PAPEETE, le 6 mai 2014 - Les fraudeurs sont toujours plus inventifs pour tenter de voler nos coordonnées bancaires. Mais face à eux, des spécialistes comme Michael Toromona, en charge à l’OSB des services de paiement en ligne, luttent au quotidien pour protéger nos informations confidentielles.
A l’heure de l’Internet et du tout-connecté, comment les banques protègent-elles leurs moyens de paiement de la fraude et de la cyber criminalité ?
Concernant les moyens de paiement, le premier est l’espèce, que l’on peut se procurer au guichet d’une banque ou dans un distributeur de billets. Puis vient le chèque, émis par un client pour un fournisseur, évitant de transporter de fortes sommes et risquer un vol. La fin du 20e siècle et le début du 21e ont vu l’avènement de la carte bancaire, moyen de paiement idéal, rapide et sûr. Ce support a consacré la dématérialisation de la monnaie, avec l’émergence du e-paiement, du e-commerce, et du m-paiement, fondés sur la vente à distance.
Cette évolution a été accompagnée d’un renforcement de la protection et de la sécurisation des moyens de paiement par les banques, visant à déjouer les tentatives de fraude déployées par les escrocs en tout genre.
Ainsi, l’objectif premier des banques est de dématérialiser le plus possible la monnaie, afin de réduire au maximum les vols « physiques » (en 2012, en France, les attaques de distributeurs de billets ont augmenté de 73%). Mais au-delà, cette dématérialisation impose la protection des données personnelles, car la fraude s’est adaptée pour subtiliser les données confidentielles des clients et usurper leur identité (les fraudes dans les points de vente ont augmenté de 250% en 2012, et Internet regroupe 61% des opérations frauduleuses globales).
L’enjeu se déplace ainsi de la protection de la monnaie physique vers la protection des données personnelles et la clé est désormais l’authentification des utilisateurs de moyens de paiement dématérialisés.
Quels sont aujourd’hui les risques principaux qui menacent les moyens de paiement physiques ou dématérialisés, et les méthodes pour les contrer ?
La carte bancaire étant devenue le moyen de paiement le plus répandu, les fraudeurs se sont intéressés aux moyens de subtiliser les données confidentielles que celle-ci contient, sans abandonner la contrefaçon de la monnaie fiduciaire (pièces et billets) ou des chèques.
La contrefaçon des billets devient de plus en plus difficile, vu la complexité de leur fabrication, comme la bande métallique, les filigranes multiples et d’autres éléments de contrôle connus uniquement des banques. Ce sont ici les méthodes de fabrication qui protègent les billets. Les chèques eux restent aisés à contrefaire, mais les commerçants disposent par exemple de lecteurs de chèques pour vérifier la conformité technique du chèque, ainsi que l’opposition ou l’interdit éventuels frappant celui-ci.
C’est pourquoi les escrocs se concentrent sur le vol de données personnelles pour accéder aux comptes des clients légitimes et les vider, en plus du vol pur et simple des cartes.
On trouve ainsi des distributeurs de billets modifiés avec un faux clavier posé sur le clavier d’origine pour enregistrer la saisie du code de la carte, ou de faux terminaux de paiement chez les commerçants enregistrant les données saisies. Plus simplement, il faut rappeler aux porteurs de carte de ne jamais quitter des yeux leur carte lorsqu’ils payent sur un TPE, et de toujours saisir le code à l’abri des regards, car un coup d’œil indélicat permet de facilement récupérer l’essentiel. De même, il ne faut payer que sur des sites Internet sécurisés.
L’usurpation des données carte visibles (numéro de carte, date d’expiration et cryptogramme visuel) constitue ainsi la source principale de la fraude sur Internet.
La norme de sécurité 3DSecure, qui rajoute une étape dans la transaction (par exemple envoi d’un SMS de vérification au porteur légitime de la carte), permet de réduire la fraude en question, les fraudeurs ne pouvant pas répondre à la dernière étape, celle-ci n’étant pas liée à une information présente sur la carte.
