Rapport accablant sur la réalité de la fraude à la carte bancaire sur l'internet en France et en Europe.

Publication originale du 20/05/2003
disponible sur le site http://www.epaysecurity.com

 

SSL EPAY SECURITY est une solution de paiement dite irrévocable propriété de la société GLOBAL INTERNET SOLUTIONS, inventée par une équipe française dès la fin 1996. Le projet devenu solution à part entière (reconnue comme la plus sécuritaire du marché) est piloté depuis l'origine par Olivier RIMMEL, spécialiste de la sécurité informatique et de sécurité sur l'internet, fort de 18 ans d'expérience dans l'intelligence artificielle et dans le développement et l'automatisation de systèmes d'assistance à la décision, notamment en matière de e-business.

Le service de contrôle des paiements électroniques SSL EPAY SECURITY est un observatoire idéal de la fraude à la carte bancaire sur l'internet, puisqu'il représente une solution de gestion électronique intégrale préventive et active du risque client et de recouvrement pour des marchands électroniques sur l'internet (des entreprises qui vendent des services ou des biens matériels ou immatériels et qui sont clientes de SSL EPAY SECURITY).

Par nature SSL EPAY SECURITY sécurise les flux financiers entre des clients finaux (des internautes) et des marchands en mettant en œuvre des moyens de cryptage SSL couplés à des moyens de certification du porteur de la carte dont les technologies et les process sont privatifs. De nombreuses autres informations d'ordre comportementales sont prises en compte dans la gestion du risque client sur l'internet par SSL EPAY SECURITY.

La synthèse de toutes les informations autour d'une transaction bancaire électronique, l'utilisation de technologies d'aide à la décision et l'expertise du facteur humain (transactions contrôlées par des opérateurs humains) permettent d'apporter une notion d'irrévocabilité du paiement en ligne, ce qui n'est absolument pas le cas par des moyens traditionnels (SSL EPAY SECURITY supporte le risque client à la place des marchands, pour qui elle assure la gestion intégrale des créances de manière électronique et transparente, en plus du transport sécurisé des informations de paiement).

 

 

 

Analyse des informations relatives à la fraude à la carte bancaire et aux refus de paiements électroniques effectués sur l'internet dans la période du 1/1/2000 au 31/3/2003

 

Cette publication est une initiative privée, ni contrôlée, ni supervisée, ni engendrée par une quelconque administration publique ou privée autre que la société GLOBAL INTERNET SOLUTIONS par qui elle a été réalisée. Elle vise à sensibiliser les pouvoirs publics, les acteurs du e-business et les entreprises du risque que constitue le commerce électronique en général, et particulièrement le risque côté marchand concernant les transactions bancaires et les paiements électroniques par l'internet. Ce rapport est une photographie fidèle du risque lié au commerce électronique, vécu et observé quotidiennement par le service de sécurisation des paiements SSL EPAY SECURITY pour le compte de ses clients marchands sur l'internet et demandeurs d'une sécurisation maximale pour leurs flux financiers.

Cet audit a été réalisé sur un échantillon de 9064 transactions bancaires par l'internet sur la période du 1/1/2000 au 31/3/2003 sélectionnées aléatoirement en volume, en position et uniformément dans le temps de manière à s'assurer au maximum de la légitimité des statistiques obtenues. Les transactions bancaires sont issues de ventes réalisées en ligne exclusivement via l'interface de paiement du service SSL EPAY SECURITY sur un panel de 100 sites marchands européens aléatoirement sélectionnés et clients de SSL EPAY SECURITY, ne se confondant pas sur les mêmes marchés et dans les mêmes activités de distribution en ligne.

L'objectivité, la réalité et la certification des informations traitées et analysées ont été scrupuleusement et rigoureusement respectées de manière à ce que la loyauté des informations communiquées ne soit pas remise en question.

Ce rapport communique des statistiques précises sur le nombre de transactions réalisées sur une période donnée (années 2000, 2001, 2002 et premier trimestre 2003), le nombre de fraudes et de refus de paiement enregistrés sur les périodes respectives (et déjouées par le service de sécurisation SSL EPAY SECURITY). Ce nombre de transactions déjouées correspond précisemment à des transactions bancaires frauduleuses (refus de paiment, tentatives de fraudes, ou fraudes avérées) réalisées par des individus quelconques, des hackers, des lamers, ou des déliquants de petite ou grande envergure qui auraient abouties à des impayés par "cartes bancaires inexistantes", "opposition de paiement", "contestation du porteur" ou "facture contestée" s'ils n'avaient pas été détectés préventivement par le service de contrôle et de certification du paiement SSL EPAY SECURITY.

