Fraude la carte bancaire sur internet: lUFC-Que Choisir donne les codes pour une scurit renforce !

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Sommaire

I Constats : une fraude internet en augmentation constante 1 - Un taux de fraude sur les CB qui monte 2 - La fraude des cartes sur internet, une fraude non matrise 3 - Internet : 5% des transactions, mais 33% du cot de la fraude ! 4 - Qui paie cette fraude ? II Les causes de cette fraude la carte bancaire 1 Origine du problme : lusurpation des donnes de cartes bancaires 2 Lchec du 3D Secure en France 3 Lexemple Anglais : le 3D Secure fait baisser la fraude quand il est massivement utilis III La fraude la carte bancaire, une plaie au quotidien pour les consommateurs 1 En thorie, une rglementation trs protectrice sur les fraudes internet 2 Dans les faits, de nombreux freins au remboursement des consommateurs 3 Autre consquence : lassurance des moyens de paiement, peu utile et surfacture

3 3 4 5 7 9 9 12 16 21 21 22 26

IV Conseils aux consommateurs pour viter les fraudes la carte bancaire sur internet 27 V Demandes de lUFC-Que Choisir sur la scurit de la carte bancaire sur internet 29

2 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

I Constats : une fraude internet en augmentation constante

1 - Un taux de fraude sur les CB qui monte La carte bancaire est le premier moyen de paiement en France depuis 2002. A cette date, 46,2 millions de cartes bancaires CB taient en circulation. Depuis cette date, le nombre de cartes bancaires a encore augment de 30% pour atteindre prs de 60 millions de cartes CB en 2010, auquel il faut ajouter les cartes bancaires non marques CB (environ 4 millions de cartes). Le nombre de paiements a galement augment sur la priode dans une proportion similaire : +20,7%.

Aujourdhui, la carte bancaire est lorigine de 45% des paiements de proximit. Cette domination est encore plus pousse sur les paiements distance, puisque 80% des paiements distance se font par carte bancaire (chiffres FEVAD). La carte bancaire est donc, plus que jamais, un moyen de paiement de masse utilis par lensemble des Franais et un instrument privilgi de la vie conomique. Cependant, en dpit de cette massification encore accrue des paiements par carte bancaire, la scurit des paiements par carte bancaire a connu une volution contraste. Pour cet aspect, nous nous appuierons sur les tudes de lObservatoire de la scurit des cartes de paiement, comit regroupant consommateurs, commerants, metteurs et autorits publiques, qui ralise chaque anne un audit du fonctionnement des systmes de paiement par carte, et de la fraude la carte bancaire en particulier.

3 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Des statistiques de lObservatoire nous observons : Quentre 2003 et 2007, le taux moyen de fraude sur les paiements par carte bancaire en France a diminu. Cette diminution correspondant la gnralisation des systmes EMV (Europay Mastercard Visa) tant en France -le GIE Cartes Bancaires n'a adhr au systme qu'en 2006, mais son systme en tait dj trs proche- qu'en Europe, o beaucoup de pays utilisaient avant cela des cartes bancaires pistes magntiques. Ce standard gnralise l'usage de la carte puce et du code confidentiel PIN , systme beaucoup plus scuris que les cartes pistes magntiques -la puce n'tant pas copiable- ce qui accrot fortement la scurit des paiements de proximit.

Cependant, en dpit de la mise en place du standard EMV, la fraude sur la carte bancaire recommence augmenter sans discontinuer depuis 2007 : entre cette date et 2010, le taux de fraude a ainsi connu une hausse de 17,5%.

Quelles sont les causes de cette hausse, et ses consquences pour les consommateurs ?

2 - La fraude des cartes sur internet, une fraude non matrise Le dtail des chiffres contenus dans les rapports annuels de l'Observatoire de la scurit des cartes de paiement permet de comprendre lorigine de cette hausse de la fraude, qui est concentre sur les paiements sur internet. En effet : Le taux de fraude des paiements de proximit est divis par deux sur la priode. Dj trs bas (0,024%), le taux de fraude sur les paiements de proximit est aujourd'hui totalement marginal (0,012%). A ce niveau de fraude, on peut dire que la scurit de la carte bancaire pour les paiements de proximit est matrise. Il convient cependant de noter que le taux de fraude sur les retraits est aujourdhui deux fois plus lev que sur les paiements (0,024%), et en hausse depuis 2005. En revanche, le taux de fraude sur les paiements internet nationaux est 23 fois plus lev : 0,276% du montant de ce type de paiement. Il y a donc, sur internet, 1 euro de fraude tous

4 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

les 360 euros dpenss. Au total sur ce type de paiement il y a plus dune fraude (1,18 fraude) chaque minute de lanne ! Ainsi, en seulement 5 ans, le taux de fraude sur les paiements nationaux a augment de 32,7%. Ces paiements reprsentent en montant 97% du total des paiements internet en France. Le taux de fraude sur les paiements internationaux est encore plus lev : 1,36% en 2010 ! Ce taux a doubl entre 2006 et 2008 (+102% en trois ans !), avant de connatre une diminution qui, si elle est significative (-25%), ne compense pas la hausse vcue en dbut de priode. Entre 2006 et 2010, la hausse de la fraude sur les paiements internationaux est trs importante (51,5%). Au final, le taux de fraude actuel est incroyablement lev : 1,36% !

A noter galement que la fraude sur les paiements distance hors internet -donc les paiements effectus par courrier ou par tlphone- est galement en hausse. Sur les paiements nationaux, cette fraude est ainsi passe de 0,194% en 2002 0,231% en 2010, et sur les paiements internationaux, de 0,684% 1,193%. Cependant, les montants en jeu tant bien plus limits (27,3 millions deuros pour la fraude nationale, soit le tiers de la fraude sur internet : 7,8 millions deuros sur la fraude internationale, un chiffre en baisse), nous nous focaliserons sur la fraude internet, dont lenjeu nous semble plus considrable. Ainsi, ltude de ces statistiques rvle clairement que la hausse globale de la fraude sur les paiements par carte bancaire entre 2002 et 2010 est due une forte hausse de la fraude sur les paiements internet. Mais quel est le cot de cette fraude ?

3 - Internet : 5% des transactions, mais 33% du cot de la fraude ! La fraude globale sur les paiements par carte bancaire a cot en 2010 prs de 370 millions deuros. Ce cot global a augment de 50% depuis 2002, un chiffre bien suprieur (comme signal plus haut) la croissance du nombre de paiements par carte bancaire sur la priode (+20,7%).

5 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Le cot de la fraude sur internet est dtaill dans les rapports annuels de lObservatoire des moyens de paiement depuis lanne 2006, anne qui concide dailleurs avec la monte en puissance du ecommerce. Force est de constater quinternet constitue une part grandissante des montants frauds.

