C’est un fait : les Français sont de plus en plus amateurs de shopping sur Internet. Et pour régler, à distance, leurs achats, ils utilisent massivement leur carte bancaire. Mais ce moyen de paiement est-il le plus adapté, en terme de sécurité, à ce nouveau mode de consommation ? Le point sur les services offerts par les banques en la matière.

Etat des lieux du paiement en ligne en France

Que représente aujourd’hui le commerce électronique en France ? Selon des chiffres de la Fevad (Fédération du e-commerce et de la vente à distance, organisation représentative du secteur), le chiffre d’affaires 2009 de la vente en ligne de produits et de services s’est établi à 25 milliards d’euros. Un chiffre en augmentation de 25% par rapport à 2008. Début 2010, 83% des internautes interrogés déclaraient avoir utiliser au moins une fois leur carte bancaire pour régler des achats sur Internet. Le portefeuille en ligne, type Paypal, étaient loin derrière, cité par 21% des internautes. Venaient ensuite le chèque cadeau (12%), le chèque bancaire (12%) et le prélèvement bancaire (9%).

Le décollage du e-commerce est donc aujourd’hui indissociable de l’utilisation de la carte bancaire. Toutefois, cette association n’est pas sans risques.

Les risques de fraude sur carte bancaire

Au sein de la Banque de France, l’Observatoire de la sécurité des cartes de paiement produit chaque année des statistiques sur les fraudes liées aux paiements à distance. En 2009, le taux de fraude s’est ainsi établi à 0,263% des opérations, pour un montant global de 82,2 millions d’euros. Un chiffre en nette augmentation de 15 millions d’euros par rapport à 2008, dans un contexte, il est vrai, de forte croissance de ce type de paiement (+17,1% en 2009),

Si la fraude n’est donc pas massive, le fait de payer par carte à distance n’est pas sans risques. Pesant pour 7% de la valeur des transactions nationales, ce mode de paiement représente 57% du montant total des fraudes.

Quels sont ces risques ? Le principal est évidemment l’usurpation du numéro de carte, après qu’il a été intercepté, au cours de la transaction, à l’aide de logiciels espions installés sur votre ordinateur. L’utilisation frauduleuse peut également être le fait d’un faux e-commerçant. Avec pour conséquence supplémentaire, la non-réception du produit acheté.

Pour prévenir ces risques, l’Observatoire de la sécurité des cartes de paiement prodigue quelques conseils de prudence :

  • « Protégez votre numéro de carte : ne le stockez pas sur votre ordinateur, ne l'envoyez pas par simple courriel et vérifiez la sécurisation du site du commerçant (cadenas en bas de la fenêtre, adresse commençant par " https ", etc.).
  • Assurez-vous du sérieux du commerçant, vérifiez que vous êtes bien sur le bon site, lisez attentivement les conditions générales de vente.
  • Protégez votre ordinateur, en l'équipant d'un antivirus et d'un pare-feu. »

Mais les opérateurs de cartes bancaires (Visa et Mastercard principalement) et les banques ont également pris la mesure du phénomène, en mettant en place des dispositifs de sécurisation des achats en ligne.

Quels sont les services proposés par les banques ?

Nous avons visité les sites Internet des principales banques de détail françaises pour voir quels dispositifs spécifiques elles proposaient.

Premier constat : toutes proposent désormais ce type de services. L’offre actuelle peut ainsi être rangée en trois catégories :

  • Les numéros de carte virtuelle à usage unique,
  • L’authentification renforcée par code secret,
  • Les assurances livraison.

Les numéros de carte virtuelle permettent d’éviter de divulguer le véritable numéro de sa carte bancaire au moment de la transaction. Pour cela, le client ouvre, depuis son ordinateur, une application, ou se rend sur un site sécurisé. Là, il peut obtenir un numéro de carte virtuelle, qui ne sera utilisable que pour cette unique transaction.

On retrouve ce service, qui peut être couplé à n’importe quelle carte bancaire, sous la dénomination « e-carte bleue » à la Caisse d’Epargne, la Banque Postale, la Société Générale et la Banque Populaire. Au Crédit Mutuel, l’équivalent s’appelle « Virtualis ». Il est facturé entre 8 euros (à la Société Générale) et 12,50 euros (à la Banque Postale) par an.

Autre manière de sécuriser ses paiements, gratuite cette fois : l’authentification renforcée par un code secret, qui cherche à éviter que les coordonnées bancaires, même interceptées par un tiers, soient utilisées pour un paiement frauduleux.

Le premier niveau de ce type de dispositif est le cryptogramme visuel à trois chiffres, présent au dos de la plupart des cartes de paiement. Il permet de confirmer que l’acheteur est physiquement en possession de la carte qu’il utilise pour payer. Toutefois, il est inefficace en cas de perte ou de vol de la carte.

Plus performant, le code secret à usage unique est un service fourni par les grands opérateurs de cartes Visa (Verified By Visa) et Mastercard (MasterCard SecureCode). Il est en voie de généralisation sur les plateformes de paiement à distance. Son principe : au moment de valider le paiement, le client est redirigé vers une page sécurisée par sa banque, où il doit rentrer un code supplémentaire. Deux possibilités : soit il le reçoit par SMS, soit il le génère lui-même à partir d’une carte de clés personnelles, fournie par la banque.

Dernier service, qu’on retrouve dans l’ensemble des banques visitées : l’assurance livraison. Comme son nom l’indique, elle couvre le client dans le cas où l’objet acquis n’est pas livré, ou si l’objet livré ne correspond pas à celui acheté.

Le coût de cette assurance est quasi-invisible, puisqu’inclus le plus souvent dans le forfait de carte bancaire ou dans un pack de services. Seul le Crédit Agricole propose cette « garantie achats en ligne » en option, facturée 15 euros par an.

Ces solutions sont-elles efficaces ?

Nous l’avons vu plus haut, la fraude sur Internet reste une réalité, malgré les dispositifs de sécurisation existants. Cela tient naturellement au fait que tous les acheteurs ne sont pas tous sensibilisés aux risques, ni équipés pour les prévenir. Il y a également l’ingéniosité des fraudeurs, qui trouvent sans cesse des parades.

Il n’existe donc pas aujourd’hui de solution parfaite. Toutefois, on peut estimer que les banques et les opérateurs de carte bancaire ont pris la mesure du problème. Ils continuent d’ailleurs à réfléchir à de nouvelles solutions, stimulés par l'arrivée sur le marché de nouveaux établissements de paiement, dont certains se spécialisent sur la sécurité. 

Parmi ces solutions, on trouve les mini-terminaux de paiement, que le client peut connecter à son ordinateur et qui permettent à la fois d’authentifier la carte et de sécuriser la transmission des informations. Mais cette solution coûte très chère et a le désavantage de compliquer l’acte d’achat.

Autre piste : la mise en place, chez les marchands et dans les banques, de dispositifs automatiques de détection de la fraude. Certaines sociétés proposent déjà ces solutions, qui analysent l’ensemble des informations liées à la transaction (adresse IP, type d’achats, localisation du vendeur et de l'acheteur, etc) et essaient de détecter les comportements atypiques afin de bloquer, le cas échéant, le paiement suspect.

Enfin, certaines banques envisagent également de créer leur propre portefeuille électronique, s’inspirant du modèle PayPal. Un mode de paiement qui, contrairement à la carte bancaire, a le mérite d’être spécifiquement conçu pour les achats sur Internet.