Une partie des transactions interdites résulte de l'usurpation de numéros de cartes bancaires existantes, propriétés de tiers victimes, une autre partie résulte de l'utilisation de "yescards" ou "cartes blanches" qui sont des copies ou des cartes frauduleuses reconstituées. Les Centres d'Autorisation des différentes banques associés à des services de paiements sécurisés traditionnels ne pourraient pas détecter les fraudes dans l'immense majorité des cas, alors que SSL EPAY SECURITY, utilisant d'autres technologies, et d'autres moyens d'expertise, d'analyse comportementale et de renseignement déjoue la tentative de fraude dans 99,9999% des cas (pour ne pas dire 100%).

Les répudiations enregistré par SSL EPAY SECURITY (transactions effectivement redébitées par les banques suite à une opposition directement auprès de SSL EPAY SECURITY) ne concernent que moins d'une transaction douteuse sur 10000 (soit moins de 0,0001%) ce qui est nettement insignifiant, ces répudiations ne concernent pas les marchands, puisque SSL EPAY SECURITY leur reverse le montant encaissé quoi qu'il arrive en cas d'acceptation initiale du paiement (notion d'irrévocabilité) et elles ne concernent que des transactions douteuses, qui ne déclenchent pas un droit au reversement, et donc le risque financier est nul pour les deux parties.

On observe désormais qu'une part non négligeable de paiements "potentiellement à risques", ou "potentiellement frauduleux" déjoués préventivement résulte de ce que SSL EPAY SECURITY qualifie de "reflexe facile d'opposition de la part du porteur" (le propriétaire de la carte bancaire utilisée est le véritable acheteur, et il connaît la possibilité légale qu'il a de réclamer à sa banque le remboursement d'une transaction à distance dans un délai de 120 jours, sans avoir à apporter la moindre preuve de sa bonne foi, en pretextant qu'il n'est pas à l'origine de l'opération en question ou qu'il y a un litige commercial, il est alors recrédité du montant, et le marchand subi directement les dommages souvent avec des recours très limités qu'il n'exploite pas généralement dû au faible montant de l'enjeu en face du coût de la procédure judiciaire à mettre en œuvre pour le recouvrement).

Les transactions de paiement non abouties ou abandonnées en cours de saisie ne sont pas comptabilisées dans les résultats présentés dans ce rapport, les informations recceuillies ne permettant pas de définir avec exactitude s'il s'agissait de paiements réalisés de bonne ou mauvaise foi par l'internaute, avec l'intention ou non de nuire.

 

L'année 2000 a été retenue comme année de référence.

428 transactions de paiement ont été analysées, représentant un montant de 39377 €.

Sur l'année 2000, SSL EPAY SECURITY a déjoué 10 tentatives de fraudes sur un total de 428 transactions étudiées proportionnellement au volume total de transactions de l'année étudiée, soit 2,34 % de fraude par rapport au nombre de transactions.

 

En 2001,

507 transactions de paiement ont été analysées, représentant un montant de 51690 €.

Sur l'année 2001, SSL EPAY SECURITY a déjoué 29 tentatives de fraudes sur un total de 507 transactions étudiées proportionnellement au volume total de transactions de l'année étudiée, soit 5,72 % de fraude par rapport au nombre de transactions (en augmentation de près de 144% par rapport à 2000).

 

En 2002,

4881 transactions de paiement ont été analysées, représentant un montant de 576803 €.

Sur l'année 2002, SSL EPAY SECURITY a déjoué 660 tentatives de fraudes sur un total de 4881 transactions étudiées proportionnellement au volume total de transactions de l'année étudiée, soit 13,52 % de fraude par rapport au nombre de transactions (en augmentation de près de 136 % par rapport à 2001).

En 2002, le GIE CARTES BANCAIRES martèle que le taux de fraude en France n'est que de 0,02% du montant total des transactions, alors qu'il serait partout ailleurs de 0,5%.

Paradoxalement, l'année 2002 a été la pire enregistrée depuis 2000 selon la propre expérience de SSL EPAY SECURITY avec un taux record de 13,52% de refus des transactions.

 

En 2003, jusqu'au 31/3/2003,

3248 transactions de paiement ont été analysées, représentant un montant de 252099 € sur 3 mois.

SSL EPAY SECURITY a déjoué 255 tentatives de fraudes sur un total de 3248 transactions étudiées proportionnellement au volume total de transactions de la pédiode étudiée, soit 7,85 % de fraude par rapport au nombre de transactions.

 

Tableau récapitulatif des données concernant le nombre de transactions, le montant des flux financiers respectifs, le nombre de fraudes ou de tentatives de fraudes et leur augmentation par rapport à la période précédente.