Ainsi, en 2006, le montant des fraudes internet ne reprsentait que 13,3% du total de la fraude sur la carte bancaire. En 2010, soit seulement 5 ans plus tard, la fraude sur internet reprsentait 120,1 millions deuros, et un tiers de la fraude totale ! Ce chiffre est dautant plus important que les paiements par internet ne reprsentent que 5% du total des paiements effectus en France. Ainsi, internet reprsente 5% des paiements, mais 33% de la fraude ! En recoupant le montant total de la fraude internet en 2010 et le montant moyen dune fraude cette anne-l (119 euros pour une carte interbancaire), on se rend compte quau total il y a eu plus d1 million de fraudes sur internet en 2010, soit deux fraudes par minute en France ! Le graphique ci-dessus est particulirement parlant : alors que la fraude traditionnelle est assez stable depuis dix ans aux alentours de 240 millions deuros priode o le nombre doprations a augment de 20,7% sur la priode, la fraude internet est venue progressivement sajouter la fraude traditionnelle pour devenir le poste unique de croissance de la fraude. Ce montant et cette proportion de fraude est dautant plus inquitant que le march franais du paiement en ligne nen est qu ses dbuts : 31 milliards deuros en 2010. A cette mme date, le Royaume-Uni, pays la population et au PIB trs proche de celui de la France, a effectu 63,4 milliards deuros de paiements (54 milliards de livres) en ligne en 2010, ce chiffre continuant bien sr crotre. Par consquent, taux de fraude inchang, une France qui rattraperait les pratiques de paiements distance du Royaume-Uni aurait un montant de fraude de 536 millions deuros, dont 268 millions rien que sur la fraude sur internet. Pour un commerce lectronique reprsentant 25% de lensemble du commerce, chiffre considr comme plausible dici 2020 dans la plupart des tudes (voir notamment ltude du Crdoc de

6 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

novembre 2010 Quel commerce pour demain ? La vision prospective des acteurs du secteur, o les professionnels tablent sur un e-commerce 25%), la fraude atteindrait les 850 millions deuros ! Il semble ainsi indispensable de juguler la fraude sur internet, sans quoi le montant des fraudes risquerait dtre prjudiciable la fois au consommateur, mais aussi au commerce lectronique dans son ensemble.

4 - Qui paie cette fraude ? Le montant de la fraude sur la carte bancaire pourrait navoir aucune importance sur le commerce si celle-ci ntait paye que par les banquiers, distribuant aprs tout les moyens de paiements leur clientle. Or, ce nest pas le cas. Les chiffres de lObservatoire de la scurit des cartes de paiement montrent que la fraude est supporte par 4 types dacteurs : ltranger, le banquier, le commerant et le client (le porteur de la carte). Daprs ce mme observatoire, pour lanne 2009, la rpartition du cot de la fraude se ferait de la manire suivante : Les acteurs trangers (commerants ou banquiers) supportent une part importante de la fraude, du fait des conventions internationales existantes dans le domaine bancaire qui partagent les responsabilits lors des paiements dans le cadre de lEMV et du 3D Secure. En 2009, ces acteurs trangers ont support 94,5 millions deuros En dehors de cette part, les 247,9 millions deuros restants sont partags de la manire suivante : - 56,5% sont supports par les commerants, soit 140 millions deuros ; - 41,1% sont supports par les banquiers, soit 102 millions deuros ; - 2,3% sont supports par les consommateurs, soit 5,8 millions deuros. Il sagit de la fraude paye directement par le consommateur, cest--dire lensemble des sommes dtournes avant opposition pour les paiements traditionnels, des sommes non rembourses ou non rclames par les clients pour les paiements en ligne et de la franchise paye par les consommateurs frauds en cas de faute lourde (NB : ces sujets seront approfondis un peu plus loin dans ltude).

7 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Or, dans la ralit, et comme toute consommation intermdiaire , les sommes payes par le commerant et le banquier sont refactures au consommateur final quest le client. Ainsi : Le commerant paie la fraude travers le TICO (Ticket commerant), qui est inclus dans la commission dinterchange paye par le commerant sa banque Et rpercute au consommateur sur le prix de vente ! Le banquier refacture le cot de la fraude son client via ses diffrents tarifs bancaires, et en particulier via lassurance des moyens de paiement (voir plus bas).

Les consommateurs sont donc bien les principales victimes. En ralit, les banquiers qui distribuent leurs clients des cartes bancaires dont la scurit sur internet semble problmatique, ne supportent pas le cot du produit dfectueux quest la carte bancaire dans les paiements sur internet Ds lors quils nen subissent pas les cots, les banquiers nont donc aucune incitation amliorer la scurit de la carte bancaire. Nous voyons ainsi que la hausse globale de la fraude la carte bancaire constate dans les statistiques de lObservatoire de la scurit des cartes de paiement est principalement due la fraude internet, laquelle prsente des taux de fraude incroyablement plus levs. Aprs ce constat, nous allons chercher comprendre pourquoi la fraude la carte bancaire sur internet est bien plus leve que la fraude la carte bancaire sur les paiements de proximit.

8 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

II Les causes de cette fraude la carte bancaire

1 Origine du problme : lusurpation des donnes de cartes bancaires L encore, ltude des statistiques de lObservatoire de la scurit des cartes de paiement permet de comprendre lorigine principale de la fraude sur les cartes bancaires. En effet on constate : Quentre 2002 et 2007, la fraude tait issue principalement des pertes ou vols des cartes bancaires. Ce poste reprsentait quasiment la moiti de la fraude. Les cartes contrefaites constituaient galement un poste important : cette poque en effet, la piste magntique de la carte bancaire pouvait tre copie pour tre utilise dans les pays frontaliers utilisant des terminaux de paiement piste, ou en France sur les quelques systmes utilisant la piste (autoroutes par exemple). Lusurpation des numros de cartes taient galement importantes, mais sans dpasser les vols ou pertes de cartes.

Lanne 2008 constitue un tournant radical dans les causes de la fraude : les numros de cartes usurps deviennent fortement majoritaires dans les causes de la fraude, alors que les cartes perdues ou voles dclinent fortement, et que les cartes contrefaites, dj en dclin sur les deux annes prcdentes, deviennent trs marginales. En 2010, lusurpation des numros de cartes constitue prs des deux tiers de la fraude issue de la carte bancaire (62,6%).

LObservatoire de la scurit des cartes de paiement dcrit lusurpation du numro de carte comme une situation o le numro de carte dun porteur est relev son insu ou cr par moulinage ( laide de gnrateurs alatoires de numros de carte) et utilis ensuite en vente distance . Le centre du problme de la fraude la carte bancaire semble donc bien tre lutilisation du numro de carte pour effectuer les paiements sur internet. Les donnes fixes de carte bancaire, facilement copiables Les systmes de paiements de proximit par carte bancaire utilisent un double dispositif :
9 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

La puce, infalsifiable ; Allie au code PIN, confidentiel.

Ce double dispositif permet dobtenir une scurit convenable sur les paiements de proximit, la puce protgeant les porteurs dune copie de leur carte, le code confidentiel (et le blocage automatique au bout de 3 essais manqus) assurant au systme que lutilisation de la carte est bien faite par le porteur. Jusqu trs rcemment, rien de tel na t dvelopp pour les paiements en ligne par carte bancaire. La plupart des paiements internet en France se basent encore aujourdhui uniquement sur des donnes statiques : Les numros de la carte bancaire figurant au recto de la carte ; La date de validit de la carte bancaire ; Le cryptogramme visuel (CVx2, les trois derniers chiffres larrire de la carte).

