En 2003, la fraude à la carte bancaire sur l'internet augmente encore en France et en Europe.

Publication originale du 8 Janvier 2004
disponible sur le site http://www.epaysecurity.com

 

SSL EPAY SECURITY est une solution de paiement dite irrévocable propriété de la société GLOBAL INTERNET SOLUTIONS, inventée par une équipe française dès la fin 1996. La solution, reconnue comme la plus sécuritaire du marché est créée et dirigée par Olivier RIMMEL, spécialiste de la sécurité des Technologies de l'Information et des Communications, fort de 19 années d'expérience en intelligence artificielle et dans le développement et l'automatisation de systèmes d'assistance à la décision, notamment en matière de commerce électronique. La société est implantée aujourd'hui en France et aux Etats-Unis et gère le risque client lié aux flux de paiement pour plus de 1000 marchands sur l'internet.

Le service de contrôle des paiements électroniques SSL EPAY est un observatoire idéal de la fraude aux moyens de paiement sur l'internet, puisqu'il représente une solution de gestion électronique intégrale préventive et active du risque client et de recouvrement pour des marchands électroniques sur l'internet (des entreprises qui vendent des services ou des biens matériels ou immatériels et qui sont clientes de SSL EPAY).

Par nature SSL EPAY sécurise les flux financiers entre des clients finaux (des internautes) et des marchands en mettant en œuvre des technologies de cryptage SSL couplés à des moyens de certification et d'authentification du porteur de la carte bancaire dont le process est privatif. De nombreuses informations d'ordre comportementales sont prises en compte dans la gestion du risque client sur l'internet par SSL EPAY.

La synthèse de toutes les informations récupérées avant, pendant et après une transaction bancaire électronique, l'utilisation de technologies d'aide à la décision et l'expertise du facteur humain (transactions contrôlées par des opérateurs humains) permettent d'apporter la notion d'irrévocabilité du paiement en ligne, annulant ainsi tout risque d'impayé pour le marchand, ce qui n'est absolument pas le cas par des moyens traditionnels (SSL EPAY supporte le risque client à la place des marchands, tel un factor, pour qui elle assure la gestion intégrale des créances de manière électronique et transparente, en plus du transport sécurisé des informations de paiement).

Toutes les transactions bancaires traitées par SSL EPAY sont contrôlées par des opérateurs humains spécialistes de la détection de fraudes aux moyens de paiement, formés au contact des technologies les plus récentes et innovantes.

Ce rapport fait suite au précédent audit publié en mai 2003 évoquant la fraude entre 2000 et le premier trimestre 2003.

 

 

 

Analyse des informations relatives à la fraude à la carte bancaire et aux refus de paiements électroniques effectués sur l'internet dans la période du 1/1/2003 au 31/12/2003

 

Cette publication est une initiative privée et indépendante, ni contrôlée, ni supervisée, ni engendrée par une quelconque administration publique ou privée autre que la société GLOBAL INTERNET SOLUTIONS par qui elle a été réalisée. Elle vise à sensibiliser les pouvoirs publics, les acteurs du e-business et les entreprises du risque que constitue le commerce électronique en général, et particulièrement le risque côté marchand concernant les transactions bancaires et les paiements électroniques par l'internet. Ce rapport est une photographie fidèle du risque lié au commerce électronique, vécu et observé quotidiennement par le service de sécurisation des paiements SSL EPAY pour le compte de ses clients marchands sur l'internet et demandeurs d'une sécurisation maximale pour leurs flux financiers.

Cette étude a été réalisé sur un échantillon de 17754 transactions bancaires par l'internet sur la période du 1/1/2003 au 31/12/2003 sélectionnées aléatoirement en volume, en position et uniformément dans le temps de manière à s'assurer au maximum de la légitimité des statistiques obtenues. Les transactions bancaires sont issues de ventes réalisées en ligne exclusivement chez des marchands affiliés à SSL EPAY, et dont le paiement a été réalisé via l'interface de paiement du service SSL EPAY sur un panel de 150 sites marchands européens aléatoirement sélectionnés clients de SSL EPAY, ne se confondant pas sur les mêmes marchés et dans les mêmes activités de distribution en ligne.

L'objectivité, la réalité et la certification des informations traitées et analysées sont scrupuleusement et rigoureusement respectées de manière à ce que la loyauté des informations communiquées ne soit pas remise en question.

