Parallaxe : Humeurs et réflexions

La récente affaire du PSN piraté a fait ressurgir les vieux démons de la fraude à la carte bancaire. Les milliers de numéros de cartes potentiellement utilisables ont rappelé aux utilisateurs qu'ils n' étaient pas à l'abri. Mais quels sont les risques réels pour nos portefeuilles et comment les éviter ?

Tous concernés

L'usage de la CB est extrêmement répandu, en particulier en France. Neuf personnes sur 10 possèdent une carte de paiement. Elle est de plus en plus utilisée, aussi bien pour les retraits d'argent liquide que pour les règlements chez les commerçants. Huit personnes sur 10 l'utilisent à chaque fois que c'est possible. Les achats sur internet sont bien entendu également concernés et en très nette progression. En 2010, un français sur deux utilise sa carte pour faire des achats sur le net contre 38% en 2009. Même si 77% des sondés considèrent que ce moyen de paiement est sûr, ils sont beaucoup plus circonspects concernant leur utilisation sur internet. Un internaute sur deux considère qu'il prend un risque lorsqu'il utilise sa carte sur internet. La fraude à la carte bancaire préoccupe donc une majorité de français surtout sur la toile. Mais il n'y a pas que sur le réseau que les CB sont piratées.

La fraude, pas seulement sur internet...

Les trois quart des fraudes relevées ne sont pas du fait de transactions internet. C'est en se faisant voler sa carte ou en ayant été victime d'une copie illicite que les clients sont floués. Les systèmes et les stratagèmes de copie sont multiples. Un tiers mal intentionné peut en effet relever votre numéro de carte et ensuite retenir votre mot de passe si vous n'êtes pas vigilant. A la faveur d'un règlement commerçant par exemple. Des systèmes d'enregistrement placés par dessus les automates de banque sont destinés à saisir toutes les données des cartes et à enregistrer les manipulations sur le clavier. Ils sont de plus en plus perfectionnés et difficiles à repérer. Les voleurs les plus astucieux utilisent des cartes à puce téléphoniques pour que ces données soient immédiatement relayées en toute sécurité ! De plus, la carte à puce telle que nous la connaissons n'est plus inviolable. Même sans le code, Ross Anderson, un professeur de l'université de Cambridge, a réussi à simuler une transaction validée par l'organisme de vérification. Le matériel utilisé est spécifique et trop encombrant pour passer inaperçu dans un usage classique. Mais la brèche est ouverte...

...Mais en augmentation

En 2009 on a noté une nette augmentation des fraudes et tentatives de fraude. Cette tendance se renforce, même si le panier moyen du montant de la fraude baisse. Quoi de plus simple pour un fraudeur d'utiliser un numéro de carte bancaire et vos coordonnées postales ? Il suffit qu'il se trouve à l'étranger pour que vous soyez certain de ne pas pouvoir intervenir à temps... En pratique le consommateur s'expose à trois types de risques :

• Le site véreux. Pas de chance vous êtes tombé sur un mauvais numéro. Non seulement la marchandise n'est pas envoyée, mais en plus vos coordonnées sont effectuées pour réaliser des achats bien réels.

• Le piratage « classique ». Soit en écoutant « sniffant » votre connexion (rare pour un particulier), soit en allant chercher les informations stockées sur les serveurs des sites marchands. C'est ce qui s'est produit avec le PSN.

• L'utilisation de logiciels espions qui s'installent à votre insu sur votre machine et renvoient des infos sensibles à un tiers (les keyloggers par exemple enregistrent les séquences récurrentes pouvant ressembler à des mots de passer et à des codes)

Comment se protéger ?

La riposte s’échelonne sur plusieurs niveaux. D'abord au niveau des établissements émetteurs qui ont mis en place des cellules de surveillance pour repérer les transactions suspectes. Pays à risques, montants élevés, type de marchandise achetée. Les opérateurs s'aident de logiciels qui repèrent ces transactions et contactent le propriétaire de la carte. C'est une vérification directe. Ensuite, l'utilisateur lui même doit respecter un certain nombre de consignes pour limiter les risques.

D'une façon générale :

- Vérifiez régulièrement qu’elle est en votre possession.

