En 2004, la fraude à la carte bancaire sur l'internet augmente toujours en France et en Europe.

Publication originale du 7 Février 2005
disponible sur le site http://www.epaysecurity.com

 

Le service de contrôle des paiements électroniques SSL EPAY est un observatoire idéal de la fraude aux moyens de paiement sur l'internet, puisqu'il représente une solution de gestion électronique intégrale préventive et active du risque client et de recouvrement pour des marchands électroniques sur l'internet (des entreprises qui vendent des services ou des biens matériels ou immatériels et qui sont clientes de SSL EPAY).

Par nature SSL EPAY sécurise les flux financiers entre des clients finaux (des internautes) et des marchands en mettant en œuvre des technologies de cryptage SSL couplés à des moyens de certification et d'authentification du porteur de la carte bancaire dont le process est privatif. De nombreuses informations d'ordre comportementales sont prises en compte dans la gestion du risque client sur l'internet par SSL EPAY.

La synthèse de toutes les informations récupérées avant, pendant et après une transaction bancaire électronique, l'utilisation de technologies d'aide à la décision et l'expertise du facteur humain (transactions contrôlées par des opérateurs humains) permettent d'apporter la notion d'irrévocabilité du paiement en ligne, annulant ainsi tout risque d'impayé pour le marchand, ce qui n'est absolument pas le cas par des moyens traditionnels (SSL EPAY supporte le risque client à la place des marchands, tel un factor, pour qui elle assure la gestion intégrale des créances de manière électronique et transparente, en plus du transport sécurisé des informations de paiement).

Toutes les transactions bancaires traitées par SSL EPAY sont contrôlées par des opérateurs humains spécialistes de la détection de fraudes aux moyens de paiement, formés au contact des technologies les plus récentes et innovantes.

Ce rapport fait suite aux précédents audits publiés en 2003 et 2004 évoquant la fraude entre l'année 2000 et 2005.

 

Analyse des informations relatives à la fraude à la carte bancaire et aux refus de paiements électroniques effectués sur l'internet dans la période du 1/1/2004 au 31/12/2004

 

Cette publication est une initiative privée et indépendante, ni contrôlée, ni supervisée, ni déclenchée par une quelconque administration publique ou privée autre que la société GLOBAL INTERNET SOLUTIONS par qui elle a été réalisée. Elle vise à sensibiliser les pouvoirs publics, les acteurs du commerce électronique et les entreprises du risque que constitue le e-business en général, et particulièrement le risque côté marchand concernant les transactions bancaires et les paiements électroniques par l'internet. Ce rapport est une photographie fidèle du risque lié au commerce électronique, vécu et observé quotidiennement par le service de sécurisation des paiements SSL EPAY pour le compte de ses clients marchands sur l'internet et demandeurs d'une sécurisation maximale pour leurs flux financiers.

Cette étude a été réalisé sur un échantillon de 44279 transactions bancaires par l'internet sur l'année 2004 sélectionnées aléatoirement en volume, en position et uniformément dans le temps de manière à s'assurer au maximum de la légitimité des statistiques obtenues. Les transactions bancaires sont issues de ventes réalisées en ligne exclusivement chez des marchands affiliés à SSL EPAY, et dont le paiement a été réalisé via l'interface de paiement du service SSL EPAY sur un panel de 400 sites marchands européens aléatoirement sélectionnés clients de SSL EPAY, ne se confondant pas sur les mêmes marchés et dans les mêmes activités de distribution en ligne.

L'objectivité, la réalité et la certification des informations traitées et analysées sont scrupuleusement et rigoureusement respectées de manière à ce que la loyauté des informations communiquées ne soit pas remise en question. Le très grand nombre d'échantillons exploités dans l'analyse par sondage garanti la partialité des résultats.

Ce rapport communique des statistiques précises sur le nombre de transactions réalisées sur une période donnée (année 2004), ainsi que le nombre de fraudes et de refus de paiement enregistrés sur la période respective (et déjoués par le service de sécurisation SSL EPAY SECURITY). Ce nombre de transactions déjouées correspond précisemment à des transactions bancaires frauduleuses (refus de paiment, tentatives de fraudes, usurpations d'identité ou fraudes avérées) réalisées par des individus quelconques, des hackers, des lamers, ou des délinquants de toute envergure qui auraient abouties à des impayés par "cartes bancaires inexistantes", "opposition de paiement", "contestation du porteur", "répudiation bancaire", "usage abusif de moyen de paiement électronique", "usurpation d'identité" ou "facture contestée" s'ils n'avaient pas été détectés préventivement par le service de contrôle et de certification du paiement SSL EPAY.