Ce rapport communique des statistiques précises sur le nombre de transactions réalisées sur une période donnée (année 2003), le nombre de fraudes et de refus de paiement enregistrés sur les périodes respectives (et déjoués par le service de sécurisation SSL EPAY SECURITY). Ce nombre de transactions déjouées correspond précisemment à des transactions bancaires frauduleuses (refus de paiment, tentatives de fraudes, usurpations d'identité ou fraudes avérées) réalisées par des individus quelconques, des hackers, des lamers, ou des déliquants de petite ou grande envergure qui auraient abouties à des impayés par "cartes bancaires inexistantes", "opposition de paiement", "contestation du porteur", "répudiation bancaire" ou "facture contestée" s'ils n'avaient pas été détectés préventivement par le service de contrôle et de certification du paiement SSL EPAY.

Une partie des transactions interdites résulte de l'usurpation de numéros de cartes bancaires existantes, propriétés de tiers victimes, une autre partie résulte de l'utilisation de "yes cards" ou "cartes blanches" qui sont des copies ou des cartes frauduleuses reconstituées. Les Centres d'Autorisation des différentes banques associés à des services de paiements sécurisés traditionnels ne pourraient pas détecter les fraudes dans l'immense majorité des cas, alors que SSL EPAY, utilisant d'autres technologies, et d'autres moyens d'expertise, d'analyse comportementale et de renseignement déjoue la tentative de fraude dans 99,99% des cas (pour ne pas dire 100%).

Les répudiations enregistrées par SSL EPAY (transactions effectivement redébitées par les banques suite à une opposition) ne concernent que moins d'une transaction douteuse sur 10000 (soit moins de 0,0001%) ce qui est nettement insignifiant, ces répudiations ne concernent pas les marchands, puisque SSL EPAY leur reverse le montant encaissé quoi qu'il arrive en cas d'acceptation initiale du paiement (engagement d'irrévocabilité) et elles ne concernent que des transactions douteuses, qui ne déclenchent pas un droit au reversement, et donc le risque financier est nul pour les deux parties.

On observe désormais qu'une part non négligeable de paiements "potentiellement à risques", ou "potentiellement frauduleux" déjoués préventivement résulte de ce que SSL EPAY qualifie de "reflexe facile d'opposition de la part du porteur" (le propriétaire de la carte bancaire utilisée est le véritable acheteur, et il connaît la possibilité légale qu'il a de réclamer à sa banque le remboursement d'une transaction à distance dans un délai de 120 jours, sans avoir à apporter la moindre preuve de sa bonne foi, en pretextant qu'il n'est pas à l'origine de l'opération en question ou qu'il y a un litige commercial, il est alors recrédité du montant, et le marchand subi directement les dommages souvent avec des recours très limités qu'il n'exploite pas généralement dû au faible montant de l'enjeu en face du coût de la procédure judiciaire à mettre en œuvre pour le recouvrement).

Les transactions de paiement non abouties ou abandonnées en cours de saisie ne sont pas comptabilisées dans les résultats présentés dans ce rapport, les informations recceuillies ne permettant pas de définir avec exactitude s'il s'agissait de paiements réalisés de bonne ou mauvaise foi par l'internaute, avec l'intention ou non de nuire.

 

En 2003,

17754 transactions de paiement ont été analysées, représentant un montant de 1211923€.

Sur l'année 2003, SSL EPAY a déjoué 1637 tentatives de fraudes sur un total de 17754 transactions étudiées proportionnellement au volume total de transactions de l'année étudiée, soit 9,22 % de fraude par rapport au nombre de transactions (presque une transaction sur 10).

En 2003, le GIE CARTES BANCAIRES indique un niveau de fraude nettement inférieur à 0,1% (il concerne tout le business de la carte bancaire, et pas seulement les ventes en ligne). SSL EPAY SECURITY constate donc un écart dramatique entre les informations officielles, et les informations obtenues sur le terrain.

Paradoxalement, l'année 2003 a été la pire enregistrée en volume de fraude depuis 2000 (et non en nombre, le volume financier étant un paramètre plus "parlant") selon la propre expérience de SSL EPAY avec un taux record de 9,22% de refus des transactions pour un volume total traité de 1211923€.

Entre 2001 et 2003, le pourcentage de fraude a presque doublé en deux ans (il est passé de 5,72% à 9,22%) et le nombre de fraudes a presque triplé (il passe de 660 à 1637 fraudes).

Lors du précédent rapport publié en mai 2003, la fraude représentait 7,85% des transactions lors du premier trimestre 2003, pour terminer à 9,22% sur l'année entière, elle s'est donc encore accentuée sur les 9 derniers mois.