La protection des données porte également sur les terminaux (ordinateur, tablette ou smartphone) qui peuvent être piratés lors d’un achat en ligne. De même le phishing, ou falsification d’identité Internet, tente de collecter des données personnelles client avec de faux sites de fournisseurs.
La réponse adaptée à ces attaques est le recours aux requêtes de vérification et d’authentification, comme 3DSecure, pour interagir avec le client lors de l’utilisation de son moyen de paiement, tandis que les mots de passe évoluent aussi par le recours de plus en plus fréquent aux codes à usage unique.
La dématérialisation des moyens de paiement entraîne ainsi, dans notre économie interconnectée, une poussée des processus d’authentification tendant vers l’instantané, recours le plus efficace contre le vol de codes d’accès rejouables.
A quelles évolutions doit-on s’attendre du coup pour les banques et leurs moyens de paiement ?
Pour les retraits au guichet, le guichetier donnera au client une carte de retrait à usage unique (dite « one shot »), pour retirer au distributeur, et dissuader d’attaquer le guichet. Pour les distributeurs eux-mêmes, les cassettes abritent désormais des agents chimiques pour maculer irrémédiablement les billets en cas d’effraction. La stratégie de protection est ici basée sur la dissuasion.
Pour les cartes et leur dématérialisation, les données sensibles seront sur des serveurs hautement sécurisés, reliés à un identifiant stocké sur le smartphone du client. Tout paiement se fera par l’authentification du porteur (code gestuel unique ou envoi d’un « one time password » via SMS). La tendance sera finalement de déployer des e-portefeuilles (wallets) n’abritant pas de données cartes, et utilisant uniquement des identifiants activables par la validation instantanée de l’identité du propriétaire. La stratégie de protection est ici fondée sur la tokenisation de l’information (fractionnement des données utiles) et l’instantanéité.
Le smartphone va ainsi devenir un « moyen » de paiement privilégié, connecté à des services en ligne de plus en plus intégrés avec les systèmes d’information des professionnels.
A l’heure de l’Internet et du tout-connecté, comment les banques protègent-elles leurs moyens de paiement de la fraude et de la cyber criminalité ?
Concernant les moyens de paiement, le premier est l’espèce, que l’on peut se procurer au guichet d’une banque ou dans un distributeur de billets. Puis vient le chèque, émis par un client pour un fournisseur, évitant de transporter de fortes sommes et risquer un vol. La fin du 20e siècle et le début du 21e ont vu l’avènement de la carte bancaire, moyen de paiement idéal, rapide et sûr. Ce support a consacré la dématérialisation de la monnaie, avec l’émergence du e-paiement, du e-commerce, et du m-paiement, fondés sur la vente à distance.
Cette évolution a été accompagnée d’un renforcement de la protection et de la sécurisation des moyens de paiement par les banques, visant à déjouer les tentatives de fraude déployées par les escrocs en tout genre.
Ainsi, l’objectif premier des banques est de dématérialiser le plus possible la monnaie, afin de réduire au maximum les vols « physiques » (en 2012, en France, les attaques de distributeurs de billets ont augmenté de 73%). Mais au-delà, cette dématérialisation impose la protection des données personnelles, car la fraude s’est adaptée pour subtiliser les données confidentielles des clients et usurper leur identité (les fraudes dans les points de vente ont augmenté de 250% en 2012, et Internet regroupe 61% des opérations frauduleuses globales).
L’enjeu se déplace ainsi de la protection de la monnaie physique vers la protection des données personnelles et la clé est désormais l’authentification des utilisateurs de moyens de paiement dématérialisés.
Quels sont aujourd’hui les risques principaux qui menacent les moyens de paiement physiques ou dématérialisés, et les méthodes pour les contrer ?
