Paiements en ligne : une étude prédit une explosion de la fraude d'ici 2020

Selon le cabinet de conseil Juniper Research, le montant de la fraude sur les transactions en ligne devrait plus que doubler d'ici la fin de la décennie. En cause : la sécurisation croissante des paiements dans les points de vente physiques.

De 10,7 milliards de dollars en 2015, le montant des transactions frauduleuses en ligne dans le monde devrait grimper à 25,6 milliards en 2020, estime le cabinet britannique spécialisé dans le numérique. « Cela signifie que d'ici la fin de la décennie, chaque fois que 1.000 dollars seront payés en ligne, 4 dollars seront d'origine frauduleuse », résume Juniper Research. L'essentiel de ces 25,6 milliards (65%) seront supportés par le commerce électronique, secteur dans lequel la fraude va augmenter deux fois plus rapidement que dans les services bancaires en ligne (27% du montant de la fraude en 2020).

Des paiements physiques mieux sécurisés

Comment expliquer cette explosion ? L'essor ininterrompu du e-commerce, évidemment, est un élément de réponse. Mais paradoxalement, c'est l'amélioration de la sécurité des paiements dans le monde physique qui apparaît comme le facteur clé. Le premier marché au monde, les Etats-Unis, est en effet en train de rattraper son retard en matière de sécurisation des cartes bancaires. Longtemps, les commerçants nord-américains se sont contentés d'utiliser la piste magnétique et la signature manuscrite pour authentifier les paiements, alors que l'Europe a massivement instauré, depuis longtemps, un standard beaucoup plus sûr, le chip-and-pin, c'est-à-dire le recours à l'insertion de la carte et à la saisie d'un code confidentiel.

La donne a définitivement changé aux Etats-Unis le 1er octobre 2015. Depuis cette date, lorsqu'un paiement est effectué dans un point de vente avec une carte perdue, volée ou contrefaite, ce n'est plus l'émetteur de la carte piratée qui en supporte les conséquences, mais la banque qui fournit le terminal de paiement, et au final le commerçant. Cette nouvelle règle souffre d'une seule exception, lorsque le paiement a été authentifié en utilisant la puce et le code PIN. Conséquence de ce transfert de responsabilité : les banques ont finalement accepté d'investir dans les cartes à puce et dans le renouvellement de leur parc de terminaux de paiement, alors qu'elles avaient longtemps préféré supporter le coût de la fraude.

Des « échelles plus hautes » pour les fraudeurs

Mais ce qui apparaît comme une bonne nouvelle ne l'est pas pour tout le monde. « La mise en application des paiements chip-and-pin dans les points de vente aux Etats-Unis va encourager les fraudeurs à reporter leur attention sur les paiements Card Not Present », c'est-à-dire sur les paiements en ligne, promet en effet Juniper Research.

Le cabinet est par ailleurs assez pessimiste sur la capacité des banques à contrer cette explosion. « A chaque fois qu'une institution construit un mur plus haut pour contrer la fraude, les fraudeurs utilisent simplement des échelles plus hautes », rappelle Juniper Research. Des mesures telles que l'authentification renforcée 3D Secure ou l'usage des empreintes digitales n'apportent, selon elle, que des répits provisoires, le temps que la fraude trouve la parade, ou d'autres « points faibles dans le système ».

En France, les banques cherchent la parade

En France, où l'usage de la puce et du code PIN est généralisée depuis des décennies, la fraude sur les paiements par carte s'est déjà largement reportée sur le web. En 2014, les paiements à distance y représentaient 11,6% de la valeur des transactions par carte, mais plus de 66,5% de la fraude, selon les données compilées par l'Observatoire de la sécurité des cartes de paiement. Pour autant, les e-commerçants tricolores pourraient également être impactés par les évolutions en cours aux Etats-Unis, les fraudeurs opérant en effet à une échelle mondiale, rappelle Juniper Research. D'où l'urgence de trouver des parades.

Les banques françaises y travaillent. Après des années d'expérimentations, La Banque Postale devrait lancer l'été prochain une technologie d'authentification par biométrie vocale, baptisée Talk to Pay. La Caisse d'Epargne, la Banque Populaire, la Société Générale et BNP Paribas, de leur côté, ont jeté leur dévolu sur une invention d'Oberthur Technologies, la carte bancaire à cryptogramme dynamique, toujours en phase de test. Reste à savoir si les clients accepteront ces innovations, et si elles suffiront à contrer durablement les pirates.

Lire aussi : Les banques planchent sur l'amélioration de la sécurité des paiements en ligne