Ce dernier lment a t ajout au dbut des annes 2000 dans le but de renforcer la scurit contre les copies de cartes (ce numro ntant pas en relief, il est plus difficile copier au fer repasser ).

Ces donnes prsentent la particularit dtre valables aussi longtemps que dure la carte, cest-dire tant quaucun remplacement pour fraude, perte ou vol qui entranent lattribution dune nouvelle carte avec de nouveaux numros nest effectu. Elles peuvent ainsi durer plusieurs annes, voir des dcennies En ralit, jusqu ce que la carte fasse lobjet dune opposition ! Ce qui laisse autant de temps aux fraudeurs pour capturer les donnes de carte bancaire, puis les utiliser tant que le client ne se rend pas compte de la fraude. Mthodes de rcupration des donnes de cartes bancaires Les fraudeurs disposent de diffrents moyens pour rcuprer les donnes de carte bancaire dun client :

10 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Les Spywares (ou espiogiciels) : ce sont des programmes malveillants qui sinstallent automatiquement souvent depuis un logiciel gratuit prcdemment tlcharg sur lordinateur, afin denregistrer les mots de passe ou codes confidentiels taps par lutilisateur sur son clavier. Ces donnes sont ensuite envoyes directement au fraudeur par le programme ; Via le Phishing (ou hameonnage), qui consiste pour un fraudeur se prsenter, le plus souvent dans un mail, comme un des fournisseurs du consommateur (sa banque, sa socit de cartes de crdit ou sa compagnie de tlphone) afin de lui soutirer des renseignements personnels : le plus souvent son numro de carte bancaire et/ou le code confidentiel de cette carte, mais galement ses numros de compte bancaire, sa date de naissance, etc. En dpit de leur orthographe franaise souvent approximative, les messages qui sont envoys ressemblent beaucoup et de plus en plus de vrais messages , notamment parce quils reproduisent les logos des fournisseurs et proviennent dadresses mails trs proches de celles de ces mme fournisseurs. Beaucoup de consommateurs se laissent ainsi abuser par ce type de message : le fait quils fournissent eux-mmes leurs donnes de cartes bancaires aux fraudeurs rend trs difficile le remboursement des montants frauds, alors mme que ce type de message se multiplie.

Des serveurs de stockage des donnes srs en thorie ! Dernire possibilit de rcupration des donnes : lattaque directe des serveurs des commerants, o sont stockes les donnes de cartes bancaires. Depuis 2005, les grands metteurs de cartes bancaires (Visa, Mastercard, American Express, etc.) ont mis en place un standard commun nomm PCI DSS qui constitue un ensemble de bonnes pratiques (regroupes en 12 exigences) pour la scurisation des sites conservant les donnes de cartes bancaires sur internet. Aujourdhui, un commerant qui souhaite stocker des donnes de cartes bancaires doit obligatoirement passer par ce standard (obligation dcoulant de larticle 226-17 du code pnal et des articles 34 et 34bis de la Loi informatique et liberts).

11 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

A noter que ce standard international reprsente une contrainte et un cot important pour les commerants : en effet la norme PCI DSS repose sur une certification obligatoire, assure par des cabinets de certification anglo-saxons trs onreux. De mme, du fait de laspect international de la certification, les commerants franais sont obligs de certifier les paiements par piste, trs frquents aux Etats-Unis mais totalement marginaux en France. L-encore, ces cots sont rpercuts sur le prix de vente au consommateur. Or, malgr ce cot, la norme PCI DSS nest pas pour autant synonyme de scurit absolue. Ainsi : Entre octobre 2006 et avril 2008, un clbre pirate informatique, Albert Gonzales, est parvenu simmiscer dans les serveurs de loprateur de paiement Heartland Payment Systems et du supermarch Hannaford Brothers et drober 130 millions de numros de cartes bancaires, quil revendait des fraudeurs entre 10 et 100 dollars lunit ; Fin avril 2011, Sony avait d fermer sa plateforme de jeux Playstation Network aprs une attaque informatique et le vol des donnes de 77 millions de comptes joueurs, dont 10 millions contenant des donnes de cartes bancaires.

Par consquent, malgr la norme PCI-DSS, les donnes de cartes bancaires peuvent tre drobes et utilises pour des paiements frauduleux. Cependant, contrairement aux oprateurs tlphoniques, qui depuis le Paquet tlcom 2009 (transpos en droit franais en 2011), doivent notifier quand elles surgissent les violations de donnes personnelles des abonns, tous les autres oprateurs conservant des donnes de cartes bancaires nont aucune obligation dinformer les consommateurs de la survenance dune effraction sur leurs serveurs. Ce qui empche les consommateurs de prendre les mesures de prcaution qui simposent : surveillance de leurs comptes, dclaration de fraude le cas chant ou opposition la carte bancaire. Le problme des numros de carte bancaire, et les interrogations lies la scurit sur internet ont pouss les oprateurs de cartes bancaires renforcer les contrles des paiements par carte bancaire en mettant en place le 3D Secure.

2 Lchec du 3D Secure en France Le dispositif 3D Secure, mis en place en France partir de 2008, part de lide qutant donn que les donnes fixes de la carte peuvent tre facilement captures et rutilises pour effectuer des paiements frauduleux, il convient de sassurer, lors du paiement sur internet, que cest bien le possesseur de la carte qui effectue le paiement. Ce qui passe donc par la mise en place dun mcanisme dauthentification du porteur appel authentifiant . En change de la mise en place de ce mcanisme par les commerants, les banques acceptent de supporter le cot de la fraude rsiduelle. La premire gnration de 3D Secure : un systme mort-n La premire gnration du 3D Secure ajoutait ainsi aux informations de la carte bancaire (saisies sur le site du e-commerant), une seconde page internet issue de la banque du client et lui demandait de confirmer par la saisie d'une information personnelle (le plus souvent sa date de naissance, mais galement un mot de passe ou la rponse une question personnelle) quil tait bien le propritaire de la carte.

12 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Cette premire gnration de 3D Secure a t fortement critique tant par les professionnels de la montique que par les commerants et les consommateurs. En effet : Avec la naissance et la gnralisation des rseaux sociaux (Facebook, etc.), nombre de donnes personnelles sont devenues publiques : c'est le cas en particulier de la date de naissance, qui fait partie des informations de base de Facebook mais souvent galement de tous les sites professionnels ou para-professionnels (hbergeant des C.V par exemple) ; Ce systme ncessite de passer par une page en plus (celle de la banque), ce qui offre une occasion supplmentaire pour un pirate informatique de faire surgir une page d'hameonnage (phishing) avant la vraie page de la banque afin de rcolter l'authentifiant ; Ces donnes d'authentification sont toujours inscrites l'aide du clavier : ce dispositif n'entrane par consquent aucune scurit supplmentaire pour un ordinateur vrol par un spyware (logiciel espion). Le client se fera capturer en mme temps les codes de la carte bancaire et l'authentifiant. Surtout, ces donnes sont toujours des donnes statiques , fixes, et dure de vie longue. Il suffit donc que l'authentifiant soit captur une fois pour qu'il puisse resservir durant toute la dure de la carte bancaire.