Une partie des transactions interdites résulte de l'usurpation de numéros de cartes bancaires existantes, propriétés de tiers victimes, une autre partie résulte de l'utilisation de "yes cards" ou "cartes blanches" qui sont des copies ou des cartes frauduleuses reconstituées. Les Centres d'Autorisation des différentes banques associés à des services de paiements sécurisés traditionnels ne pourraient pas détecter les fraudes dans l'immense majorité des cas, alors que SSL EPAY, utilisant d'autres technologies, et d'autres moyens d'expertise, d'analyse comportementale et de renseignement déjoue la tentative de fraude dans 99,9999% des cas.

Les répudiations enregistrées par SSL EPAY (transactions effectivement redébitées par les banques suite à une opposition) ne concernent que moins d'une transaction douteuse sur 10000 (soit moins de 0,0001%) ce qui est nettement insignifiant, ces répudiations ne concernent pas les marchands, puisque SSL EPAY leur reverse le montant encaissé quoi qu'il arrive en cas d'acceptation initiale du paiement (engagement d'irrévocabilité) et elles ne concernent que des transactions douteuses, qui ne déclenchent pas un droit au reversement, et donc le risque financier est nul pour les deux parties.

On observe désormais qu'une part non négligeable de paiements "potentiellement à risques", ou "potentiellement frauduleux" déjoués préventivement résulte de ce que SSL EPAY qualifie de "reflexe facile d'opposition de la part du porteur" (le propriétaire de la carte bancaire utilisée est le véritable acheteur, et il connaît la possibilité légale qu'il a de réclamer à sa banque le remboursement d'une transaction à distance dans un délai de 120 jours, sans avoir à apporter la moindre preuve de sa bonne foi, en pretextant qu'il n'est pas à l'origine de l'opération en question ou qu'il y a un litige commercial, il est alors recrédité du montant, et le marchand subi directement les dommages souvent avec des recours très limités qu'il n'exploite pas généralement dû au faible montant de l'enjeu en face du coût de la procédure judiciaire à mettre en œuvre pour le recouvrement).

Les transactions de paiement non abouties ou abandonnées en cours de saisie ne sont pas comptabilisées dans les résultats présentés dans ce rapport, les informations recceuillies ne permettant pas de définir avec exactitude s'il s'agissait de paiements réalisés de bonne ou mauvaise foi par l'internaute, avec l'intention ou non de nuire.

 

Concernant l'année 2004,

44279 transactions de paiement ont été analysées, représentant un volume traité de 3 641 455 € en valeur.

Sur cette période, SSL EPAY a déjoué 3325 tentatives de fraudes sur un total de 44279 transactions étudiées proportionnellement au volume total de transactions de la période écoulée, soit 7,51 % de fraude par rapport au nombre de transactions (presque une transaction sur 13).

En plus des 44279 transactions analysées, et contrairement aux années précédentes où ces informations n'avaient pas été évoquées, il conviendrait d'ajouter 15712 autres transactions qui ont été automatiquement bloquées par le système SSL EPAY CONTROL pour des motifs sans équivoque et n'engageant pas de poursuites judiciaires pour leurs auteurs (doutes sérieux et éléments suspects, transactions d'internautes qui cherchent à "tester le paiement", en entrant notamment des informations typiquement erronnées, insuffisantes ou tronquées). Le taux de tentatives frauduleuses passerait alors à 31,73 % pour 19037 transactions "bloquées" sur 59991 au total.

En 2004, le GIE CARTES BANCAIRES indique un niveau de fraude nettement inférieur à 0,1% (il concerne tout le business de la carte bancaire, et pas seulement les ventes en ligne). SSL EPAY SECURITY constate donc un écart dramatique entre les informations des canaux officiels, et les informations obtenues in fine, cet écart ne cesse d'augmenter en volume.

