La fraude aux paiements en France a progressé en 2020. Quelles seront les menaces de demain ?

En 2020, les cyberattaques ont progressé de + 255 % et le phishing de + 600 %. Les États-Unis en tête, la France huitième place. Dans ce contexte, la fraude sur les paiements reste active. Elle impacte tous les instruments en s’attaquant en priorité à ceux où la combinaison gain financier, vulnérabilité et risque limité est gagnante. Le dernier rapport sur la sécurité des moyens de paiement en France, publié en juillet, le démontre à nouveau. Bien que les taux de fraude se maintiennent globalement en 2020, on constate une hausse de la fraude en montant avec 1,28 milliard d’euros de pertes (+ 8,4 %) pour 7,8 millions de transactions frauduleuses (+ 4,2 %). Cette hausse est portée principalement par le chèque (42 % en valeur pour 2,8 % en volume), la carte (37 % pour 96,5 % en volume) et le virement (21 % pour 0,5 % en volume). La fraude au virement, qui progresse de + 65 %, concerne majoritairement les virements de banque en ligne réalisés par des particuliers. Les entreprises sont victimes principalement d’attaques par ingénierie sociale. À noter, les virements instantanés, pourtant peu utilisés, ne sont pas épargnés. Pour la carte, la fraude repart à la hausse, principalement avec les paiements internet par usurpation des données obtenues par phishing ou vishing. Les paiements internet (22 % en volume) représentent plus des 2/3 des fraudes. Dans une certaine mesure, les paiements sans contact ayant beaucoup crû avec la pandémie, de + 86 % en valeur, et la hausse du plafond sont aussi désormais fraudés, mais leur taux de fraude a baissé, s’alignant sur celui des transactions avec saisie du code confidentiel. A contrario, les prélèvements connaissent en 2020 une baisse très forte.

Les instruments de paiement dit « traditionnels » ne sont pas les seuls à subir la fraude. Elle touche durement également les cryptoactifs basés sur la technologie blockchain, pourtant annoncés inviolables. Sur fond des répétitions de détournements de cryptoactifs dernièrement Africrypt où 4 milliards de dollars ont été dérobés. Début août, c’était le tour de Polynetwork avec 600 millions de dollars et des dizaines de milliers de membres de communautés touchés par la fraude. Les pirates s’appuient toujours sur les vulnérabilités des systèmes. Ici, ils ont capté les informations nécessaires pour récupérer la clé privée du propriétaire du portefeuille de cryptomonnaies, avant de détourner les fonds. Pour le domaine des crypto, on observe également le phénomène des « White hat » qui en pirates repentis ou cheval blanc récupèrent les fonds dérobés pour les rendre à ses propriétaires. L’affaire Pegasus a démontré récemment que même les États pouvaient être surveillés à leur insu en utilisant les failles des outils pour pirater des smartphones et en prendre le contrôle. Les fraudeurs et les pirates traquent les moindres failles les « zero day », des technologies de communication et de paiement qui sont portées par des milliards de lignes de code. Il faut en moyenne 207 jours, d’après une étude d’IBM parue en 2020, pour réparer les failles Zero day ou inconnues des auteurs des programmes. Le marché noir du piratage des données sensibles des particuliers et d’entreprises est estimé à 6 000 milliards de dollars en 2021. Le marché gris des données sensibles en partie légalisé où les failles numériques se négocient à des prix très élevés.

En synthèse, la carte reste un modèle pour lutter contre la fraude. Le montant moyen fraudé a baissé passant de 65 euros à 63 euros par le renforcement de l’authentification forte, le scoring des transactions et les alertes aux porteurs. En raison des risques accrus de cyberattaques et de pertes ou vol de données dans les data centers, les entreprises devront poursuivre leurs investissements dans une politique de gestion des risques implacable. Les enjeux de demain seront plus que jamais la fiabilité du stockage des données. La dernière faille révélée sur Microsoft azure, le cloud qui héberge des millions de données, a exposé des données de milliers de clients. En mars, à la suite d’un incendie de son data center, OVHcloud perdait des données de plus de 7 000 clients. En juillet, on révélait que plusieurs millions de coordonnées bancaires, dont des clients français, étaient disponibles sur darkweb. Enfin, bien connaître son ennemi est un premier pas pour s’en protéger. Le crime a aussi ses failles. Il faut les anticiper et agir sur ses défaillances.