En plus de ces problmes de scurit, l'chec du 3D Secure a t consacr par la faible adhsion des commerants au systme. En effet, pour que le 3D Secure fonctionne, deux entits doivent avoir adopt le 3D Secure : la banque du client, mais galement le commerant faisant l'objet de la transaction. Or, si les banques ont toutes adopt ce systme, seul un faible nombre de commerants a adopt cette premire gnration du 3D Secure. En particulier, les grands commerces lectroniques, les quelques dizaines de sites ralisant la plupart des transactions sur internet, ont refus de l'adopter. Ceux-ci ont en effet dclar que l'adoption du 3D Secure avait entran une perte de 10 30% du chiffre d'affaires selon le type de commerants : perte due selon eux, la complexit supplmentaire induite par l'authentification du paiement, qui dcourage la fluidit de l'achat et augmente ainsi les abandons d'achats. Par consquent, de nombreux commerants ont prfr supporter le cot de la fraude plutt que d'adopter le 3D Secure, d'autant plus que, comme nous l'avons vu, ce cot est in fine support par les consommateurs.

13 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

La seconde gnration de 3D Secure : un systme dauthentification forte mais aucune concertation Face lchec de la premire gnration, les systmes de carte bancaire et les banques ont mis en place une seconde gnration de 3D Secure, base sur une scurisation plus pousse du numro dauthentification. Dans ce nouveau systme, le numro de tlphone utilise une authentification forte car utilisant un numro dit dynamique car non-rejouable. Le numro non-rejouable prsente un avantage essentiel par rapport la premire version du 3D Secure : un authentifiant qui serait captur par un fraudeur durant un paiement ne peut tre rutilis. Un grand nombre de banques a adopt le 3D Secure. Cependant cette mise en place ne sest pas faite de manire concerte Il existe ainsi plusieurs systmes dauthentification diffrents : Un code usage unique obtenu par SMS (BNP, Socit Gnrale, Crdit Agricole, etc.) ; Une combinaison de codes usage unique dlivrs au moyen dune carte papier (Crdit Mutuel, CIC) ; Un code dlivr par un lecteur de carte fourni au client (Banque Populaire) ; Un code usage unique obtenu par serveur vocal (certains cas de Groupama Banque)

A noter que certaines banques font coexister plusieurs systmes, ce qui rend plus difficile la comprhension du systme. Par exemple, Banque Populaire laisse le choix entre lutilisation dun lecteur de carte ou lenvoi dun SMS. Ce qui concrtement, donne lieu un texte explicatif compliqu pour le client :

14 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

A noter galement que dans un certain nombre de cas, comme indiqu ci-dessus, lutilisation des dispositifs rejouables (date de naissance, codes confidentiels, questions secrtes) est toujours dactualit, ce qui complexifie encore plus la procdure. Au final, ce sont donc 8 procdures diffrentes qui peuvent se prsenter au consommateur selon sa banque, son quipement, et la souscription ou non du commerant au 3D Secure. Cette complexit a entran, l encore, une faible adhsion des e-commerants cette seconde gnration du 3D Secure. Certes, 40% des e-commerants lont adopt, mais ceux-ci ne reprsentent quenviron 10% des paiements par carte et 15% des montants. Les grands ecommerants, c'est--dire la vingtaine de sites internet qui ralise la grande majorit des transactions en ligne, nont pas adopt ce systme. Pour la plupart des paiements en France donc, les authentifiants ne sont donc jamais utiliss et le paiement est effectu simplement avec les numros fixes de carte bancaire. Largument des commerants est que la multiplication des systmes dauthentification, due labsence de concertation entre les banques et entre banquiers et commerants, fait que les clients sont drouts au moment de lauthentification. Ils prfreraient alors abandonner le paiement, voire mme faire leurs achats sur des sites nutilisant pas le systme dauthentification. Dautres problmes se posent galement. Par exemple, pour les comptes joints, il nest souvent possible, que de mettre seulement 1 seul numro de tlphone pour lenvoi du SMS de confirmation : par consquent le conjoint qui na pas entr son numro ne peut pas utiliser la carte de son compte joint sur internet. Le 3D Secure pose galement un problme pour les paiements rcurrents, diffrs ou fractionns : le code dauthentification non rejouable ntant valable que trois jours, ces paiements ne sont pas valids et le commerant doit alors recontacter son client pour effectuer de nouveau le paiement, avec un nouveau code dauthentification. Cette critique des commerants vis--vis du 3D Secure n'est pas infonde : en effet lefficacit du dispositif souffre de la multiplication des dispositifs, qui a empch la mise en place dune campagne dinformation claire des consommateurs sur le processus dauthentification des paiements sur internet. Sans information, ceux-ci ont donc dcouvert en direct avec plus ou moins de bonheur les dispositifs mis en place par leur banque, lors des achats. Les clients ont donc pu tre drouts par ces nouvelles demandes, certains clients craignant mme que la page supplmentaire dauthentification soit une page de hameonnage ou que le SMS envoy soit un spam ! Ceci tant, il est probable qu'une partie (sans doute faible), des tentatives d'achats -et du chiffre d'affaires perdu- bloques par le 3D Secure soit des tentatives de fraude Et quune autre partie

15 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

des abandons dachat rsulte du freinage des achats impulsifs frquents sur internet, freinage rsultant de cette page de validation supplmentaire cre par le 3D Secure.

3 Lexemple Anglais : le 3D Secure fait baisser la fraude quand il est massivement utilis Lchec du 3D Secure en France est dautant plus regrettable que cette technologie semble -sans tre videmment la panace- permettre de diminuer la fraude la carte bancaire sur internet. Les comparatifs internationaux montrent que le 3D Secure est bien plus dvelopp chez nos voisins europens quil ne lest en France. Ainsi le Panorama effectu par Ogone oprateur de paiement internet prsent dans 7 pays dEurope montre que de ces 7 pays, la France est celui qui utilise le moins le 3D Secure. Dans les 6 autres pays, lutilisation du 3D Secure est en moyenne 5 fois plus leve quen France !

La palme de lutilisation du 3D Secure revient au Royaume-Uni, o la quasi-totalit (96% daprs Ogone) des transactions sur internet utilise ce systme. Ce pays est galement celui o, quand le systme 3D Secure est utilis, le taux dchec dauthentification, cest--dire le nombre de fois o les clients narrivent pas utiliser les dispositifs de scurit, est le plus faible : seulement 3%, contre 13% pour la France qui arrive l-encore en dernire position. En prenant en compte cette autre donne, le taux des paiements entirement 3D Secure qui arrivent jusquau bout du processus nest en France que de 11,3%.

