Recherche
En ce moment En ce moment

/ Techno & UX

La sécurité des paiements, une lutte globale

Publié par Stéphanie Marius le
Lecture
6 min
  • Imprimer

Le 3D Secure est remis en question

Un autre type de fraude, le "SIM swap", est lié au dispositif 3D Secure. Le rapport 2016 de l'Observatoire de la sécurité des cartes de paiement (de même que le ­rapport l'Institut national américain des normes et de la technologie, la fraude ayant depuis quelque temps traversé l'Atlantique) note que le système 3D Secure "présente certaines limites en matière d'utilisation (notamment pour les paiements par téléphone ou courrier) et d'ergonomie (cas des achats depuis le mobile)". Dans le cas du SIM swap, un pirate dérobe les coordonnées bancaires complètes d'un internaute ou d'un mobinaute grâce à un malware ainsi que les informations liées à son identité. Muni de toutes ces données, il demande à l'opérateur téléphonique de la victime de rediriger tous les appels et messages vers une nouvelle carte SIM, en prétextant une perte de l'ancien téléphone. C'est alors le pirate qui reçoit le code de confirmation envoyé par 3D Secure.

Selon l'Observatoire de la sécurité des cartes de paiement, en partenariat avec l'Autorité de régulation des communications électroniques et des postes (Arcep), le perfectionnement du système 3D Secure "passe par une meilleure protection des modalités de réémission des cartes SIM" et appelle les opérateurs de téléphonie à une plus grande vigilance. La nouvelle génération de 3D Secure permettra à l'émetteur d'être alimenté "à la fois par l'historique des transactions [...], par des données relatives au terminal d'initiation de la transaction (empreinte du terminal) et par des informations partagées par le commerçant (un nouveau client, par exemple)."

Pierre Chassigneux (GIE Cartes Bancaires) ajoute : "Le 3D Secure est seulement un ­protocole qui permet, via les ­e-commerçants, de mettre en relation un client et sa banque afin que cette dernière l'authentifie. La plupart des banques ont choisi comme méthode d'authentification l'envoi d'un mot de passe unique par le canal SMS ; d'autres mécanismes d'authentification peuvent être utilisés." Malgré les réserves de l'observatoire de la sécurité des cartes de paiement, Pierre Chassigneux demeure convaincu que "le dispositif 3D Secure reste néanmoins très efficace. Il contribue très positivement à faire baisser la fraude sur Internet."

"Le dispositif 3D Secure contribue très positivement à faire baisser la fraude sur Internet." (Pierre Chassigneux, GIE Cartes Bancaires)

De nouveaux moyens de lutte apparaissent

Il ne s'agit donc pas de pointer les insuffisances du système 3D Secure mais d'inclure ce dispositif au sein d'un plan de bataille plus large, qui inclut le scoring (identification des transactions à risque) et de nouvelles solutions d'identification, notamment biométriques. Au sein de ce panel, les solutions 2D Secure, ou "issuer only" (qui n'impliquent pas ­l'e-commerçant) apparaissent comme une solution satisfaisante. Ces techniques font reposer l'authentification seulement sur la banque émettrice et le consommateur, ce qui constitue un rempart contre la fraude pour les petits commerçants qui ne peuvent endosser les coûts d'un système de sécurisation.

