pour ces cartes, calcule l’Observatoire de la sécurité des paiements, rattaché à la Banque de France.

«Le risque zéro n’existe pas. La sécurité, c’est un ensemble de choses mises bout à bout», affirme Albert Galloy, responsable marketing et innovation de Visa en France. «Les hackers recherchent la facilité», prévient Xavier Lofficial, directeur de la transformation, processus et systèmes d’information de la Société Générale.

Alors ne soyez pas le maillon faible… si vous ne voulez pas que vos données de carte se retrouvent sur le dark web la face cachée du Web, où un hacker pourra les revendre s’il ne les utilise pas lui-même. Paradoxe, la conscience du danger n’empêche pas les comportements à risques : 52 % des Français ont déjà livré leurs données bancaires personnelles alors même qu’ils estiment dangereux de le faire, selon une étude de CSA Research réalisée fin 2016 pour BNP Paribas.

Protégez vos mobiles, tablettes et ordinateurs

Conseil n° 1 : avant chaque achat, lisez les conditions générales des sites, notamment pour vérifier les coordonnées du service clients. 68 % des Français (79 % des jeunes) ne lisent pas les conditions d’utilisation des sites ou des applications qu’ils téléchargent.

Le risque zéro n’existe pas. La sécurité, c’est un ensemble de choses mises bout à bout

Conseil n° 2 : réservez vos paiements aux sites qui cryptent les échanges de données. «Au moment du paiement, en plus de l’adresse avec cadenas et https en haut de la page, qui indique que le site est sécurisé, un cadenas en bas de la page signale qu’il adhère au 3D Secure et requiert une authentification du payeur », décrit Willy Dubost, directeur du département de systèmes et des moyens de paiement à la Fédération bancaire française (FBF). Or, 47 % des Français et 67 % des jeunes n’y prêtent pas attention.

Ne prenez pas exemple non plus sur ceux qui utilisent les mêmes mots de passe pour différents comptes (48 % en moyenne, 62 % des jeunes). Quand un hacker en tient un, il le teste sur tous les sites ! Et complexifiez-les.

Conseil n° 3 : protégez vos ordinateurs des chevaux de Troie qui savent détecter les codes et les numéros de cartes lors de vos achats sur Internet. La Société Générale recommande la solution anti-phishing Trusteer qu’elle met à disposition gratuitement sur son site. L’antivirus gratuit le plus utilisé est Avast, rappelle, de son côté BNP Paribas à ses clients.

Conseil n° 4 : prenez garde au phishing, ces e-mails ou SMS non sollicités qui vous invitent à vous connecter à un faux site bancaire sous un prétexte fallacieux : crédit refusé, carte désactivée… Vous risquez aussi le pharming, une orientation vers de faux sites marchands avec des promesses de bons d’achat, des cadeaux choisis en fonction de votre navigation et de vos centres d’intérêt… Si l’incitation à divulguer des données personnelles (numéro de carte, codes, date de naissance…) vient d’un mail, c’est forcément un piège.

«Aucune banque ne vous invite à vous connecter sur votre espa­ce en ligne à partir d’un mail», assu­re Alexandre Stervinou, chef de la surveillance des moyens de paiement de la Banque de France. Si vous avez un doute, contactez vos banques. «À la demande de certains clients particuliers, notre Cert (computer emergency response teams) intervient pour les aider à se débarrasser de programmes malveillants sur leur poste de travail personnel», indique Thierry Olivier, responsable de la sécurité des systèmes d’information du groupe Société Générale.

Tapez votre code à l’abri des regards indiscrets

Conseil n° 5 : «Au restaurant, ne laissez pas votre carte sur un plateau apporté par le serveur, accompagnez-le au comptoir pour payer. Un commerçant mal intentionné pourrait recopier le numéro de la carte, la date de fin de validité et le cryptogramme visuel à trois chiffres au dos», prévient Pierre Chassigneux, directeur des projets et des risques au GIE Cartes bancaires CB.