L'année 2004 a été le pire enregistré en valeur de fraude depuis 2000 (et pas seulement en nombre, le volume financier étant un paramètre plus "parlant") selon la propre expérience de SSL EPAY avec un taux record sur le volume de 7,51 % de refus des transactions correspondant à un montant de 751 708 € pour un volume total traité de 3 641 455 € en valeur.

Entre 2000 et fin 2004, le pourcentage de fraude a presque quadruplé en 4 ans (il est passé de 2,34 % à 7,51 %) mais le montant des fraudes a atteint 20,64 % du montant total des transactions, ce qui constitue un record absolu très critique en matière de risque client pur.

Lors du précédent rapport publié en janvier 2004, la fraude représentait 9,22% des transactions sur l'année 2003. Au 1er semestre 2004, elle s'est encore accentuée pour plafonner à 9,78%, en augmentation de 6% par rapport à l'année précédente, pour se stabiliser à 7,51 % en moyenne annuelle (proportion du nombre de transactions refusées).

 

Tableau récapitulatif des données concernant le nombre de transactions, le montant des flux financiers respectifs, le nombre de fraudes ou de tentatives de fraudes et leur augmentation par rapport à la période précédente.

Nombre de transactions analysées
Montant total traité € sur la sélection analysée (en K€)
Nombre de fraudes
% de fraude
2000
428
39KE
10
2,34%
2001
507
51KE
29
5,72%
2002
4881
576KE
660
13,52%
1er trimestre 2003
3248
252KE
255
7,85%
2003
17754
1211KE
1637
9,22%
1er semestre 2004
21845
1653KE
2136
9,78%
2004
44279
3641KE
3325
7,51%

 

Nous sommes parvenus à determiner le montant moyen d'une tentative de fraude, il est de 226,08 € presque 4 fois plus important qu'en 2003.

En 2004, le panier moyen des transactions sur l'internet est désormais de 82,24 € en progression de près de 13 % par rapport à l'année précédente.

 

Profil du fraudeur et nouveaux risques

 

En 2004, il en ressort une nouvelle évolution du profil du fraudeur. SSL EPAY avait déjà clairement constaté une acquisition et une maîtrise de la technique de fraude, une professionnalisation de la fraude, voire une certaine organisation de la fraude sur l'internet dans certaines activités de distribution. Les hackers ne sont plus les seuls à user de la fraude par carte bancaire. Les différentes techniques de fraudes et les moyens de contourner les systèmes de paiements sécurisés traditionnels (systèmes bancaires) sont connus plus largement. Les modes opératoires et les processus sont techniquement très simples à mettre en œuvre et intéressent les organisations criminelles, les mafias.

Les fraudeurs ne sont plus simplement des petits déliquants sans antécédents, ou des mineurs au moment des faits. Certes, il subsiste toujours cette population de "fraudeurs curieux" qui tentent leur chance, assurés d'être anonymes sur l'internet (ce qui n'est bien entendu pas le cas), mais il est incontestable que la fraude s'organise, se prépare, et découle d'une réflexion et d'une stratégie d'escroquerie facile et peu risquée.

Le fraudeur est plutôt un homme (95% des cas), il a entre 15 et 20 ans (30% des cas), entre 20 et 30 ans (40% des cas) ou entre 30 et 50 ans+ (30% des cas), il est originaire de France (35% des cas), et désormais surtout étranger (65% des cas), plutôt urbain (80% des cas) et toujours au contact de la délinquance traditionnelle (habitant dans des zones géographiques à risques élevés, ou fréquentant des milieux où la délinquance est plus forte que la moyenne, notamment des ZUP).

SSL EPAY a constaté une recrudescence des fraudeurs mineurs (moins de 18 ans) qui utilisent à leur insu la carte bancaire de leurs parents, leurs proches ou leurs amis.

Depuis plusieurs années, et plus significativement depuis le 11 septembre 2001, les tentatives de fraudes visant les intérêts d'entreprises européennes et françaises depuis les pays d'Afrique du Nord, du Moyen-Orient, et d'une partie de l'Asie est en très forte augmentation sans qu'on puisse rien y faire pour la freiner ou la stopper évidemment.