 

 

Tableau récapitulatif des données concernant le nombre de transactions, le montant des flux financiers respectifs, le nombre de fraudes ou de tentatives de fraudes et leur augmentation par rapport à la période précédente.

Nombre de transactions analysées
Montant total traité € sur la sélection analysée (en K€)
Nombre de fraudes
% de fraude
2000
428
39KE
10
2,34%
2001
507
51KE
29
5,72%
2002
4881
576KE
660
13,52%
1er trimestre 2003
3248
252KE
255
7,85%
2003
17754
1211KE
1637
9,22%

 

 

 

Profil du fraudeur et nouveaux risques

 

En 2003, il en ressort une nouvelle évolution du profil du fraudeur. SSL EPAY avait déjà clairement constaté une acquisition et une maîtrise de la technique de fraude, une professionnalisation de la fraude, voire une certaine organisation de la fraude sur l'internet dans certaines activités de distribution. Les hackers et les lamers ne sont plus les seuls à user de la fraude par carte bancaire. Les différentes techniques de fraudes et les moyens de contourner les systèmes de paiements sécurisés traditionnels (systèmes bancaires) sont connus plus largement. Les modes opératoires et les processus sont techniquement très simples à mettre en œuvre et intéressent les organisations criminelles, les mafias.

Les fraudeurs ne sont plus simplement des petits déliquants sans antécédents, ou des mineurs au moment des faits. Certes, il subsiste toujours cette population de "fraudeurs curieux" qui tentent leur chance, assurés d'être anonymes sur l'internet (ce qui n'est bien entendu pas le cas), mais il est incontestable que la fraude s'organise, se prépare, et découle d'une réflexion et d'une stratégie d'escroquerie facile et peu risquée.

Le fraudeur est plutôt un homme (95% des cas), il a entre 15 et 20 ans (30% des cas), entre 20 et 30 ans (40% des cas) ou entre 30 et 50 ans+ (30% des cas), il est originaire de France (40% des cas), plutôt urbain (80% des cas) et toujours au contact de la délinquance traditionnelle (habitant dans des zones géographiques à risques élevés, ou fréquentant des milieux où la délinquance est plus forte que la moyenne, notamment des ZUP).

SSL EPAY a constaté une recrudescence des fraudeurs mineurs (moins de 18 ans) qui utilisent à leur insu la carte bancaire de leurs parents, leurs proches ou leurs amis.

Depuis plusieurs années, et plus significativement depuis le 11 septembre 2001, les tentatives de fraudes visant les intérêts d'entreprises européennes et françaises depuis les pays d'Afrique du Nord, du Moyen-Orient, et d'une partie de l'Asie est en très forte augmentation sans qu'on puisse rien y faire pour la freiner ou la stopper évidemment.

De plus, 60% des fraudes sont commises depuis l'étranger par des étrangers, et 80% des fraudes etrangères proviennent des pays du Maghreb, et visent des intérêts Européens (France pour ce qui nous concerne plus particulièrement) et d'Amérique du Nord (Etats-Unis essentiellement). Généralement, les individus (essentiellement du Moyen-Orient) utilisent des cartes bancaires dont les numéros sont usurpés à des citoyens européens ou américains, sans qu'on ne connaisse l'origine de la collecte frauduleuse du numéro de carte bancaire.

Par ailleurs, le recel d'objets achetés par l'internet avec des numéros de cartes bancaires usurpés, ou le blanchiment d'argent constituent des sources évidentes de financement du terrorisme.

De manière anecdotique, les tensions transatlantiques ont généré une diminution importante de transactions de clients américains chez les marchands européens (et surtout français), alors que les achats de clients européens chez des marchands américains ne cessent d'augmenter, la baisse du dollar y est probablement pour quelque chose, mais pas uniquement, il existe une crise profonde, SSL EPAY le constate dans les échanges de mails avec les clients américains.

Par ailleurs, il est incontestable que des fichiers de cartes bancaires circulent sur le marché, on observe par exemple que de très nombreux fraudeurs d'Asie ou du Maghreb utilisent des numéros de cartes bancaires de clients d'Amérique du Nord ou d'Europe, il est effectivement peu probable compte tenu de la situation géopolitique des deux continents et de la réccurrence de ce phénomène (qui tend par ailleurs à se développer sur le même modèle avec les fraudeurs d'Afrique et du Moyen-Orient) que ces informations bancaires leurs soient tombées par hasard entre les mains. Le recel de fichiers de cartes bancaires avec nom du propriétaire et numéro complet associé à la date d'expiration de la carte, incluant parfois le code cryptogramme visuel (numéro au dos de la carte) doit être un business en plein essor.