Conseil n° 6 : protégez-vous des regards en composant votre code. «Si une caméra ou un complice voit votre code et que l’on vole votre carte ou qu’on en copie la piste magnétique dans la foulée, c’est la porte ouverte à une fraude immédiate depuis l’étranger», indique Willy Dubost, qui appelle aussi à la plus grande méfiance aux distributeurs de billets (DAB) ou de carburant.

Conseil n° 7 : faites immédiatement opposition en cas d’anomalie, notamment si la carte est avalée après trois essais sans erreur de code. « Les pirates savent compromettre les DAB tout en laissant sortir les billets », prévient Régis Fol­baum à La Banque Postale.

Conseil n° 8 : un moyen de prévenir les transactions frauduleuses sur Internet en cas de vol physique de sa carte (à l’origine encore d’un quart des fraudes, le reste provenant des cartes usurpées ou contrefaites), consiste à effacer le code à trois chiffres au dos de la carte. Ce code est demandé par la plupart des sites, du moins en Europe. Ceux qui auraient peur de l’oublier peuvent demander un code dynamique (lire ci-dessous).

Après la prudence, vient la surveillance. Bien sûr, les e-commerçants, les prestataires de services de paiement, les réseaux Visa, Mastercard, American Express et les banques surveillent nos transactions grâce à de puissants algorithmes. Si vous effectuez trois achats à 3 heures du matin, le troisième pourra être suspendu jusqu’à ce que le ­e-marchand suspicieux ou votre banque réussisse à vous joindre.

Vous avez peut-être reçu un coup de fil à 7 heures du matin pour vous demander si vous aviez effectué 2 000 euros d’achat dans la nuit ! «Nous appelons plusieurs dizaines de clients par jour», indique Marc Campi, directeur de la banque en ligne chez BNP Paribas.

Ainsi, un quart des victimes de fraudes bancaires ont été prévenues par les adminis­trations, relève l’Observatoire national de la délinquance et des réponses pénales (ONDRP) dans son enquête « Cadre de vie et sécurité 2011 à 2014 », publiée en septembre 2015. Les banques arriveraient à bloquer près de quatre fraudes sur cinq. Pas toutes ! Dans les deux tiers des cas, c’est encore les victimes qui découvraient les fraudes.

Conseil n° 9 : lisez donc vos relevés et paramétrez des alertes sur tous vos débits dans vos espaces de banques en ligne ou applications mobiles, même de faibles montants. Car les escrocs procèdent souvent par petits pas. Cela permettra aussi de détecter les abonnements mensuels à moins de 10 euros souscrits par mégarde. Trop de clients croient à une bonne affaire sans lire les clauses. Pis, certains tentent de faire passer leurs erreurs d’achat pour des fraudes. Ou sont malheureusement abusés par leurs proches.

De nouveaux outils d’identification

Échaudées, les banques ont donc dressé des pare-feu qui leur permettent de s’assurer que vous êtes bien à l’origine des paiements. Elles ont d’abord généralisé la puce qui vous oblige à saisir votre code secret pour valider vos transactions en magasin.

Puis, la fraude se déplaçant du commerce physique vers Internet, elles vous ont invité à adopter des systèmes d’authentification de plus en plus sophistiqués. De la validation d’un achat par une date de naissance, quasiment abandonnée car la donnée se retrouve sur les réseaux sociaux, elles sont passées à des systèmes renforcés comme le 3D Secure qui consiste à vous adresser un code à usage unique (généralement envoyé par SMS) pour valider vos paiements sur Internet.

Plus de 96 % des Français se sont enrôlés dans le 3D Secure, engendrant une diminution du taux de fraude sur les paiements à distance de 0,321 % en 2011 à 0,228 % en 2015 relève l’Observatoire de la sécurité des paiements.