16 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Au vu de cette utilisation massive et de ce faible taux dchec dauthentification, nous nous sommes penchs sur le systme retenu au Royaume-Uni pour comprendre les raisons de cette adhsion unanime l o en France la plupart des commerants rejette le 3D Secure et pour valuer son impact sur la baisse de la fraude sur internet. Un cercle vertueux entre procdure unique et adoption massive des commerants Le systme mis en place au Royaume-Uni prsente une diffrence fondamentale avec le systme Franais : il sagit dune procdure unique, mise en place suite la concertation de lensemble du march. Le dispositif retenu est en effet identique entre tous les oprateurs de carte bancaire (Visa, Mastercard, American Express), et entre toutes les grandes banques britanniques (HSBC, RBS, Lloyds, Barclays). Quant au dispositif dauthentification lui-mme, il sapparente la premire gnration du 3D Secure. Il sagit en effet dun mot de passe secret dfini pralablement par le consommateur auprs de sa banque (via son espace personnalis sur internet par exemple) qui lui sera demand comme authentifiant lors de la seconde tape du paiement.

17 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Lavantage de ce systme unique est quil a permis une appropriation facile par le consommateur anglais : le systme du mot de passe est connu dans le cas dautres utilisations sur internet : pour tous les espaces personnels mais galement dans les processus de rcupration didentifiant (en cas de perte dun code didentification donn par le professionnel). Le processus ne changeant pas selon les commerants ou les banques, il a pu plus facilement simposer chez les consommateurs : la communication a pu se faire de manire uniforme selon les professionnels, il ny a pas le brouillage de message qui existe en France du fait de la multiplicit des processus. De mme, le bouche--oreille et lapprentissage mutuel entre consommateurs peuvent se faire plus facilement dans un systme de paiement unique que dans un systme o se juxtaposent plusieurs procdures. Ce dispositif unique a permis la cration dun cercle vertueux au Royaume-Uni : le systme unique a favoris ladoption massive du 3D Secure par les commerants, laquelle a favoris lappropriation de la procdure par les consommateurs, et ainsi de suite. Un impact positif malgr un authentifiant fixe moins pouss quen France Ladoption massive du 3D Secure par les commerants britanniques, fruits de la concertation et de la mise en place dun dispositif unique, a permis des rsultats spectaculaires en seulement quelques annes. En 2007, en effet, le taux moyen de fraude internet (somme de la fraude internationale et de la fraude nationale) tait de 0,524%. Il tait alors suprieur de 15% la fraude franaise. En 2010, ce taux avait diminu 0,252%, soit une baisse de 52% de la fraude sur internet en seulement 4 ans ! A cette mme date, le taux moyen de fraude internet en France tait 53% plus lev quau Royaume Uni.

18 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Ce rsultat est encore plus impressionnant en termes de montants. Ainsi, alors que le commerce lectronique au Royaume-Uni est pass de 34 milliards de livres en 2007 prs de 54 milliards de livres en 2010, les montants frauds ont diminu de 178,3 millions de livres en 2007 135 millions de livres en 2010. A titre de comparaison, le Royaume-Uni a aujourdhui un montant total de fraude internet certes suprieur de 34% au montant franais, mais pour un commerce lectronique suprieur de 103% !

La russite du systme britannique, quillustre cette baisse de la fraude sur internet, montre bien limportance de ladoption gnralise par les commerants dun systme dauthentification des paiements. Cette adoption nest possible que par la mise en place dune procdure unique dauthentification permettant une appropriation facile par les consommateurs, et donc une grande

19 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

limitation des abandons de paiements. Ces abandons qui ont fait du 3D Secure franais, actuellement, un chec. Cette baisse de la fraude est dautant plus notable que le systme dauthentification britannique repose actuellement sur un code confidentiel durable, dont le niveau thorique de scurit est beaucoup moins lev que les numros non-rejouables en cours dadoption dans le 3D Secure de seconde gnration en France. Il semblerait ainsi que ladoption en France dune procdure unique, gnralise tous les commerants et numros dauthentification non-rejouables pourrait permettre de bnficier de baisses de la fraude encore plus forte quau Royaume-Uni.

20 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

III La fraude la carte bancaire, une plaie au quotidien pour les consommateurs

Au-del des aspects financiers dj voqus, une fraude la carte bancaire sur internet si tendue a des rpercussions sur les consommateurs. Afin de comprendre cet aspect, nous avons pass un appel tmoignages sur internet, formul de la manire suivante : Nous recherchons des tmoignages de consommateurs ayant t victimes de fraudes la carte bancaire sur internet, dans lesquelles les donnes de leurs cartes ont t rutilises leur insu. Nous souhaiterions plus particulirement connatre la rponse apporte par les banques aux clients dans ces situations, les procdures exiges par les tablissements pour restituer les fonds et les dlais qui ont t ncessaires cette restitution des fonds . 173 consommateurs ont rpondu notre demande. Cet cho important pour un sujet aussi complexe montre que les consommateurs se sentent concerns par cette problmatique : en gnral, seuls les sujets internet et nouvelles technologies, qui concernent des publics par dfinition plus actifs sur internet, atteignent un taux de rponse aussi ou plus lev. Mais pralablement, rappelons que la rglementation en la matire est cense bien protger le consommateur.

1 En thorie, une rglementation trs protectrice sur les fraudes internet La rglementation relative la protection du consommateur dans le domaine de la fraude la carte bancaire est, dans sa lettre, trs pousse. En effet larticle L133-19 du Code Montaire et Financier, issu de la Directive sur les Services de Paiement (13 novembre 2007, transpose par lOrdonnance n 2009-866 du 15 juillet 2009) dispose qu En cas d'opration de paiement non autorise conscutive la perte ou au vol de l'instrument de paiement, le payeur [i.e la banque] supporte, avant l'information prvue l'article L. 133-17, les pertes lies l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros . Cette rglementation est encore plus pousse pour les paiements sur internet, puisquelle prcise que : Toutefois, la responsabilit du payeur n'est pas engage en cas d'opration de paiement non autorise effectue sans utilisation du dispositif de scurit personnalis , c'est--dire du code confidentiel pour les paiements de proximit, ou des dispositifs dauthentification de 3D Secure pour les paiements en ligne. Comme nous lavons vu, les dispositifs dauthentification du porteur ne sont utiliss que dans 11,3% des cas dans les paiements en France : par consquent, dans 88,7% des cas, le consommateur ne verra pas sa responsabilit engage et naura pas payer la franchise de 150 euros prvue par la loi en cas de fraude la carte bancaire sur internet. Deux autres passages de cet article renforcent galement la protection du consommateur pour les paiements sur internet : - La responsabilit du payeur n'est pas engage si l'opration de paiement non autorise a t effectue en dtournant, l'insu du payeur, l'instrument de paiement ou les donnes qui lui sont lies ; - Elle n'est pas engage non plus en cas de contrefaon de l'instrument de paiement si, au moment de l'opration de paiement non autorise, le payeur tait en possession de son instrument .
21 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

En fait, le consommateur ne peut avoir supporter les pertes que dans deux cas : En cas dagissement frauduleux de la part du client (Alina III de ce mme article L133-19), ce qui est bien entendu lgitime ; En cas de ngligences graves (Alina IV), cest--dire si le client na pas pris les mesures raisonnables pour prserver la scurit de ses moyens de paiement ou sil na pas prvenu sa banque dans les meilleurs dlais, compte tenu de ses habitudes d'utilisation de la carte, de lexistence dune fraude. A noter que cest la banque de prouver lexistence dune faute lourde de la part du client, comme la soulign la jurisprudence de la chambre commerciale de la Cour de cassation du 21 septembre 2010 : Il appartient l'metteur de la carte [i.e. la banque] qui se prvaut d'une faute lourde de son titulaire [i.e. le client], au sens de l'article L. 132-3 du code montaire et financier, d'en rapporter la preuve ; que la circonstance que la carte ait t utilise par un tiers avec composition du code confidentiel est, elle seule, insusceptible de constituer la preuve d'une telle faute .