Nombre de transactions analysées
Montant total traité € sur la sélection analysée
Nombre de refus de paiement, fraudes ou de tentatives de fraudes
% de fraude
Augmentation du nombre de refus, fraudes ou de tentatives de fraudes par rapport à N-1
2000
428
39377
10
2,34%
-
2001
507
51690
29
5,72%
+144%
2002
4881
576803
660
13,52%
+136%
1er trimestre 2003
3248
252099
255
7,85%
-

 

 

 

Profil de l'internaute potentiellement à risque

 

Entre janvier 2000 et mars 2003, il en ressort une certaine évolution sensible du profil du fraudeur. SSL EPAY SECURITY a clairement observé une acquisition et une maîtrise de la technique de fraude, une professionnalisation de la fraude, voire une certaine organisation de la fraude sur l'internet dans certaines activités de distribution. Les hackers et les lamers ne sont plus les seuls à user de la fraude par carte bancaire. Les différentes techniques de fraudes et les moyens de contourner les systèmes de paiements sécurisés traditionnels (systèmes bancaires) sont connus plus largement. Les modes opératoires et les processus sont techniquement très simples à mettre en œuvre et intéressent les organisations criminelles, les mafias.

Les fraudeurs ne sont plus simplement des petits déliquants sans antécédents, ou des mineurs au moment des faits. Certes, il subsiste toujours cette population de "fraudeurs curieux" qui tentent leur chance, assurés d'être anonymes sur l'internet (ce qui n'est bien entendu pas le cas), mais il est incontestable que la fraude s'organise, se prépare, et découle d'une réflexion et d'une stratégie d'escroquerie facile et peu risquée.

Par ailleurs, le recel d'objets achetés par l'internet avec des numéros de cartes bancaires usurpés, ou le blanchiment d'argent constituent des sources évidentes de financement du terrorisme.

Depuis plusieurs années, et plus significativement depuis le 11 septembre 2001, les tentatives de fraudes visant les intérêts d'entreprises européennes et françaises depuis les pays d'Afrique du Nord, du Moyen-Orient, et d'une partie de l'Asie (Indonésie notamment) est en très forte augmentation sans qu'on puisse rien y faire pour la freiner ou la stopper évidemment.

La fraude intra-européenne, et notamment en France est en augmentation constante également, elle trouve sa source dans toutes les catégories de population, urbaines et rurales, pratiquée majoritairement par des hommes (95%), majoritairement jeunes (80% sont des 15-30 ans), et au contact de la délinquance traditionnelle (habitant dans des zones géographiques à risques élevés, ou fréquentant des milieux où la délinquance est plus forte que la moyenne, notamment des ZUP).

La fraude visant les intérêts européens et français trouvant son origine en Amérique du Sud, en Europe de l'Est (Russie notamment) et depuis les Etats-Unis n'est pas significative, mais n'est pas inexistante.

De manière anecdotique, les tensions transatlantiques consécutives à la guerre en Irak dans le premier trimestre 2003, au refus de la France de s'engager aux côtés des Américains, et à l'incompréhension de la position française aux Etats-Unis par une partie de la population ont généré des tentatives de fraudes massives depuis les USA contre des sites marchands d'entreprises françaises sur l'internet au mois de Mars 2003. Les nuisances provoquées par de telles initiatives délibérées (même si elles étaient facilement déjouées puisque la plupart des commandes douteuses de clients américains comportaient à ce moment là des commentaires aux noms d'oiseaux contre la France, les numéros de cartes bancaires étaient truqués, et étaient donc d'office identifiées et détruites) ne sont pas sans conséquence sur l'activité économique de l'entreprise victime, surtout si elle ne dispose pas d'outils et d'une solution pour lutter contre la fraude. Les recours sont quasiment inexistants. La capacité de nuire est réelle. La menace existe.

 

Par ailleurs, il est incontestable que des fichiers de cartes bancaires circulent sur le marché, on observe par exemple que de très nombreux fraudeurs asiatiques utilisent des numéros de cartes bancaires de clients d'Amérique du Nord, il est effectivement peu probable compte tenu de la situation géopolitique des deux continents et de la réccurrence de ce phénomène (qui tend par ailleurs à se développer sur le même modèle avec les fraudeurs d'Afrique et du Moyen-Orient) que ces informations bancaires leurs soient tombées par hasard entre les mains. Le recel de fichiers de cartes bancaires avec nom du propriétaire et numéro complet associé à la date d'expiration de la carte, incluant parfois le code cryptogramme visuel (numéro au dos de la carte) doit être un business en plein essor.

 

 

 

Activités à risque sur l'internet

 

Les produits les plus visés par la fraude restent toujours le high-tech (informatique, logiciels, téléphonie mobile...), le voyage (réservations de vols, d'hôtels), les bijoux, les produits culturels (DVD, CD, jeux vidéos...) mais désormais également des domaines qui étaient généralement épargnés comme l'alimentation (alimentation spécialisée, alimentation générale, confiserie...), l'habillement, la décoration, mais surtout les services aux particuliers (services de rencontre, services de connectivité, services de jeux en ligne et services de jeux de hasard...), et les services aux entreprises (services de marketing, d'hébergement...). De plus en plus de sociétés de services sont victimes de paiements frauduleux ou d'impayés suite à des oppositions de paiement par carte bancaire, et ont énormément de mal à prouver leur bonne foi quant à la réalisation de la prestation compte tenu du caractère immatériel de cette dernière.

