Il existe trois types de fraudes aux cartes de paiement :
♦ Utilisation par un tiers d’une carte perdue ou volée ; ♦ Contrefaçon d’une carte ; Les cas de contrefaçon concernent la piste magnétique de la carte. En effet, la reproduction de la piste peut permettre une utilisation frauduleuse dans les pays où la technologie de la carte à puce n’est pas utilisée. La copie de la piste magnétique - soit par une personne malveillante, soit grâce à un dispositif placé sur le terminal de paiement ou sur le DAB - est connue sous le nom de "skimming". ♦ Utilisation des identifiants de la carte (numéro, date d’expiration…) par une autre personne que le titulaire alors que celui-ci est toujours en possession de sa carte. Ce type de fraude concerne la vente à distance. |
Pour lutter efficacement contre la fraude, il est nécessaire de bénéficier d’un maximum d’informations et d’être réactif. |
Détecter et caractériser les fraudes |
Le système CB dispose d’une base de données alimentées en permanence : le Système d’Information Cartes Bancaires (SICB). Cet outil est essentiel pour caractériser le plus finement possible les fraudes constatées (mode opératoire, lieu, etc.). Il permet également de détecter très rapidement des opérations potentiellement suspectes, par exemple des retraits inhabituels dans un pays étranger où le niveau de sécurité des opérations par carte est plus faible qu’en France. |
Collaborer avec les forces de l’ordre et la justice |
CB ne peut lutter seul contre les fraudes. Il collabore en premier lieu avec ses membres, à qui il signale toutes les suspicions de fraudes, afin qu’ils puissent prévenir les porteurs concernés. La lutte contre la fraude est un processus communautaire où chaque banque prend la décision finale. Au sein de CB, une équipe dédiée coopère avec la justice, ainsi qu’avec les forces de police et de gendarmerie :
|
Sécuriser les cartes |
Le cœur de la sécurité des Cartes Bancaires CB est la puce, hautement sécurisée. Elle contient des données dont le niveau de protection doit être maximum : clés cryptographiques spécifiques à chaque carte, code secret, qui forme un couple unique avec le numéro de la carte, et le compteur d’essais, qui permet de bloquer la carte au bout de trois codes erronés.
L’ensemble de ces éléments constitue les données de personnalisation des cartes, calculées par les outils cryptographiques de chaque banque émettrice ; ils sont ensuite transmis à des ateliers de personnalisation des cartes agréés par CB et régulièrement audités. Ces ateliers possèdent un niveau de protection, tant sur le plan physique que logique, équivalent notamment à ceux qui fabriquent les billets pour la Banque de France.
Les caractéristiques techniques de la puce sont en constante évolution. Sous l’égide de CB, les fabricants de composants électroniques destinés aux cartes CB doivent ainsi obligatoirement soumettre leurs produits à des tests de sécurité "à l’état de l’art" dans des laboratoires indépendants agréés par L’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). |
Sécuriser les terminaux et les automates |
Ils répondent à des exigences de standardisation et de sécurité principalement élaborés au niveau international par le PCI-SSC pour les terminaux (Payment Card Industry - Security Standards Council). Cet organisme met à jour et diffuse ses spécifications selon un cycle de 3 ans, au terme duquel une nouvelle version s’impose aux industriels qui souhaitent obtenir la certification "PCI" pour leurs nouveaux modèles de terminaux. |
Protections physiques et logiques |
Chaque type de terminal ou d’automate, possède ses propres référentiels de sécurité. Les protections sont d’abord physiques, avec des dispositifs destinés à rendre extrêmement difficile la copie de la piste magnétique notamment sur les DAB ou les automates de paiement, ou encore la frappe du code secret.
Elles sont également logiques, en conformité avec le référentiel PCI- PTS et avec des exigences fortes de chiffrement protégeant le code secret, lors de sa frappe au clavier et tout au long du dialogue entre la carte et le terminal.
Les transactions sur les DAB, les automates de paiement et tout particulièrement les DAC (Distributeurs Automatiques de Carburant) font l’objet d’une demande d’autorisation systématique. |
Sécuriser les données |
Tous les acteurs responsables de la sécurité travaillent ensemble à protéger les données sensibles des cartes de paiement. Sur les systèmes d’information de certains commerçants, des sites de e-commerçants ou des plates-formes de paiement par carte insuffisamment sécurisés, les données sensibles des cartes CB peuvent parfois être la cible de compromissions et peuvent être ensuite utilisées frauduleusement pour réaliser des paiements en vente à distance, des paiements de proximité et des retraits principalement à l’étranger sur des systèmes de paiements peu sécurisés. Il est donc fondamental que, quelle que soit la taille des acteurs concernés (banques, commerçants, prestataires), des investissements adaptés soient consentis dans la sécurisation des données sensibles des transactions par carte. Assurer la confidentialité de ces informations, c’est garantir aux titulaires de cartes CB une protection contre les risques de fraude mais aussi contre les possibles atteintes à la vie privée. |