Le ministère de l'Économie des Finances et de l'Industrie doit recevoir sous peu un rapport très attendu de George Pauget et Emmanuel Constans sur l'avenir des moyens de paiement. C'est dans ce contexte l'UFC-Que Choisir a publié le 16 février une étude faisant état de la sécurité du paiement par carte bancaire sur Internet dans laquelle sont formulées des propositions pour sortir d'une situation perçue comme alarmante.
Les chiffres de l'Observatoire de la sécurité des cartes de paiement sont formels : la sécurité des paiements par carte bancaire n'est pas maîtrisée sur Internet. En France, 5% des transactions par carte bancaire sont réalisées en ligne et représentent à elles seules 33% du coût global de la fraude. Au total, un forfait annuel de plus de 120 millions d'euros (en 2010) est inéquitablement partagé entre acteurs étrangers, commerçants, banquiers et consommateurs.
L'usurpation des données de cartes bancaires est la principale menace, loin devant le vol et la contrefaçon. Un paiement par carte en ligne est réalisable dès lors que l'on possède les informations écrites en clair sur la carte utilisée pour le paiement ; la vulnérabilité est évidente. L'étude évoque quelques méthodes de récupération massives de ces données bancaires :
- Les spywares de type keylogger : logiciels espions conçus pour enregistrer et transmettre toutes les informations saisies à l'aide du clavier ; ces programmes s'installent généralement par le biais de fichiers ou programmes téléchargés sur Internet ou par le branchement de périphériques infectés (clé USB) ;
- Le phishing (ou hameçonnage) : technique qui consiste à soutirer des informations personnelles — en l'occurrence données bancaires — à une victime en se faisant passer pour un interlocuteur de confiance ; les applications sont variées (spam, redirection vers une réplique d'un site connu, borne wifi malveillante, ingénierie sociale…)
- L'attaque des serveurs des commerçants : certains manquements aux principes élémentaires de sécurité comme le non-chiffrement des informations sensibles, permettent aux attaquants la récupération massive de ces informations en clair dès lors qu'ils se sont introduits sur le serveur. L'actualité de 2011 a connu plusieurs scandales dans ce domaine.
Bien que des protocoles spécifiques existent pour répondre à ce besoin de sécurité, la complexité de leur mise en pratique reste trop élevée pour aboutir à une adoption universelle de la part des commerçants. Une concertation des banques à ce sujet permettrait certainement une simplification des procédures d'authentification.
Au-delà de la prévention du risque de fraude, il est également nécessaire d'alléger l'impact sur le consommateur dont les données bancaires ont été usurpées. L'étude met en cause des procédures de remboursement trop lourdes, des remboursements partiels et des contrats d'assurance mal adaptés aux transactions en ligne.
Ce triste constat ne signifie pas pour autant que l'internaute est impuissant. En attendant plus d'harmonie et de sécurité il lui appartient de se prendre en main et de devenir acteur de sa sécurité bancaire. L'étude propose une série de recommandations simples permettant de réduire considérablement le risque et son éventuel impact. Voici quelques exemples :
- Ne jamais répondre par courriel ou par téléphone à une demande d'informations personnelles (ou bancaires). Ces informations pourraient être utilisées pour deviner certains mots de passe ou répondre aux questions secrètes utilisées par certains services d'authentification en ligne ;
- Nettoyer régulièrement son ordinateur avec des logiciels appropriés (antivirus et antispyware) et effectuer des mises à jour (elles peuvent contenir des correctifs de sécurité) ;
- Dans la mesure du possible, ne pas utiliser d'autres ordinateurs que le sien pour effectuer une transaction (éviter autant que possible les ordinateurs publics) ;
- Surveiller régulièrement ses comptes pour être plus réactifs en cas de fraude.
Pour permettre au consommateur de jouir de tous ses droits et de bénéficier de paiements sécurisés l'UFC Que choisir conclut sur la demande suivante :
"L’UFC-Que Choisir demande :
- Pour améliorer la prévention contre la fraude :
- L’envoi systématique par les banques de confirmations de paiement sur internet via les espaces personnels des sites bancaires et par SMS ou email ;
- L’obligation pour tout professionnel stockant des données de cartes bancaires de déclarer à leurs clients, quand ils surviennent, des attaques de serveurs et/ou des vols de données personnelles, bancaires ou de cartes bancaires ;
- L’obligation pour les banques de centraliser les fraudes subies par leurs clients et de les transmettre aux services judiciaires.
- Pour sécuriser le système de paiement par carte bancaire sur internet :
- L’adoption obligatoire, au niveau français, d’un système d’authentification unique et non rejouable, mis en place en concertation entre banquiers, commerçants et représentants des consommateurs ;
- L’ouverture d’une réflexion au niveau européen pour uniformiser ces mêmes procédures d’authentification lors des paiements par carte bancaire sur internet.
- Pour une réparation totale du préjudice subi par le client victime de fraude, le remboursement intégral des frais causés par les suites de la fraude (frais de découverts éventuels, remplacement de carte, recherches documentaires, etc.)."
Il est important de comprendre et de ne pas oublier que l'amélioration de la sécurité des paiements sur Internet ne peut se faire sans un investissement réel de la part de l'internaute qui constitue bien souvent le maillon faible de la chaîne. S'il n'est pas conscient du rôle qu'il joue dans la confidentialité de ses informations sur Internet ou dans le monde réel, il est difficile de concevoir pour lui un système de protection efficace.
En savoir plus
Lire le commentaire de l'étude sur le site de l'UFC Que Choisir :
www.quechoisir.org/argent-assurance/banque-credit/service-bancaire/communique-fraude...
Télécharger l'étude sur le site de l'UFC Que Choisir (fichier pdf — 1.1 Mo) :
image.quechoisir.org/var/ezflow_site/storage/original/application/83f4417e31338af6bb5499bf735ebb0d.pdf
Visiter le site de Observatoire de la sécurité des cartes de paiement :
www.banque-france.fr/observatoire/home.htm