Seuls quelques domaines sont épargnés, généralement quand le bien vendu, qu'il soit matériel ou immatériel nécessite un préalable de négociation entre le marchand et son client, et où une relation de confiance s'est installée avant la concrêtisation de la transaction de paiement, ce qui ne peut hélas pas être le cas dans tous les modèles de sites marchands et dans toutes les activités commerciales sur l'internet.

 

 

 

Synthèse de l'audit

 

De ce rapport il ressort essentiellement que la fraude sur l'internet est en augmentation soutenue, que le nombre de transactions frauduleuses ou interdites augmente fortement (entre 2000 et 2003, la proportion d'interdictions sur le nombre de transactions traitées a été plus que triplé), que les moyens mis en œuvre par les pouvoirs publics pour lutter contre (ou prévenir) la fraude sont nettement insuffisants, voire sans effet, que les institutions judiciaires ne sont ni correctement dimensionnées ni formées ni même financées pour répondre à cette nouvelle problématique, que les solutions technologiques traditionnelles de paiements sécurisés proposées par les institutions bancaires ne vont pas dans le sens de la prise en compte du risque côté marchand.

Selon la propre expérience de SSL EPAY SECURITY, au premier trimestre 2003, près de 7,85% des transactions aboutissent à une interdiction suite à l'utilisation d'une carte bancaire usurpée (ou du numéro usurpé), à un fort risque d'opposition sur le paiement par le porteur pour des raisons non évidentes ou non logiques, à un risque de contestation complexe, ou tout simplement à un refus bancaire de la part de la banque du porteur (pour un motif non déterminé).

SSL EPAY SECURITY permet d'identifier très rapidement tous ces risques, ce qui n'aurait pas été le cas en utilisant des moyens traditionnels de sécurisation, en effet, une majorité des transactions refusées par SSL EPAY SECURITY se verraient acceptées par des automates de scoring ou des centres d'autorisations bancaires, malheureusement pour les marchands, mais à leur décharge, une partie serait effectivement refusée par ces mêmes centres (au motif d'interdiction de paiement, ou de refus de paiement).

Sécuriser une transaction bancaire ne peut plus seulement vouloir dire crypter des données entre un internaute client et un site marchand ou une banque (à l'aide du protocole SSL, ce que tous les prestataires de paiement se limitent à faire aujourd'hui la plupart du temps) mais aussi et surtout pouvoir contrôler, certifier et garantir à la fois que l'internaute qui paye est bien le porteur de la carte, ou qu'il agit bien avec l'accord du porteur, et surtout qu'il ne va pas ensuite s'opposer au paiement, une fois le bien matériel ou immatériel livré.

En 2003, contre toute attente, l'internaute européen, et français de surcroît n'a jamais été mieux sécurisé, autant techniquement que légalement. Le commerce électronique n'aura jamais été aussi sûr qu'en 2003 et les internautes européens peuvent faire leurs achats et leurs paiements sur l'internet en toute sécurité (de préférence sur un site internet européen). Le commerce électronique est donc, du côté client, ultra-sécurisé, le principal risque était l'usurpation de leur numéro de carte bancaire, ce risque est aujourd'hui connu, maîtrisé et extrêmement limité (probablement moins d'un cas pour 1000000 transactions sur l'internet et dans le commerce traditionnel confondus). C'est une toute autre histoire pour le marchand sur l'internet, car aujourd'hui, le risque est essentiellement, pour ne pas dire quasi-exclusivement du côté marchand.

 

 

 

 

 

 

 


Publication réalisée sous la direction de Mr Olivier RIMMEL pour le compte de GLOBAL INTERNET SOLUTIONS.
Ce rapport a été transmis au GIE CARTES BANCAIRES, au MINISTERE DE L'INTERIEUR, au MINISTERE DES FINANCES, au MINISTERE DE LA JUSTICE et à la presse.

 

 

© MAI 2003 GLOBAL INTERNET SOLUTIONS - Tous droits réservés pour tous pays et dans toutes les langues.

Publication partielle autorisée dans la presse avec mention de la source et de la date de publication originale: "20/05/2003 - GLOBAL INTERNET SOLUTIONS - PAIEMENT SÉCURISÉ SSL EPAY SECURITY - http://www.epaysecurity.com"

Reproduction partielle ou totale interdite sans autorisation préalable de GLOBAL INTERNET SOLUTIONS

Pour toute publication, adressez une demande d'autorisation par email à direction@epaysecurity.com