Certissim, service de détection de fraudes liées aux paiements sur internet, vient de publier son « livre blanc » 2013, qui offre chaque année un tour d’horizon des méthodes de fraude dans le cadre des paiements sur internet. Il met en garde contre une croissance des cas d'usurpation de comptes clients, ce qui rend très difficile la détection de la fraude.

Service commercialisé par FIA-NET, filiale du Crédit Agricole spécialisée dans les services de paiement et de protection contre la fraude à destination du e-commerce, Certissim intervient auprès de 900 e-commerçants. C’est en se basant sur leurs déclarations d’incidents et sur les fraudes détectées par ses systèmes que FIA-NET publie chaque année son « Livre Blanc », avec l’objectif de donner une « vision objective de la fraude » et de l’évolution des techniques des fraudeurs.

Un phénomène qui, selon Certissim, ne progresse pas d’une année sur l’autre. En extrapolant à partir des chiffres de son périmètre d’intervention, le service estime à 1,9 milliard d'euros les tentatives de fraudes en 2013. Sur un chiffre d’affaires total du e-commerce de 51,1 milliards d'euros, soit un taux de 3,83% contre 3,91% en 2012. Le taux d’impayés liés aux fraudes baisse également : 0,14% contre 0,18%. « Si le risque reste important, la fraude dans le e-commerce est mieux maîtrisée », estime ainsi Certissim dans un communiqué.

Phishing et réseaux sociaux

Cela n’empêche pas les fraudeurs d’améliorer, d’année en année, leur savoir-faire. En 2013, Certissim note une « croissance des usurpations de comptes clients » grâce aux informations recueillies en utilisant d’un côté la méthode dite du phishing, qui permet de voler des données personnelles grâce à des faux courriels, et de l’autre les réseaux sociaux, sur lesquels s’exposent un nombre croissant de personnes.

« Les auteurs de phishing ne se contentent plus d’essayer de récupérer des coordonnées bancaires », détaille Certissim. « Désormais, ils cherchent à récolter tous types de données personnelles : état civil, coordonnées (postales, bancaires, téléphoniques), mots de passe, réponses aux questions secrètes, etc. En cumulant les informations issues de phishing et des réseaux sociaux, les fraudeurs parviennent à prendre possession de comptes clients de e-acheteurs honnêtes connus des e-commerçants. » Un phénomène facilité par la faiblesse des mots de passe choisis par certains usagers.

La victime obligée de se justifier

Une fois en possession de ces informations, les fraudeurs sont en position, non seulement d’émettre des paiements frauduleux, mais aussi de prendre possession des comptes clients des victimes. Ils peuvent ainsi modifier leur adresse e-mail de contact, leur numéro de téléphone ou l’adresse de livraison. Arrivée à ce point, la fraude est très difficile à détecter pour le e-commerçant. « (…) Le fraudeur n’est pas inquiété mais le vrai détenteur du compte client doit prouver qu’il n’est pas à l’origine des commandes frauduleuses », explique Certissim.

Pour éviter de se retrouver dans cette situation paradoxale, il faut donc non seulement être vigilant à ne pas se faire piéger par un courriel frauduleux, mais aussi faire attention aux informations partagées publiquement sur les réseaux sociaux. Surtout, il ne faut jamais utiliser sa date de naissance, le prénom de ses enfants ou toute information facile à trouver comme mot de passe.

Lire par ailleurs : Services bancaires en ligne : comment se prémunir contre le phishing ?