Le code SMS, point faible de la sécurité des paiements en ligne

Carte bancaire et mobile
© Antonioguillem - Fotolia.com

Même sécurisés par l’envoi d’un code SMS, les paiements en ligne par carte bancaire restent exposés à la fraude, constate l’Observatoire de la sécurité des cartes de paiement dans son rapport 2015. L’institution demande aux opérateurs téléphoniques de renforcer leurs contrôles, et aux banques de continuer à plancher sur des alternatives.

Confirmation : comme en 2014, le taux de fraude (1) sur les paiements à distance (par téléphone, par courrier et surtout par internet) a de nouveau légèrement baissé en 2015, passant de 0,248% à 0,228%. Une bonne nouvelle ? Sans doute, mais elle est à relativiser. Malgré l’ingénierie développée par les banques et les émetteurs de cartes, malgré la pédagogie déployée auprès des consommateurs, la fraude au paiement en ligne ne recule que dans des proportions relativement faibles.

Surtout, elle reste très supérieure à celle liée aux paiements en points de vente, y compris aux paiements sans contact, largement décriés mais qui sont au final beaucoup plus sûrs (0,019%). Deux chiffres sont révélateurs : le paiement à distance représente 11,6% du montant total des paiements effectués en France, mais 66,5% de la fraude !

Des lignes mobiles détournées

Dans son rapport 2015 publié mardi, l’Observatoire de la sécurité des cartes de paiement fait le point sur les actions conduites pour réduire cette fraude, sa « mission première » depuis plusieurs années. La principale est le recours accru à ce que l’institution appelle les « dispositifs d’authentification forte ». Ces derniers concernent désormais « la quasi-totalité des porteurs » de carte, et 66% (contre 58% en 2014) des e-commerçants.

Le plus répandu d’entre eux, 3D-Secure, est bien connu de tous les e-consommateurs : il consiste à valider un paiement à l’aide d’un code secret à usage unique, reçu par SMS sur son mobile. Malheureusement, il est loin d’être infaillible. « Des fraudeurs développent des techniques d’usurpation d’identité en vue d’intercepter les codes de validation des transactions, utilisés ensuite pour des paiements en ligne frauduleux à partir de numéros de cartes détournés », constate l’Observatoire. En résumé, ces pirates parviennent à détourner la ligne mobile de leurs victimes, en se faisant passer pour elles auprès de leurs opérateurs puis en demandant une réémission de la carte SIM, afin de pouvoir intercepter les SMS.

L’Observatoire ne fournit pas de chiffres permettant d’évaluer l’ampleur de ce type de fraude. Elle est toutefois redoutable pour les victimes. Les achats frauduleux ayant été validés par code SMS, certaines banques refusent (ou refusaient encore récemment) de les rembourser, invoquant la négligence de leurs clients. Le cas de figure est relativement rare, mais il a tout de même été repéré par le médiateur de la FBF, qui a demandé aux banques de changer leur politique, et de rembourser.

Lire aussi : Médiation bancaire : les moyens de paiement deviennent la première cause de litige

Les opérateurs mobiles sommés de s’améliorer

Face à cette situation, l’Observatoire s’est rapproché du régulateur du secteur de la téléphonie, l’Arcep (2), pour sensibiliser les quatre opérateurs mobiles français, Orange, SFR, Bouygues Télécom et Free. « La réémission de cartes SIM est une opération courante pour les opérateurs, qui représente un volume d’activité cumulé de plus de 2,5 millions d’opérations de ce type par trimestre », explique l’Observatoire. Sur ce total, les litiges n’excédent pas « a priori 0,05% des opérations de cette nature », poursuit l’institution. Soit environ 1.250 cas potentiels par trimestre.

Le chiffre est faible mais justifie que l’Observatoire et l’Arcep leur demande de « renforcer la fiabilité des dispositifs permettant la réémission de cartes SIM en améliorant le processus d’identification des usagers (…) ». Deux canaux poseraient particulièrement problème : les réémissions demandées via le SAV téléphonique des opérateurs, et celles obtenues en agences physiques. L’Observatoire promet qu’il « assurera, en collaboration avec l’Arcep, un suivi des solutions mises en œuvre par les opérateurs ». En attendant, prudence : si vous ne recevez plus aucun coup de fil ni aucun SMS ou, pire, que vous n’avez plus accès au réseau, hâtez-vous de contacter votre opérateur et de vérifier votre relevé bancaire.

Des alternatives à 3D-Secure ?

En filigrane, la question se pose : 3D-Secure est-il suffisant pour lutter efficacement contre la fraude ? L’Observatoire semble en douter. Le développement de nouvelles solutions d’authentification des paiements à distance est ainsi un des sujets retenus pour ses travaux de veille technologique. Parmi les solutions envisagées dans un futur proche, un « 3D-Secure 2.0 », capable d’une analyse multicritères des risques, une carte à cryptogramme dynamique, déjà testée par plusieurs banques françaises, une « display card » équipée d’un clavier numérique pour taper le code secret ou encore la biométrie vocale, faciale ou digitale. Autant de technologies dont l’Observatoire invite les acteurs du secteur à « poursuivre le développement ».

(1) Le taux de fraude est le pourcentage des sommes détournées par rapport à l’ensemble des sommes réglées par carte bancaire. En valeur absolue, le montant de la fraude sur les paiements par carte bancaire, tout type de carte et de paiement confondus, a augmenté de 4,4% en France en 2015, pour atteindre 522,7 millions d’euros.

(2) Autorité de régulation des communications électroniques et des postes

Partager cet article :

© cbanque.com / VM / Juillet 2016