La nouvelle difficulté qui concerne la paiement électronique est l'usurpation d'identité, les fraudeurs ne se contentent plus d'usurper la carte bancaire, il usurpent maintenant l'identité du porteur et se font passer pour lui.

La fraude par chèque est également une problématique nouvelle. Des individus tentent de payer en ligne avec des cartes bancaires frauduleuses, se rendent compte qu'ils vont être contrôlés, et envoient des faux chèques ou des chèques volés aux marchands.

SSL EPAY reconnaît également que les internautes de bonne foi co-opèrent de mieux en mieux lors des contrôles qu'ils peuvent subir pour authentifier un paiement (vérification d'identité, collecte du code cryptogramme visuel, etc.). Tout le monde a compris l'intérêt de sécuriser le flux bancaire au delà du simple cryptage de point à point. Le contrôle humain s'avère indispensable et rassurant. Les internautes ont toujours une certaine réticence à laisser leur numéro de carte bancaire sur l'internet.

 

 

 

Activités à risque sur l'internet

 

Les produits les plus visés par la fraude restent toujours le high-tech (informatique, logiciels, téléphonie mobile...), le voyage (réservations de vols, d'hôtels), les bijoux, les produits culturels (DVD, CD, jeux vidéos...) mais désormais également des domaines qui étaient généralement épargnés comme l'alimentation (alimentation spécialisée, alimentation générale, confiserie...), l'habillement, la décoration, mais surtout les services aux particuliers (services de rencontre, services de connectivité, services de jeux en ligne et services de jeux de hasard...), et les services aux entreprises (services de marketing, d'hébergement...). De plus en plus de sociétés de services sont victimes de paiements frauduleux ou d'impayés suite à des oppositions de paiement par carte bancaire, et ont énormément de mal à prouver leur bonne foi quant à la réalisation de la prestation compte tenu du caractère immatériel de cette dernière.

Seuls quelques domaines sont épargnés, généralement quand le bien vendu, qu'il soit matériel ou immatériel nécessite un préalable de négociation entre le marchand et son client, et où une relation de confiance s'est installée avant la concrêtisation de la transaction de paiement, ce qui ne peut hélas pas être le cas dans tous les modèles de sites marchands et dans toutes les activités commerciales sur l'internet.

Il subsiste néanmoins une inquiétude grandissante. SSL EPAY a observé que plus un site internet bénéficie d'une grande notoriété, plus il fait l'objet d'attaques et de tentatives de fraude, et plus un site est automatisé dans ses processus (peu d'interventions humaines, ou trop de transactions à traiter ce qui rend le travail humain impossible) et plus il enregistre un risque élevé de fraude.

Placez un individu lambda devant un vendeur de boissons ambulant avec des gens partout autour, en plein jour, il ne va ni le voler, ni le frapper pour obtenir sa boisson.

Placez ce même individu lambda devant un distributeur automatique de boissons, sans personne autour, et dans la nuit, il y a des chances pour qu'il tente d'obtenir sa boisson sans payer en tapant sur la machine, et en essayant de récupérer de l'argent en entrant sa main dans le collecteur de monnaie.

SSL EPAY SECURITY considère qu'un individu consommateur sur l'internet est comparable à quelqu'un qu'on place seul devant un distributeur automatique, de nuit, et donc le risque est réel pour quiconque vendra quelque chose par ce distributeur.

 

 

 

Synthèse de l'étude

 

De ce rapport il ressort essentiellement que la fraude sur l'internet poursuit un mouvement infernal d'augmentation en 2003, que le nombre de transactions frauduleuses ou interdites augmente fortement (entre 2000 et 2003, la proportion d'interdictions sur le nombre de transactions traitées a été plus que triplé), que les moyens mis en œuvre par les pouvoirs publics pour lutter contre (ou prévenir) la fraude sont toujours nettement insuffisants, voire sans effet, que les institutions judiciaires ne sont ni correctement dimensionnées ni formées ni même financées pour répondre à cette nouvelle problématique, que les solutions technologiques traditionnelles de paiements sécurisés proposées par les institutions bancaires ne vont pas dans le sens de la prise en compte du risque côté marchand.