La carte bancaire étant devenue le moyen de paiement le plus répandu, les fraudeurs se sont intéressés aux moyens de subtiliser les données confidentielles que celle-ci contient, sans abandonner la contrefaçon de la monnaie fiduciaire (pièces et billets) ou des chèques.
La contrefaçon des billets devient de plus en plus difficile, vu la complexité de leur fabrication, comme la bande métallique, les filigranes multiples et d’autres éléments de contrôle connus uniquement des banques. Ce sont ici les méthodes de fabrication qui protègent les billets. Les chèques eux restent aisés à contrefaire, mais les commerçants disposent par exemple de lecteurs de chèques pour vérifier la conformité technique du chèque, ainsi que l’opposition ou l’interdit éventuels frappant celui-ci.
C’est pourquoi les escrocs se concentrent sur le vol de données personnelles pour accéder aux comptes des clients légitimes et les vider, en plus du vol pur et simple des cartes.
On trouve ainsi des distributeurs de billets modifiés avec un faux clavier posé sur le clavier d’origine pour enregistrer la saisie du code de la carte, ou de faux terminaux de paiement chez les commerçants enregistrant les données saisies. Plus simplement, il faut rappeler aux porteurs de carte de ne jamais quitter des yeux leur carte lorsqu’ils payent sur un TPE, et de toujours saisir le code à l’abri des regards, car un coup d’œil indélicat permet de facilement récupérer l’essentiel. De même, il ne faut payer que sur des sites Internet sécurisés.
L’usurpation des données carte visibles (numéro de carte, date d’expiration et cryptogramme visuel) constitue ainsi la source principale de la fraude sur Internet.
La norme de sécurité 3DSecure, qui rajoute une étape dans la transaction (par exemple envoi d’un SMS de vérification au porteur légitime de la carte), permet de réduire la fraude en question, les fraudeurs ne pouvant pas répondre à la dernière étape, celle-ci n’étant pas liée à une information présente sur la carte.
La protection des données porte également sur les terminaux (ordinateur, tablette ou smartphone) qui peuvent être piratés lors d’un achat en ligne. De même le phishing, ou falsification d’identité Internet, tente de collecter des données personnelles client avec de faux sites de fournisseurs.
La réponse adaptée à ces attaques est le recours aux requêtes de vérification et d’authentification, comme 3DSecure, pour interagir avec le client lors de l’utilisation de son moyen de paiement, tandis que les mots de passe évoluent aussi par le recours de plus en plus fréquent aux codes à usage unique.
La dématérialisation des moyens de paiement entraîne ainsi, dans notre économie interconnectée, une poussée des processus d’authentification tendant vers l’instantané, recours le plus efficace contre le vol de codes d’accès rejouables.
A quelles évolutions doit-on s’attendre du coup pour les banques et leurs moyens de paiement ?
Pour les retraits au guichet, le guichetier donnera au client une carte de retrait à usage unique (dite « one shot »), pour retirer au distributeur, et dissuader d’attaquer le guichet. Pour les distributeurs eux-mêmes, les cassettes abritent désormais des agents chimiques pour maculer irrémédiablement les billets en cas d’effraction. La stratégie de protection est ici basée sur la dissuasion.
Pour les cartes et leur dématérialisation, les données sensibles seront sur des serveurs hautement sécurisés, reliés à un identifiant stocké sur le smartphone du client. Tout paiement se fera par l’authentification du porteur (code gestuel unique ou envoi d’un « one time password » via SMS). La tendance sera finalement de déployer des e-portefeuilles (wallets) n’abritant pas de données cartes, et utilisant uniquement des identifiants activables par la validation instantanée de l’identité du propriétaire. La stratégie de protection est ici fondée sur la tokenisation de l’information (fractionnement des données utiles) et l’instantanéité.
Le smartphone va ainsi devenir un « moyen » de paiement privilégié, connecté à des services en ligne de plus en plus intégrés avec les systèmes d’information des professionnels.