Les dlais de remboursement suite une fraude sont prvus par larticle L133-18 du code montaire et financier : En cas d'opration de paiement non autorise signale par l'utilisateur dans les conditions prvues l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immdiatement au payeur le montant de l'opration non autorise . Ajoutons galement que ce mme article complte aussi larticle L133-19 sur les aspects dindemnisation en tablissant que le cas chant, [le prestataire de services de paiement du payeur] rtablit le compte dbit dans l'tat o il se serait trouv si l'opration de paiement non autorise n'avait pas eu lieu. Le payeur et son prestataire de services de paiement peuvent dcider contractuellement d'une indemnit complmentaire . Par consquent, le remboursement ne doit pas seulement porter sur les sommes dtournes lors de la fraude, mais sur toutes les sommes prleves sur le compte du fait de la fraude. Ce qui inclut par consquent tous les frais lis la fraude. Au final donc, la rglementation est trs favorable au consommateur : sur toutes les fraudes issues de paiements sur internet, le consommateur de bonne foi doit tre rembours par sa banque, immdiatement et pour lintgralit des sommes lies la fraude. Le seul cas o le client peut avoir supporter les sommes dtournes sont les cas de faute lourde, mais dans ce cas, cest la banque de prouver lexistence dune faute lourde.

2 Dans les faits, de nombreux freins au remboursement des consommateurs Les rponses notre appel tmoignages montrent quen ralit les banques nappliquent pas la lettre cette rglementation protectrice des consommateurs en matire de fraude sur les paiements distance. De nombreux consommateurs nous ont ainsi fait part de blocages ou demandes issues de leurs banques qui ne sont pas prvues par la loi. Une demande systmatique de dpt de plainte au commissariat avant tout remboursement La quasi-totalit des banques demandent aujourdhui leurs clients victimes de fraude, comme pralable tout remboursement des sommes voles, le dpt dune plainte auprs du commissariat ou de la gendarmerie la plus proche du domicile du client. Voici quelques verbatim de consommateurs sur ce sujet : [Ma banquire] a insist sur le fait que je ne serai pas rembourse si je ne portais pas plainte. Or, il me semblait avoir entendu que ce n'tait pas une obligation ; L, mon "conseiller" ne veut rien savoir. [...]. La seule chose qu'il me rpte, c'est de porter plainte. A la gendarmerie, on me dit que ce n'est pas possible ;
22 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Ma banque a exig que je dpose plainte pour me rembourser. Au commissariat la personne qui m'a reu m'a dit qu'une simple dclaration de main courante suffisait ! ; [Le banquier] m'assure qu'il m'a fait une fleur. Qu'il pouvait exiger que je porte plainte avant de me rembourser... ; Le service financier de [la banque] m'a demand de porter plainte, ce que j'ai fait ; Tant que la police n'acceptera pas que je porte plainte moi-mme, la banque ne me remboursera pas cet argent... .

Cette demande est souvent faite loral par le conseiller. Mais certaines banques laffichent directement sur leurs sites internet.

Or dans le texte de la loi, ce dpt de plainte nest absolument pas ncessaire. La banque doit rembourser les sommes drobes ds lors que le client atteste avoir t victime dune fraude. En outre, une dpche du Ministre de la Justice a demand le 12 aot 2011, aux procureurs gnraux, dindiquer aux officiers de police judiciaire de ne plus effectuer denregistrement de plaintes lies des fraudes la carte bancaire, car ce dpt de plainte nest pas ncessaire au remboursement du consommateur par la banque. Pourquoi les banques font-elles cette demande auprs de leurs clients ? Officiellement, il sagit de favoriser les poursuites judiciaires et de comptabiliser lampleur de la fraude. Cependant, toujours daprs la Chancellerie, ces poursuites seraient plus efficaces si ctaient les banques qui dposaient plainte : il n'y a qu'avantage au regard de l'efficacit et de la clrit de l'enqute, ce que la banque (...) dpose plainte . La prise en charge des dpts de plainte par les banques permettrait aussi de lutter contre la criminalit en bande organise, car elle faciliterait les recoupements de modes opratoires. Sur le fond galement, on peut considrer qu partir du moment o la loi dcrte que la banque doit rembourser le client de tous les frais issus dune fraude la carte bancaire, cest bien la banque qui est victime, dautant plus que ce sont ses systmes de paiement, quelle fournit ses client, qui ont t dtourns. Ainsi, sont totalement illgitimes des demandes manant de banques telles que celle ci-dessous, reue par un consommateur : Merci de bien vouloir dposer l'ensemble des documents dans la bote aux lettres afin de traiter votre dossier dans les meilleurs dlais : [] - le rcpiss du dpt de plainte.

23 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Un dlai de remboursement trs allong par rapport ce que la loi prvoit Comme voqu plus haut, la loi indique que le remboursement du client des dommages crs par la fraude doit tre immdiat. Or, dans la ralit, la plupart des banques mettent entre 15 jours et plus de trois mois rembourser leurs clients : Les achats frauduleux ont commenc le 15 juin 2011. Je er m'en suis aperu le 1 juillet. Le service financier de [la Banque] m'a demand de porter plainte, ce que j'ai fait []. Le compte a t bloqu pendant deux mois. J'ai t rembours dbut septembre . Ce dlai, dj draisonnable et illgal, ne prend galement par en compte lurgence pour le client dun remboursement le plus rapide possible, en particulier quand les sommes drobes atteignent plusieurs milliers deuros. Ainsi, ce message du 6 septembre : Ma carte bancaire a t pirate et des achats frauduleux hauteur de 5 000 euros ont t effectus chez Ryanair en billets d'avion. Ces achats ont t effectus en Irlande entre le 25 et le 30 mai 2011. La totalit de la somme ne m'a toujours pas t restitue parce que ma banque [] prtend que les frais de taux de change doivent tre rembourss par la compagnie arienne ! . Et ce message reu le 1 septembre : Bonjour, j'ai pris connaissance de paiements frauduleux par internet avec mes coordonnes bancaires le 11 septembre dernier. Montant total : 3 786 euros pour un salaire moyen de 1 800 euros Aprs avoir prement combattu pour une prise en charge srieuse du problme, je suis toujours dans l'attente d'un remboursement . Tout laisse penser que les tablissements bancaires neffectuent aucune priorisation des remboursements en fonction de la gravit et de la profondeur de la fraude. Or, le fait de priver le consommateur de centaines, voire de milliers deuros peut tre extrmement dommageable, comme lnonce cette consommatrice : Le prjudice se monte 3 000 euros et il a fallu que j'emprunte ma mre pour nourrir ma famille . En cas de dcouvert, le client touch peut galement se voir facturer des frais dincident de paiement aggravant sa situation financire alors quil nest, depuis le dpart, aucunement responsable de la fraude ni des dlais de remboursement ! A noter que ces longs dlais de remboursement ne sont pas lis des contraintes techniques, de trop rares banques parvenant rembourser leurs clients ds le lendemain de la dclaration de fraude du client auprs de la banque. Des frais lis la fraude mais non rembourss Alors que la loi parle bien de rtabli[r] le compte dbit dans l'tat o il se serait trouv si l'opration de paiement non autorise n'avait pas eu lieu , la plupart des banques se contentent souvent de ne rembourser avec tous les dsagrments dj voqus que les sommes directement voles par le paiement frauduleux.
er