De plus, 65% donc des fraudes sont commises depuis l'étranger par des étrangers, et 80% des fraudes etrangères proviennent essentillement des pays du Maghreb (Algérie, Maroc, Tunisie, ...), d'Afrique (Côte d'Ivoire, Cameroun, Gabon, ...) et du Moyen-Orient (Égypte, Israël, Palestine, Liban, Jordanie, ...) et visent des intérêts Européens (France pour ce qui nous concerne plus particulièrement) et d'Amérique du Nord (Etats-Unis essentiellement). Généralement, les individus (essentiellement du Moyen-Orient) utilisent des cartes bancaires dont les numéros sont usurpés à des citoyens européens ou américains, sans qu'on ne connaisse l'origine de la collecte frauduleuse du numéro de carte bancaire.

Du fait de la crise économique et politique qui touche la Côte-d'Ivoire, il est devenu absolument impossible d'envisager de faire du commerce électronique avec ce pays. La fraude semble y être installée pour longtemps sans solution pour y remédier.

Nous pensons que le phishing (technique qui consiste à usurper l'identitée et les données bancaires d'un internaute en lui faisant croire qu'il communique avec sa banque est la principale source de collecte d'informations confidentielles à l'origine des fraudes.

Par ailleurs, le recel d'objets achetés par l'internet avec des numéros de cartes bancaires usurpés, ou le blanchiment d'argent constituent des sources évidentes de financement du terrorisme.

Nous avons de fortes présomptions sur le fait qu'une grande partie des fraudes servent à alimenter des réseaux criminels et terroristes à travers l'internet.

Par ailleurs, il est incontestable que des fichiers de cartes bancaires circulent sur le marché, on observe par exemple que de très nombreux fraudeurs d'Asie ou du Maghreb utilisent des numéros de cartes bancaires de clients d'Amérique du Nord ou d'Europe, il est effectivement peu probable compte tenu de la situation géopolitique des deux continents et de la réccurrence de ce phénomène (qui tend par ailleurs à se développer sur le même modèle avec les fraudeurs d'Afrique et du Moyen-Orient) que ces informations bancaires leurs soient tombées par hasard entre les mains. Le recel de fichiers de cartes bancaires avec nom du propriétaire et numéro complet associé à la date d'expiration de la carte, incluant parfois le code cryptogramme visuel (numéro au dos de la carte) doit être un business en plein essor.

La nouvelle difficulté qui concerne la paiement électronique est l'usurpation d'identité, les fraudeurs ne se contentent plus d'usurper la carte bancaire, il usurpent maintenant l'identité du porteur et se font passer pour lui. Depuis un certain temps nous constatons que les codes de sécurité qui se trouvent au dos des cartes sont également utilisés lors de fraudes, ce qui prouve leur inefficacité.

La fraude par chèque est également une problématique nouvelle. Des individus tentent de payer en ligne avec des cartes bancaires frauduleuses, se rendent compte qu'ils vont être contrôlés, et envoient des faux chèques ou des chèques volés aux marchands.

SSL EPAY reconnaît également que les internautes de bonne foi co-opèrent de mieux en mieux lors des contrôles qu'ils peuvent subir pour authentifier un paiement (vérification d'identité, collecte du code cryptogramme visuel, etc.). Tout le monde a compris l'intérêt de sécuriser le flux bancaire au delà du simple cryptage de point à point. Le contrôle humain s'avère indispensable et rassurant. Les internautes ont toujours une certaine réticence à laisser leur numéro de carte bancaire sur l'internet.

 

Activités à risque sur l'internet

 

Les produits les plus visés par la fraude restent toujours le high-tech (informatique, logiciels, téléphonie mobile...), le voyage (réservations de vols, d'hôtels), les bijoux, les produits culturels (DVD, CD, jeux vidéos...) mais désormais également des domaines qui étaient généralement épargnés comme l'alimentation (alimentation spécialisée, alimentation générale, confiserie...), l'habillement, la décoration, mais surtout les services aux particuliers (services de rencontre, services de connectivité, services de jeux en ligne et services de jeux de hasard...), et les services aux entreprises (services de marketing, d'hébergement...). De plus en plus de sociétés de services sont victimes de paiements frauduleux ou d'impayés suite à des oppositions de paiement par carte bancaire, et ont énormément de mal à prouver leur bonne foi quant à la réalisation de la prestation compte tenu du caractère immatériel de cette dernière.

