De plus en plus de Français sont victimes de débits frauduleux sur leurs comptes bancaires, souvent après usurpation de leurs numéros de carte bancaire. Que font les banquiers pour éviter cette fraude ? Leurs efforts sont-ils suffisants ?

En 2016, plus d’1,2 million de Français ont été victimes d’un débit frauduleux sur leur compte bancaire. Deux fois plus qu’en 2010. Et 7 fois sur 10, ce débit frauduleux a servi à réaliser des achats, le plus souvent sur le web. Les chiffres de l’ONDRP (1) confirment ce que chacun peut constater au quotidien : les cas de fraude sur les comptes bancaires ont explosé au cours des dernières années.

Un autre chiffre, de même source, interroge : seuls 22% des ménages ont été prévenus du débit frauduleux par leurs banque. Moins qu’en 2015 (28%) et qu’en 2014 (29%). Faut-il en déduire que les banques ont baissé la garde ? Nous sommes allés voir de plus près.

L’accent mis sur la prévention

Face au fléau de la fraude, la première réponse des banques, et la plus visible, a été la multiplication des messages de prévention et de vigilance à destination des usagers. Toutes les enseignes de détail, sans exception, disposent ainsi désormais, sur leur site web, de sections dédiées à la cybersécurité, dans lesquelles elles informent leurs clients des risques en cours et leur fournissent des conseils de prévention. Les messages de vigilance sont également distillés au moment de la connexion aux espaces clients, sur le web ou sur mobile.

Lire sur le sujet : Compte bancaire : 5 conseils pour éviter le piratage et les arnaques

Autre réponse : la sécurisation des cartes bancaires. Plusieurs enseignes - dernière en date : Orange Bank - ont par exemple lancé des cartes à cryptogramme dynamique, dotées à leur verso d’un petit écran permettant de modifier à intervalles réguliers le code à 3 chiffres destiné à authentifier les paiements à distance. L’efficacité de la mesure a toutefois ses limites : ces cartes, en effet, sont payantes, ce qui revient à faire peser sur l’usager le prix de la lutte contre la fraude.

Une fraude qui concerne surtout la carte bancaire

L’essentiel de la fraude en France concerne les cartes bancaires. Dans 2 cas sur 3, les débits frauduleux sont la conséquence de l’usurpation de numéros de carte, volés par hameçonnage (2) ou à l’aide de logiciels malveillants (malwares) installés sur le mobile ou l’ordinateur, et utilisés ensuite dans le cadre d’achats en ligne. Selon le dernier rapport en date de l’observatoire de la sécurité des moyens de paiement de la Banque de France, pour l’année 2017, le taux de fraude des paiements à distance était ainsi 20 fois supérieur à celui des paiements de proximité.

Si le nombre de Français concernés par des débits frauduleux tend à augmenter, le taux de fraude des paiements en ligne, c’est-à-dire le montant des sommes escroquées rapporté au montant total payé, baisse lui régulièrement depuis 7 ans et a atteint en 2017 un plus bas historique : 1 euro fraudé pour 621 euros payés. Explication : les montants volés à chaque victime sont de plus en plus faibles.

Lire aussi : La fraude en baisse sur la carte bancaire, en hausse sur le chèque

Les commerçants en première ligne, pas les banquiers

Cette baisse ne peut toutefois être mis au crédit des seuls efforts de prévention des banques. Pour Julien Duméry, responsable en France de CyberSource, un spécialiste de la sécurité des paiements en ligne, ce sont surtout « les commerçants qui ont fait ce qu’il fallait pour faire baisser les risques. »

Pour parvenir à ce résultat, les sites d’e-commerce ont en effet activé deux leviers. Le premier d’entre eux, c’est le fameux code à usage unique que l’on reçoit sur son mobile pour authentifier le paiement. Un dispositif baptisé 3D Secure (ou 3DS). « De cette manière, le commerçant demande à la banque de son client de lui confirmer que c’est la bonne personne », détaille Julien Duméry. « Cela permet un transfert de risque : s’il y a fraude après authentification avec 3DS, c’est la banque du porteur de la carte qui doit assumer, pas le commerçant. » Résultat : les commerçants ont largement adopté cette solution, qui authentifie aujourd’hui 41% des transactions e-commerce en France, malgré les risques d’abandon du panier qu’elle présente.

L’autre levier, c’est l’adoption, par les principaux sites d’e-commerce, de solutions de détection des risques de fraude, basées notamment sur l’analyse en masse des données liées aux paiements. Une évolution qui, jusqu’ici, a été peu accompagnée par les banquiers français. « Contrairement à leurs homologues en Grande-Bretagne et aux Etats-Unis, ils n’ont jamais exploité l’historique transactionnel de leurs clients pour leur éviter l’authentification lorsqu’ils sont fiables », déplore Julien Duméry.

Lire sur le sujet : Amazon, Cdiscount, Fnac : payer en ligne avec sa CB va-t-il devenir un casse-tête ?

Les banques, du rang d’observateur à celui d’acteur

Cela va changer toutefois, avec l’entrée en vigueur, à partir du 14 septembre, de nouvelles obligations en matière de sécurité des paiements, issues de la directive européenne sur les services de paiement (DSP2). Notamment la généralisation de 3DS, dans une nouvelle version 2.0 plus contraignante, qui présente le risque, pour les commerçants, de compliquer l’acte d’achat et de dissuader les clients. « Cela pourrait ruiner une partie des efforts qu’ils ont fait pour optimiser leur parcours client » craint le porte-parole de Cybersource.

Il existe toutefois une parade pour éviter le recours systématique à l’authentification forte : afficher un faible taux de fraude, et bénéficier ainsi d’exemptions. « Plus leur taux de fraude sera bas, plus les banques pourront faire bénéficier leurs clients commerçants de ces exemptions. Elles vont être sous pression », détaille Julien Duméry. De quoi les motiver à prendre un peu plus les choses en main, au grand bénéfice aussi de leurs clients particuliers.

(1) Chiffres issus de l’enquête annuelle « Cadre de vie et sécurité » de L’Observatoire national de la délinquance et des réponses pénales, menée par l’Insee auprès de 16 000 ménages représentatifs de la population française. Lire sur le sujet : Escroquerie bancaire : le nombre de ménages victimes a explosé en six ans. (2) L’hameçonnage, ou phishing, s’appuie en général sur l’envoi de faux courriels, imitant les chartes visuelles de banques ou d’autres institutions, et encourageant les victimes à se connecter à un site, qui s’avère frauduleux.