De nombreux acteurs se sont ainsi spécialisés dans le scoring des transactions, à l'instar de HiPay, Iris Analytics ou Adyen lequel a développé le module Shopper DNA, destiné à identifier les clients malveillants et ainsi à limiter les impayés. Il appartient à ­l'e-commerçant d'installer la solution. Celle-ci, avant chaque transaction, vérifie l'IP du client, le numéro de carte utilisé, le fait qu'un numéro de carte soit copié-collé au lieu d'être tapé et l'adresse e-mail. "Nous possédons une plateforme propriétaire, avec licence Visa et Mastercard. En cas d'association douteuse (une carte associée à 25adresses e-mail, une adresse e-mail possédant une centaine de cartes bancaires), l'e-marchand peut, par exemple, sécuriser la transaction en proposant du 3D Secure de manière dynamique, instantané et automatisée", explique Philippe de Passorio (Adyen), l'éditeur de Shopper DNA. Ainsi, le site Showroomprivé a mis en place un système de 3D Secure dynamique : lorsque le module Shopper DNA repère une transaction douteuse, il est demandé à l'internaute de s'authentifier grâce à un code reçu par SMS. "Cependant, certains secteurs sont liés à des critères de fraude différents, à l'image du luxe, précise Philippe de Passorio. Les clients des marques de luxe sont fréquemment des businessmen/women et possèdent plusieurs cartes bancaires de pays différents." Il convient de ne pas bloquer ces transactions via un système d'authentification trop lourd ou un filtre inadapté.

La plupart des actes de piratage auraient pu être évités.

En parallèle, les cartes virtuelles dynamiques (appelées également procédure de "tokenisation") proposent une protection "issuer only", qui repose seulement sur l'émetteur de la carte et sa banque. Ce type de solutions présente l'avantage de ne pas faire peser de coûts sur les e-commerçants, notamment sur les petites structures qui peinent à mettre en place une solution d'authentification, faute de moyens et de temps. De même, la solution Virtualis, mise en place en 2005 par Arkéa/Crédit Mutuel. Le service Virtualis, préinstallé sur le mobile de tous les clients d'Arkéa, fonctionne via une application. Le consommateur envoie à sa banque les coordonnées de chaque transaction (montant et bénéficiaire). En retour, la banque fournit un numéro de carte bancaire à usage limité, qui ne fonctionnera que pour la transaction demandée. Sécurité supplémentaire, "Virtualis offre la possibilité de bloquer l'utilisation de numéro de carte réelle aux clients qui ne réalisent jamais de transactions sur Internet", précise Jean-Luc Dubois, directeur des flux du Crédit Mutuel Arkéa. La solution, validée par l'organisme GIE Cartes Bancaire, en décembre 2015, est largement adoptée : "84 % de nos clients ont bloqué leur carte réelle. Pour leurs achats Internet, ils recourent à notre offre de carte virtuelle Virtualis", se félicite Jean-Luc Dubois. La solution "e-Carte Bleue", utilisée notamment par la Société Générale, Fortuneo, La Banque Postale et la Caisse d'Épargne, fournit un service équivalent.

Par ailleurs, le service Paylib permet au consommateur de payer depuis son terminal fixe ou mobile sans saisir ses coordonnées bancaires, évitant ainsi l'enregistrement des caractères qu'il tape via un malware. Il en va de même pour le service Payweb Card (Crédit Mutuel). Cependant, utilisé seul, il ne constitue pas un rempart suffisant.

"Les fraudeurs ne connaissent pas de frontières, la sécurité des paiements par carte doit donc être globale et s'appuyer sur des standards et des dispositifs techniques qui permettent de lutter efficacement contre une fraude aujourd'hui mondialisée", conclut Pierre Chassigneux (GIE Cartes Bancaires). Il demeure pourtant un point sur lequel les e-commerçants demeurent à la traîne: alors que les systèmes de paiement sont de mieux en mieux sécurisés, les sites marchands s'équipent peu pour protéger le reste des données personnelles, qu'ils stockent, contrairement aux données bancaires. Une cible de choix pour les hackers de base de données. Cette défaillance est pointée par le rapport d'enquête 2015 de Verizon : "La plupart des actes de piratage auraient pu être évités. Plus de 70 % des attaques ont exploité des vulnérabilités connues, pour lesquelles des correctifs étaient disponibles." Une bataille de plus à mener ?

no pic

Stéphanie Marius

Chef de rubrique

Ancien professeur de lettres modernes, secrétaire de rédaction durant quatre ans et aujourd’hui chef de rubrique pour les sites [...]...

Voir la fiche
S'abonner
au magazine Se connecter
Retour haut de page