 

Activité générique
Pourcentage de fraude (%)
High-tech
36
Alimentation
19
Bien-être
18
Loisirs
13
Voyages
8
Services
6

 

Seuls quelques domaines sont épargnés, généralement quand le bien vendu, qu'il soit matériel ou immatériel nécessite un préalable de négociation entre le marchand et son client, et où une relation de confiance s'est installée avant la concrêtisation de la transaction de paiement, ce qui ne peut hélas pas être le cas dans tous les modèles de sites marchands et dans toutes les activités commerciales sur l'internet.

Il subsiste néanmoins une inquiétude grandissante. SSL EPAY a observé que plus un site internet bénéficie d'une grande notoriété, plus il fait l'objet d'attaques et de tentatives de fraude, et plus un site est automatisé dans ses processus (peu d'interventions humaines, ou trop de transactions à traiter ce qui rend le travail humain impossible) et plus il enregistre un risque élevé de fraude.

Placez un individu lambda devant un vendeur de boissons ambulant avec des gens partout autour, en plein jour, il ne va ni le voler, ni le frapper pour obtenir sa boisson.

Placez ce même individu lambda devant un distributeur automatique de boissons, sans personne autour, et dans la nuit, il y a des chances pour qu'il tente d'obtenir sa boisson sans payer en tapant sur la machine, et en essayant de récupérer de l'argent en entrant sa main dans le collecteur de monnaie.

SSL EPAY SECURITY considère qu'un individu consommateur sur l'internet est comparable à quelqu'un qu'on place seul devant un distributeur automatique, de nuit, et donc le risque est réel pour quiconque vendra quelque chose par ce distributeur.

 

Synthèse de l'étude et analyse

 

De ce rapport il ressort essentiellement que la fraude sur l'internet poursuit un mouvement infernal d'augmentation en 2004, que le nombre de transactions frauduleuses ou interdites augmente fortement (entre 2000 et 2004, la proportion d'interdictions sur le nombre de transactions traitées a été plus que quadruplé), que les moyens mis en œuvre par les pouvoirs publics pour lutter contre (ou prévenir) la fraude sont toujours nettement insuffisants, voire sans effet, que les institutions judiciaires ne sont ni correctement dimensionnées ni formées ni même financées pour répondre à cette nouvelle problématique, que les solutions technologiques traditionnelles de paiements sécurisés proposées par les institutions bancaires ne vont pas dans le sens de la prise en compte du risque côté marchand.

A ce jour, il n'existe pas d'autre étude sur le comportement des fraudeurs en ligne, les données liées à la criminalité informatique ne sont pas intégrées dans les résultats des organismes bancaires officiels alors qu'elles sont primordiales pour comprendre la problématique nouvelle de la sécurité des paiements électroniques. Aucun autre rapport ne révèle de chiffres sur les tentatives de fraude, et d'ailleurs la plupart du temps, les tentatives ne sont pas mesurées, et encore moins analysées. Les acteurs du commerce électronique considèrent encore trop souvent à tort qu'une fraude est uniquement un acte d'achat avec utilisation d'une carte bancaire usurpée, or il a été démontré qu'il existe de multiples autres types de cas à risques, sans parler des tentatives, qui peuvent se transformer par nature, en fraudes potentielles, et qui ne sont quasiment jamais détectées par les moyens de sécurisation traditionnels, et ainsi, passent à la trappe dans toutes les statistiques.

Les tribunaux ne poursuivent quasiment jamais les fraudes inférieures à 60€, encore moins les tentatives, ce qui a conduit SSL EPAY SECURITY à transmettre les plaintes groupées par dizaines chaque semaine, de manière à générer des dossiers conséquents, ce qui oblige les institutions judiciaires à faire respecter la loi en cas de fraude.

En France il existe un puissant lobbying qui tente de faire croire à une baisse de la fraude sur internet. Nous pouvons démontrer qu'il n'en ai rien. Nous proposons aux jounalistes de se plonger dans nos bases de données publiques selon des modalités simplifiées, pour qu'ils puissent juger in situ.

