« C'est risqué de payer en ligne ! »

Carte bancaire Motion Code d'Idemia
DR

« C’est risqué de payer en ligne ! » Même si les Français sont de plus en plus adeptes du e-commerce, ce cliché a la vie dure. Pourtant, les chiffres montrent que la fraude sur internet est rare et tend à diminuer, à mesure que les dispositifs de sécurité s’améliorent.

En France, il y a bien longtemps que le e-commerce n’est plus un épiphénomène. Au 2e trimestre 2018, selon Médiamétrie, près de 9 internautes sur 10, soit plus de 37 millions de Français, ont déjà effectué des achats en ligne. Le montant des ventes sur internet, elles, continuent de progresser : +14% sur un an au 2e trimestre 2018, soit 22 milliards d’euros dépensés, selon la Fevad (Fédération e-commerce et vente à distance).

La carte bancaire 8 fois sur 10

Un des rares freins à l’essor inexorable du e-commerce reste toutefois le paiement à distance. L’immense majorité des achats en ligne (85% selon la Fevad) sont payés par carte bancaire, très loin devant les portefeuilles électroniques (9%) ou les virements/prélèvements (moins de 1%). Toutefois, une part non négligeable des internautes continue de ressentir une certaine inquiétude au moment de communiquer son numéro de carte à une boutique en ligne : un tiers environ des consommateurs européens, selon un récent sondage. Et pour cause : conçue il y a 50 ans pour payer dans le monde physique, la carte bancaire affiche quelques fragilités dans le monde numérique.

Une fraude relativement marginale

Doit-on considérer qu’utiliser sa carte bancaire pour régler ses achats en ligne est risqué ? Pas vraiment. Selon l’Observatoire de la sécurité des moyens de paiement (1), qui vient de publier son rapport annuel, le taux de fraude (2) sur les cartes de paiement émises en France est très faible (0,054%, soit un euro de fraude pour 1 850 euros payés) et n’a jamais été aussi bas depuis au moins 2009, première année de suivi du sujet par l’Observatoire. Certes, le nombre de cartes ayant donné lieu à au moins une transaction frauduleuse augmente : en 2017, 1,2 million sur 85 millions en circulation, en hausse de 7% sur un an. Mais le montant moyen de ces fraudes est en baisse : 84 euros en 2017 contre 95 euros en 2016 et 112 euros en 2014.

1,2 million de cartes fraudées en 2017, sur 85 millions

Evidemment, ce taux de fraude est différent chez l’épicier du coin de la rue ou sur un site de e-commerce. Il est ainsi 20 fois plus élevé en ligne que dans les points de vente physiques (0,161% contre 0,008%). C'est logique : il est plus facile pour les pirates de réexploiter sur internet les données carte volées, plutôt que dans un magasin.

C’est toutefois sur les paiements à distance que la lutte contre la fraude a le plus progressé ces dernières années : en France, ce taux de fraude est ainsi passé de 0,251% en 2014 à 0,210% en 2016 et à 0,161% en 2017. Il a également eu tendance à la baisse pour les paiements en ligne effectués vers l’étranger (0,591% en 2017, contre 0,754% en 2016 ), qui restent toutefois plus dangereux. L'amélioration des dispositifs de sécurité en France et en Europe contraint en effet les pirates à se reporter vers des pays moins bien équipés en la matière pour l'utilisation des données volées.

Des progrès dans la sécurisation

La baisse continue de la fraude à la carte bancaire confirme une chose : les dispositifs destinés à sécuriser les transactions à distance progressent. Ainsi, note l’Observatoire, « la diminution de la fraude s’explique par la perspective de l’entrée en vigueur (…) de la deuxième directive sur les services de paiement qui prévoit le recours systématique à l’authentification forte du porteur, comme par la généralisation des systèmes d’analyse de risque et de scoring des transactions ».

Le code SMS bientôt insuffisant

L’authentification forte - notamment le fameux « 3D Secure » qui oblige à entrer un code à usage unique, souvent reçu par SMS, pour valider un paiement - empêche la réutilisation d'un numéro de carte usurpée, une technique en cause dans 2 cas de fraude sur 3. Historiquement peu répandu chez les e-commerçants français - qui lui reprochent (à tort selon l’Observatoire) un taux d’échec trop élevé -, ce mode de sécurisation progresse et va même devenir obligatoire, à partir de septembre 2019, pour les transactions d’un montant supérieur à 30 euros. Il va aussi devenir plus sophistiqué : le code SMS, insuffisamment sécurisé, ne sera plus suffisant, et le recours à la biométrie (empreintes, forme du visage, voix, etc.), grâce aux capteurs embarqués dans les mobiles, devrait se généraliser.

Lire sur le sujet : Achat en ligne par carte bancaire : le code SMS bientôt insuffisant

Les banques lancent aussi de nouveaux dispositifs de sécurisation. C’est le cas, notamment, de la Société Générale ou de BNP Paribas, qui commercialisent des cartes bancaires à cryptogramme dynamique. Mais la course contre la montre a ses limites : si l'Europe avance dans le domaine de la sécurité des paiements, ce n'est pas encore le cas partout, laissant aux pirates la possibilité d'exploiter les données usurpées sur d'autres continents.

Une règlementation protectrice des usagers

Les banques de détail, il faut dire, ont tout intérêt à faire baisser le niveau de fraude. La réglementation est en effet très protectrice des usagers. Elle contraint ainsi les enseignes à rembourser les préjudices subis par leurs clients, parfois avec une franchise, dont le montant a été abaissé à 50 euros en début d’année.

Un seul cas de figure permet aux enseignes de faire supporter au porteur l’ensemble du préjudice : lorsqu’elles parviennent à prouver, le cas échéant devant la justice, qu’il a fait preuve de manquements, intentionnellement ou non, dans la préservation des données de sécurité de sa carte bancaire. Une négligence souvent très difficile à démontrer.

Lire aussi : Carte bancaire : les bons réflexes face à la fraude

(1) L’Observatoire de la sécurité des moyens de paiement rassemble des représentants des pouvoirs publics, des systèmes de paiement, des consommateurs et des commerçants au sein d’un forum chargé de promouvoir la « sécurité et le bon fonctionnement des systèmes de paiement par carte ». Il publie chaque année un rapport sur l’état de la fraude en France. (2) Paiements et retraits confondus, en point de vente physique ou à distance, en France et à l’étranger.

Partager cet article :

© cbanque.com / VM / Septembre 2018