Malheureusement, les dispositifs d’authentification ne sont enclenchés que par un tiers des e-commerçants, sous prétexte qu’elle leur fait manquer des ventes en refrénant les achats d’impulsion. Et ce sont eux qui décident. Forts de leurs outils d’analyse des risques, les grands marchands comme Amazon peuvent stopper une fraude. Pas les petits.

De mal en pis, une nouvelle fraude est apparue, la «SIM-Swap» : «Certains escrocs se font rééditer une carte téléphonique Sim au nom du titulaire d’une carte usurpée. Ils peuvent ensuite l’utiliser pour valider par SMS des achats frauduleux effectués avec la carte», constate Régis Folbaum à La Banque Postale. Contactez aussitôt votre opérateur et votre banque si un message vous indiquait un changement de la carte Sim de votre portable que vous n’auriez pas demandé.

Bien sûr, les autorités bancaires ont fait rappeler à l’ordre les opérateurs peu vigilants, et les banques déve­loppent à présent des dispositifs d’authentification susceptibles de remplacer les SMS. Lesquels leur sont facturés par les opérateurs quelques millions d’euros par an !

Découvrez les cartes virtuelles à usage unique

Finalement, les solutions qui permettent de payer par carte sans donner son numéro pourraient l’emporter, estime un expert. Créée en 2002 par Visa, l’e-carte bleue, promue notamment par la Société Géné­rale et les Caisses d’Épargne, permet de recevoir par mail un numéro de carte virtuelle à recopier dans la fenêtre de paiement ouverte par l’e-marchand. Le Crédit Mutuel a développé un système équivalent très apprécié : «84 % de nos clients l’utilisent», indique Jean-Luc Dubois, directeur des flux au Crédit Mutuel Arkéa.

Ces cartes à usage unique n’ont qu’un défaut : elles ne permettent pas de retirer un billet de train ou de spectacle dans les automates. Et elles ne sont plus proposées par LCL, qui dit estimer le 3D Secure suffisant, ni par le Crédit Agricole et BNP Paribas, qui misent à présent sur l’essor des nouveaux usages mobiles, à l’instar de la Société Générale.

Cette dernière, la plus avancée en matière de sécurité des paiements, propose depuis 2014, un «Pass sécurité» dans son application mobile. Il suffit d’un mot de passe (six chiffres préalablement choisis) pour valider ses transactions en ligne. Pour chaque demande de paiement sur ordinateur, tablette ou mobile, l’application sollicite le consentement et le code de l’utilisateur qui n’a plus besoin de saisir son numéro de carte, même si c’est bien sa carte qui sera débitée.

En mai 2015, La Banque Postale mettait à son tour en place un système d’authentification dans son application “Mes paiements”. Un code à usage unique destiné à vali­der l’achat y est directement envoyé. « Le degré de sécurité est plus élevé que le 3D Secure », affirme Régis Fol­baum de La Banque Postale.

BNP Paribas lui a emboîté le pas avec sa “clé digitale” disponible sur smartphone dans ses applications Mes Comptes ou Hello bank ! N’hésitez pas à adopter ces dispositifs mobiles. Ils permettent aussi d’effectuer des virements. Et ils commencent à intégrer des solutions plus ergonomi­ques de validation de paiements par empreinte digitale (depuis peu au Crédit Mutuel Arkéa) ou vocale.

Les portefeuilles électroniques vous dispensent aussi de communiquer vos numéros de carte lors de vos achats sur ordinateur et sur mobile. Et ils sont gratuits !

Le pionnier, Paypal, a déjà conquis 20 % des 35 millions d’acheteurs en ligne. Mais les nouveaux portefeuilles des banques et des réseaux de cartes tel Masterpass de Mastercard (accessible à tous quelle que soit leur carte, Visa, American Express…) sont à présent plus sécurisants.

La suite de l’article : Paiement en ligne : comment ne pas se faire pirater sa carte bancaire
Le Revenu – 27/06/2017

 

Share
Share