24 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Or la survenance dune fraude implique souvent des frais (de recherche, de remplacement de cartes, dopposition) directement lis cette fraude, et qui nauraient pas t ncessaires si le systme de paiement avait t suffisamment scuris. Ces frais ne sont que trs rarement rembourss, comme le montre ce tmoignage : J'ai aussi appris que je n'avais pas souscrit d'assurance et il m'en coterait 15 euros de frais de recherche pour chaque transaction frauduleuse, ce que j'ai trouv abusif. Comme j'en ai eu 5, je dois sortir 75 euros. Bien sr, j'ai d souscrire cette assurance non rtroactive (environ 25 euros par an) qui, dixit le conseiller, m'exonrera des frais de recherches si nouvel incident . De mme, les frais dus la confection et lenvoi dune nouvelle carte sont galement facturs au consommateur : On m'a compt des frais d'opposition et de remplacement de carte . Ces frais sont parfois rembourss suite la demande du client, action prsente alors comme un geste commercial alors quil sagit bien dun droit du client : Aprs ma rclamation au service consommateurs, la directrice de l'agence, que l'on avait toujours refus de me passer en ligne, m'a tlphon pour me dire qu'elle faisait un geste commercial en me remboursant ma carte mais qu'elle considrait que c'tait moi qui avais achet le billet dans la mesure o ma carte tait toujours reste en ma possession []. Pour tre rembours, il et fallu, semble-t-il, que ma carte soit vole ou perdue. Sans parler des frais des dcouverts issus de la fraude qui ne sont pas toujours rembourss, alors que cest bien la banque qui est responsable des failles du systme de paiements ! Par exemple, ces tmoignages : [La Banque] ma rembours les sommes, mais je me bats encore pour le remboursement des frais bancaires, dus au dcouvert , et Je reste cependant dans l'attente de l'extourne d'environ 300 euros de frais d'intervention avant paiement dbits par la banque . La loi voque galement que Le payeur et son prestataire de services de paiement peuvent dcider contractuellement d'une indemnit complmentaire pour le consommateur victime dune fraude la carte bancaire Mais aucun tmoignage, mme positif, ne fait tat dune quelconque indemnisation par une banque pour les dsagrments causs au client par une fraude sur son compte. Alors que, comme le soulignent de nombreux consommateurs, le remboursement est long, compliqu ( Je ne sais plus quoi faire, tout le monde se renvoie la balle ), et trs stressant ( Cela est encore trs douloureux pour moi ). Parfois mme, une ngation du droit au remboursement ! La survenance dune fraude apparat pour certains banquiers comme une opportunit de vente dune assurance des moyens de paiement, dont nous avons pourtant montr linutilit. Quitte tromper le client. En effet, certains banquiers nhsitent pas pratiquer la dsinformation en prtendant leurs clients que la souscription dune assurance des moyens de paiement est le seul moyen dtre assur du remboursement des sommes drobes ! Ce qui constitue non seulement une non-application de la loi, mais galement des agissements illicites. Par exemple ces tmoignages : Mon ami a t victime de l'utilisation frauduleuse de sa carte bancaire [], le 18 juin lors d'un rendez-vous avec la charge de clientle, elle nous confirme qu'il n'a pas pris d'assurance qui couvre ce risque ; Ma banque m'indique que si je subis une fraude ma carte bancaire sur internet je ne suis pas pris en charge si je ne prends pas une assurance complmentaire !! . Et de me citer le cas d'une cliente qui s'est vu retirer des sommes importantes son insu .

25 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

3 Autre consquence : lassurance des moyens de paiement, peu utile et surfacture Autre consquence, toute aussi importante, de cette lgislation : lassurance des moyens de paiement vendue massivement par les banquiers, car comprise notamment dans tous les packages bancaires qui sont souscrits par la majorit des clients, est devenue totalement inutile pour les fraudes sur internet. Les fautes lourdes dmontres par les banques, qui sont les seuls cas o les clients ne sont pas couverts pour une fraude, ne sont en effet pas ou que partiellement couvertes par les banques. Elle na plus quune utilit pour les fraudes sur les paiements ou retrait de proximit par carte ou pour les chques. Mais, comme nous lavons vu au dbut de cette tude, les fraudes de proximit par carte sont aujourdhui trs limites (0,012% des montants) : lutilisation du remboursement de franchise de 150 euros nen devient que plus rare. De mme, lutilisation des chques dcrot rgulirement, ce qui limite dautant plus lintrt de lassurance. Dautant plus que la banque doit rembourser tout chque effectu avec une fausse signature En ralit, cette assurance ne sert plus aujourdhui que pour ses services annexes : remboursement du timbre fiscal pour la rfection des papiers didentit, remboursement des frais de refabrication de clef Mais ces garanties, justement parce quelles sont annexes et parce que lassurance des moyens de paiement est vendue globalement dans les packages et donc sans explication dtaille par les conseillers bancaires, sont trs mal connues et donc trs peu utilises. Par consquent, il est totalement anormal quune assurance qui cotait 22,1 euros en moyenne par an en 2004 (chiffre UFC-Que Choisir) une poque o elle avait son utilit cote dsormais 24,28 euros par an (chiffres 2010 issus du Rapport de lObservatoire des tarifs bancaires) alors que son utilit est, depuis le passage de la Directive, rduite la portion congrue. Rappelons galement que lhebdomadaire Marianne avait dvoil, en aot 2009, une note interne du Crdit Agricole datant de 2007 montrant que cette banque collectait 194,5 millions deuros de cotisations de la part de ses clients, mais ne reversait que 8 millions deuros ses clients victimes de sinistres. En comptant les frais de gestion (2,9 millions deuros), cette banque faisait donc une marge nette de 94,4%. Le mme article prcisait que, daprs le cabinet de conseil Xerfi, les banques franaises avait rcupr 1 milliard deuros de cotisations sur les assurances des moyens de paiement. Par analogie avec la marge du Crdit Agricole, la marge totale des banques franaises sur cette assurance des moyens de paiement attendrait 940 millions deuros par an. Chiffre quil faut dsormais majorer du fait du passage de la Directive dcrite ci-dessus, et de sa rpercussion sur les garanties relles fournies par ces assurances. En conclusion, si le march de lassurance des moyens de paiement tait aujourdhui concurrentiel, le prix de vente de cette assurance devrait aujourdhui tre non pas de 24 euros par an, mais de moins de 2 euros par an !

