Retour sur l’observatoire de sécurité des cartes juillet 2016 : Les fraudeurs exploitent les faiblesses des systèmes et des procédures
Sans surprise, la fraude ne connaît pas la crise, c’est un secteur économique en pleine expansion. Interconnectée et organisée, elle évolue et s‘adapte malgré les parades mises en œuvre. Les acteurs invisibles œuvrent dans l’ombre. Ils sont variés : développeurs de logiciels malveillants (botnet, ransomware, déni de service…), responsables d’infrastructures et des fournisseurs de services hébergeant des logiciels malveillants et permettant leur déploiement, mais aussi mules intermédiaires volontaires ou involontaires et revendeurs de données bancaires (carte, IBAN…). La vigilance, l’authentification et la traçabilité de la transaction ainsi qu’une lutte coopérative sont nécessaires pour contrecarrer ces acteurs invisibles.
Le dernier rapport de l’observatoire de la sécurité des cartes montre que la fraude sur les transactions domestiques baisse, en revanche la fraude transfrontalière continue à progresser. Elle couvre 75 % de la fraude soit 300 millions d’euros sur les 416 millions d’euros de fraude constatée en 2015. Les paiements à distance restent toujours vulnérables et plus particulièrement les paiements des Français à l’étranger et notamment les transactions hors zone SEPA. À noter aussi sur 2015, l’apparition de la fraude sur le sans contact. Son taux est comparable à la fraude sur les paiements de proximité (0,019 %). Cela représente un montant mensuel de 42 k€ et concerne essentiellement des cartes volées ou perdues.
Les fraudeurs exploitent les faiblesses des systèmes et des procédures. Les sites d’e-commerce non sécurisés sont attaqués, mais fait nouveau également les sites sécurisés par 3D-Secure. Ces derniers sont attaqués par phishing. Certains fraudeurs exploitent les faiblesses potentielles d’enrôlement ou d’authentification. D’autres attaquent les canaux de transmission des mots de passe, ou bien usurpent la carte SIM par la technique du sawp SIM, ou encore redirigent l’envoi de SMS vers un autre smartphone, après avoir infecté le téléphone d’un logiciel malveillant permettant cette manipulation.
Les prestataires de service de paiement et en particulier les « Third Party Provider » qui se lancent dans la course des paiements auront un défi de taille à relever face à ces acteurs de l’ombre : gérer le risque de fraude, en sécurisant leur plateforme, tout en prouvant que l’opération a été authentifiée, dûment enregistrée et comptabilisée.