SSL EPAY SECURITY est une des rares entreprises en France à pratiquer "la transmission directe de plaintes au parquet" de manière totalement automatisée, ce qui permet un taux d'élucidation des dossiers litigieux extrêmement élevé, du fait d'un gain de temps indéniable.

Sur la base de l'expérience de SSL EPAY SECURITY, en 2004, près de 7,51 % des transactions aboutissent à une interdiction suite à l'utilisation d'une carte bancaire usurpée (ou du numéro usurpé), à un fort risque d'opposition sur le paiement par le porteur pour des raisons non évidentes ou non logiques, à un risque de contestation complexe, ou tout simplement à un refus bancaire de la part de la banque du porteur (pour un motif non déterminé) ce qui caractérise une fraude.

SSL EPAY SECURITY permet d'identifier très rapidement tous ces risques, ce qui n'aurait pas été le cas en utilisant des moyens traditionnels de sécurisation, en effet, une majorité des transactions refusées par SSL EPAY SECURITY se verraient acceptées par des automates de scoring ou des centres d'autorisations bancaires, malheureusement pour les marchands, mais à leur décharge, une partie serait effectivement refusée par ces mêmes centres (au motif d'interdiction de paiement, ou de refus de paiement).

Sécuriser une transaction bancaire ne peut plus seulement vouloir dire crypter des données entre un internaute client et un site marchand ou une banque (à l'aide du protocole SSL, ce que tous les prestataires de paiement se limitent à faire aujourd'hui la plupart du temps) mais aussi et surtout pouvoir contrôler, certifier et garantir à la fois que l'internaute qui paye est bien le porteur de la carte, ou qu'il agit bien avec l'accord du porteur, et surtout qu'il ne va pas ensuite s'opposer au paiement, une fois le bien matériel ou immatériel livré.

En 2004, l'internaute européen, et français de surcroît n'a jamais été mieux sécurisé, autant techniquement que légalement. Le commerce électronique n'aura jamais été aussi sûr qu'en 2004 et les internautes européens peuvent faire leurs achats et leurs paiements sur l'internet en toute sécurité (de préférence sur un site internet européen). Le commerce électronique est donc, du côté client, ultra-sécurisé, le principal risque était l'usurpation de leur numéro de carte bancaire, ce risque est aujourd'hui connu, maîtrisé et extrêmement limité (probablement moins d'un cas pour un million de transactions tous marchés confondus).

C'est une toute autre histoire pour le marchand sur l'internet, car aujourd'hui, le risque est essentiellement, pour ne pas dire quasi-exclusivement de son côté.

SSL EPAY SECURITY est une solution de paiement dite irrévocable propriété de la société GLOBAL INTERNET SOLUTIONS, inventée par une équipe française dès la fin 1996. La solution, reconnue comme la plus sécuritaire du marché est créée et dirigée par Olivier RIMMEL, spécialiste de la sécurité des Technologies de l'Information et des Communications, fort de 20 années d'expérience en intelligence artificielle et dans le développement et l'automatisation de systèmes d'assistance à la décision, notamment en matière de commerce électronique. La société est implantée aujourd'hui en France et aux Etats-Unis et gère le risque client lié aux flux de paiement pour plus de 1000 marchands sur l'internet.


Publication réalisée sous la direction de Mr Olivier RIMMEL pour le compte de GLOBAL INTERNET SOLUTIONS.

Ce rapport a été transmis au GIE CARTES BANCAIRES, au MINISTERE DE L'INTERIEUR, au MINISTERE DES FINANCES, au MINISTERE DE LA JUSTICE et à la presse en Europe et aux USA.

© FÉVRIER 2005 GLOBAL INTERNET SOLUTIONS - Tous droits réservés pour tous pays et dans toutes les langues.

Publication partielle autorisée dans la presse avec mention de la source et de la date de publication originale: "07/02/2005 - GLOBAL INTERNET SOLUTIONS - PAIEMENT SÉCURISÉ SSL EPAY SECURITY - http://www.epaysecurity.com"

Reproduction partielle ou totale interdite sans autorisation préalable de GLOBAL INTERNET SOLUTIONS

Pour toute publication, adressez une demande d'autorisation par email à direction@epaysecurity.com