26 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

IV Conseils aux consommateurs pour viter les fraudes la carte bancaire sur internet

Soucieuse de jouer son rle dans la prvention des fraudes et lducation des consommateurs la fois sur les risques de fraude existants lors dun paiement par internet et sur les moyens dviter ce type de fraude, lUFC-Que Choisir a identifi quelques bonnes pratiques. Celles-ci, si elles sont respectes, nentraneront pas, bien sr, un risque zro de fraude (dans ce domaine, le risque zro nexiste pas) mais devraient diminuer fortement les chances de faire face ce problme. Voici donc nos recommandations, tablies en concertation avec des professionnels du secteur : Pour viter les fraudes : Ne rpondez jamais un mail vous demandant des informations personnelles ou vos numros de carte bancaire, mme sil semble mis par un de vos fournisseurs (banque, tlphone, internet). - Ces messages peuvent vous faire la demande soit directement, soit indirectement via un lien vous dirigeant vers un site internet parassant appartenir votre fournisseur ; - Ils peuvent vous demander soit directement vos numros de carte bancaire, soit vos numros de compte bancaire, mais galement votre date de naissance, votre numro de Scurit Sociale ou le nom de jeune fille de votre mre. Ces messages sont vraisemblablement des tentatives de phishing (hameonnage), visant obtenir de votre part les informations de scurit permettant de faire des paiements par carte bancaire sur internet. En cas de doute (par exemple, si votre message voque des problmes sur votre compte ou avec votre fournisseur) allez directement sur ladresse officielle du prestataire en tapant directement ladresse sur votre barre dadresse ou en passant par un moteur de recherche pour vous connecter votre interface de gestion de compte. Effectuez rgulirement des analyses antivirus et antispyware de vos ordinateurs personnels. Afin dviter les Spywares ces logiciels espions qui enregistrent tout ce que vous tapez sur votre clavier ou cliquez avec votre souris, en particulier vos codes personnels larme la plus efficace reste les logiciels dantivirus et dantispyware. Encore faut-il sen servir rgulirement. Mettez rgulirement jour vos antivirus, antispyware, navigateurs internet, systmes dexploitation en particulier, et vos logiciels en gnral. Linnovation dans le domaine de la fraude est sans fin, ce qui rend rapidement inefficaces les anciennes versions des programmes de protection, mais galement les systmes dexploitation et les logiciels. Les mises jour de ces produits permettent de corriger les failles de scurit que les pirates informatiques peuvent utiliser pour frauder. Sauf si vous en avez absolument besoin, nutilisez jamais dordinateur public pour faire un achat sur internet. Les ordinateurs publics ordinateurs dhtels ou de cybercafs par exemple peuvent tre utiliss par plusieurs dizaines de personnes chaque jour, ce qui en fait une proie idale pour les fraudeurs, dautant plus que ceux-ci peuvent venir y installer eux-mmes des logiciels espions. Ces ordinateurs sont galement souvent gs et/ou disposent de versions de logiciels assez dates et donc, peu efficaces en termes de protection de lutilisateur. Autant darguments pour les utiliser au minimum. Ne mentionnez jamais vos donnes personnelles ou vos numros de carte bancaire dans un mail, mme envoy un proche.

27 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

Les mails sont beaucoup moins protgs que les sites des banques ou des commerants : la plupart du temps les mails sont envoys en clair (sans que le message soit crypt). Il est donc trs facile pour un fraudeur dintercepter un message lectronique contenant des donnes personnelles ou de carte bancaire. A titre de comparaison, les conversations tlphoniques par tlphone portable font lobjet dun cryptage par la carte SIM Mais pas les conversations par tlphone fixe. Si vous ne fates que rarement des oprations sur internet, utilisez les services de ecartes bleues fournis par votre banque. Sauf pour des achats ncessitant la carte bancaire pour pouvoir tre retirs (par exemple, billets de train ou spectacles) ou pour les paiements fractionns. Les e-cartes bleues sont des numros de cartes bancaires virtuels , usage unique, que vous pouvez utiliser pour remplacer votre numro de carte bancaire fixe. Ce qui empche toute fraude sur votre carte bancaire sur internet. En revanche, du fait de son prix pouvant tre relativement lev et de son usage au coup par coup, il ne convient pas un utilisateur intensif du paiement par internet.

Pour reprer au plus vite les fraudes : Regardez rgulirement vos relevs de compte pour vrifier les paiements qui y sont passs. Comme toujours, ds quil sagit doprations bancaires, le moyen le plus simple et le plus fiable pour dtecter un problme, ici une fraude la carte bancaire sur votre compte, est de regarder rgulirement votre compte bancaire, notamment via le relev de compte envoy chaque mois par votre banque. Ceci permettra dviter que la fraude ne continue et dviter les objections de manque de vigilance de la part des banquiers. Consultez trs frquemment la situation de votre compte sur lespace personnel de votre site bancaire, qui permet une meilleure ractivit. Certaines banques permettant mme de voir les oprations de carte bancaire en attente de dbit. La consultation par internet permet de voir ltat de son compte au jour le jour. Cest donc le meilleur outil pour dtecter lexistence dune fraude la carte bancaire sur votre compte. Elle permet ainsi deffectuer le plus rapidement possible les dmarches de scurit (opposition) sur la carte et dentamer les dmarches de remboursement facilement. De mme, les banques qui affichent les oprations en attente de dbit peuvent suspendre ces oprations en cas de rclamations de leurs clients.

28 Fraude la carte bancaire sur internet

Direction des Etudes de lUFC-Que Choisir

Fvrier 2012

V Demandes de lUFC-Que Choisir sur la scurit de la carte bancaire sur internet

LUFC-Que Choisir considre que laccs au commerce en ligne est une opportunit pour le consommateur, sous rserve que celui-ci puisse jouir pleinement de tous ses droits et bnficier de systmes de paiements scuriss. Dans cette optique, et pour empcher que la fraude sur les paiements en ligne ne devienne, par son ampleur, un frein laccs au commerce en ligne,

LUFC-Que Choisir demande :

1. Pour amliorer la prvention contre la fraude : - Lenvoi systmatique par les banques de confirmations de paiement sur internet via les espaces personnels des sites bancaires et par SMS ou email ; - Lobligation pour tout professionnel stockant des donnes de cartes bancaires de dclarer leurs clients, quand ils surviennent, des attaques de serveurs et/ou des vols de donnes personnelles, bancaires ou de cartes bancaires ; - Lobligation pour les banques de centraliser les fraudes subies par leurs clients et de les transmettre aux services judiciaires. 2. Pour scuriser le systme de paiement par carte bancaire sur internet : - Ladoption obligatoire, au niveau franais, dun systme dauthentification unique et non rejouable, mis en place en concertation entre banquiers, commerants et reprsentants des consommateurs ; - Louverture dune rflexion au niveau europen pour uniformiser ces mmes procdures dauthentification lors des paiements par carte bancaire sur internet. 3. Pour une rparation totale du prjudice subi par le client victime de fraude, le remboursement intgral des frais causs par les suites de la fraude (frais de dcouverts ventuels, remplacement de carte, recherches documentaires, etc.).

29 Fraude la carte bancaire sur internet