A ce jour, il n'existe pas d'autre étude sur le comportement des fraudeurs en ligne, les données liées à la criminalité informatique ne sont pas intégrées dans les résultats des organismes bancaires officiels alors qu'elles sont primordiales pour comprendre la problématique nouvelle de la sécurité des paiements électroniques. Aucun autre rapport ne révèle de chiffres sur les tentatives de fraude, et d'ailleurs la plupart du temps, les tentatives ne sont pas mesurées, et encore moins analysées. Les acteurs du commerce électronique considèrent encore trop souvent à tort qu'une fraude est uniquement un acte d'achat avec utilisation d'une carte bancaire usurpée, or il a été démontré qu'il existe de multiples autres types de cas à risques, sans parler des tentatives, qui peuvent se transformer par nature, en fraudes potentielles, et qui ne sont quasiment jamais détectées par les moyens de sécurisation traditionnels, et ainsi, passent à la trappe dans toutes les statistiques.

Les tribunaux ne poursuivent quasiment jamais les fraudes inférieures à 60€, encore moins les tentatives, ce qui a conduit SSL EPAY SECURITY à transmettre les plaintes groupées par dizaines chaque semaine, de manière à générer des dossiers conséquents, ce qui oblige les institutions judiciaires à faire respecter la loi en cas de fraude.

SSL EPAY SECURITY est une des rares entreprises en France a être autorisée à pratiquer "la transmission directe de plaintes au parquet" de manière totalement automatisée, ce qui permet un taux d'élucidation des dossiers litigieux extrêmement élevé, du fait d'un gain de temps indéniable.

Sur la base de l'expérience de SSL EPAY SECURITY, en 2003, près de 9,22% des transactions aboutissent à une interdiction suite à l'utilisation d'une carte bancaire usurpée (ou du numéro usurpé), à un fort risque d'opposition sur le paiement par le porteur pour des raisons non évidentes ou non logiques, à un risque de contestation complexe, ou tout simplement à un refus bancaire de la part de la banque du porteur (pour un motif non déterminé) ce qui caractérise une fraude.

SSL EPAY SECURITY permet d'identifier très rapidement tous ces risques, ce qui n'aurait pas été le cas en utilisant des moyens traditionnels de sécurisation, en effet, une majorité des transactions refusées par SSL EPAY SECURITY se verraient acceptées par des automates de scoring ou des centres d'autorisations bancaires, malheureusement pour les marchands, mais à leur décharge, une partie serait effectivement refusée par ces mêmes centres (au motif d'interdiction de paiement, ou de refus de paiement).

Sécuriser une transaction bancaire ne peut plus seulement vouloir dire crypter des données entre un internaute client et un site marchand ou une banque (à l'aide du protocole SSL, ce que tous les prestataires de paiement se limitent à faire aujourd'hui la plupart du temps) mais aussi et surtout pouvoir contrôler, certifier et garantir à la fois que l'internaute qui paye est bien le porteur de la carte, ou qu'il agit bien avec l'accord du porteur, et surtout qu'il ne va pas ensuite s'opposer au paiement, une fois le bien matériel ou immatériel livré.

En 2003, l'internaute européen, et français de surcroît n'a jamais été mieux sécurisé, autant techniquement que légalement. Le commerce électronique n'aura jamais été aussi sûr qu'en 2003 et les internautes européens peuvent faire leurs achats et leurs paiements sur l'internet en toute sécurité (de préférence sur un site internet européen). Le commerce électronique est donc, du côté client, ultra-sécurisé, le principal risque était l'usurpation de leur numéro de carte bancaire, ce risque est aujourd'hui connu, maîtrisé et extrêmement limité (probablement moins d'un cas pour un million de transactions tous marchés confondus).

C'est une toute autre histoire pour le marchand sur l'internet, car aujourd'hui, le risque est essentiellement, pour ne pas dire quasi-exclusivement de son côté.

 

 

 

 

 

 

 


Publication réalisée sous la direction de Mr Olivier RIMMEL pour le compte de GLOBAL INTERNET SOLUTIONS.
Ce rapport a été transmis au GIE CARTES BANCAIRES, au MINISTERE DE L'INTERIEUR, au MINISTERE DES FINANCES, au MINISTERE DE LA JUSTICE et à la presse en Europe et aux USA.

 

 

© JANVIER 2004 GLOBAL INTERNET SOLUTIONS - Tous droits réservés pour tous pays et dans toutes les langues.

Publication partielle autorisée dans la presse avec mention de la source et de la date de publication originale: "8/01/2004 - GLOBAL INTERNET SOLUTIONS - PAIEMENT SÉCURISÉ SSL EPAY SECURITY - http://www.epaysecurity.com"

Reproduction partielle ou totale interdite sans autorisation préalable de GLOBAL INTERNET SOLUTIONS

Pour toute publication, adressez une demande d'autorisation par email à direction@epaysecurity.com