- Si votre carte comporte un code confidentiel, gardez-le secret. Ne le communiquez à personne. Apprenez-le par cœur, évitez de le noter et surtout ne le rangez jamais avec votre carte.

- Lorsque vous composez votre code confidentiel, veillez à le faire à l’abri des regards indiscrets. N’hésitez pas en particulier à cacher le clavier du terminal ou du distributeur de votre autre main.

- Vérifiez régulièrement et attentivement vos relevés de compte.

- Ne la prêtez à personne, même pas à des proches.

Lors des paiements chez un commerçant :

- Vérifiez l’utilisation qui est faite de votre carte par le commerçant. Ne la quittez pas des yeux.

- Pensez à vérifier le montant affiché par le terminal avant de valider la transaction.

Lors des retraits sur les distributeurs de billets :

- Vérifiez l’aspect extérieur du distributeur, évitez si possible ceux qui vous paraîtraient avoir été altérés.

- Suivez exclusivement les consignes indiquées à l’écran du distributeur : ne vous laissez pas distraire par des inconnus, même proposant leur aide.

- Si votre carte est avalée par un automate, que vous ne pouvez pas la récupérer immédiatement au guichet de l’agence, téléphonez immédiatement à votre banque pour confirmer qu'elle est bien en rétention ou déclencher une opposition

Ces conseils sont valables pour l’utilisation quotidienne de votre CB. Sur un ordinateur et en utilisant internet, vous aurez probablement déduit les comportements à adopter avec les risques qui ont été exposés ci-dessus. Voici la liste de conseils de l'observatoire de la sécurité des cartes de paiement.

Lors des paiements sur Internet :

- Protégez votre numéro de carte : ne le stockez pas sur votre ordinateur, ne l’envoyez pas par simple courriel et vérifiez la sécurisation du site du commerçant (cadenas en bas de la fenêtre, adresse commençant par « https », etc.).

- Assurez-vous du sérieux du commerçant, vérifiez que vous êtes bien sur le bon site, lisez attentivement les conditions générales de vente.

- Protégez votre ordinateur, en activant les mises à jour de sécurité proposées par les éditeurs de logiciel (en règle générale gratuites) et en l’équipant d’un antivirus et d’un pare-feu.

Personnellement, j'utilise NOD32 qui est vraiment excellent (et peu gourmand). Il n'a encore jamais été pris en défaut. Je ne le soumet pas non plus à rude épreuve en évitant d'aller télécharger à gauche et à droite et en visitant au maximum des sites de confiance. De plus en plus d'établissements bancaires mettent à disposition divers moyens de sécurisation des transactions internet. Cartes matricielles, codes téléphones et même dispositifs de clefs USB avec certificats électroniques et lecteurs spécifiques.

Je suis prudent, mais Sony m'a trahi

Ne soyez pas vexés si je cite Sony. Ce genre de mésaventure aurait tout aussi bien pu arriver à Microsoft (aucun système n'est infaillible à 100%) et même Nintendo a déjà pu se faire des frayeurs. En tout cas, malgré toutes les précautions d'usage, vous êtes victime d'une fraude. Que faire ? Tout d'abord si vous n'êtes plus physiquement en possession de votre carte (perdue ou volée), il convient de rappeler des évidences : faites opposition immédiatement et le cas échéant, portez plainte. Pour ce faire passez un coup de fil à votre banque et confirmez cette demande par lettre recommandée avec AR. En cas de litige, seule cette dernière fera foi. Toutes les opérations réalisées après cette opposition seront dégagées de votre responsabilité. Quant aux opération antérieures, elles seront couvertes au delà d'une franchise de 150€. Le délai d'antériorité pour les opérations frauduleuses est spécifiés dans le contrat qui vous lie à la banque. Toutefois, il ne peut être inférieur à deux jours. En revanche, si la banque parvient à prouver qu'il y a eu une négligence manifeste de votre part (code livré avec la carte, pas de signature sur la carte) vous serez réputé responsable des dépenses et frais qui y seront relatifs.

Lorsque vous êtes toujours en possession de votre carte, vous êtes dégagé de toute responsabilité à compter de votre opposition par lettre AR. La logique ne vous empêche bien entendu pas de passer un coup de téléphone ou mieux, de passer directement en agence. Les sommes litigieuses doivent alors être recréditées dans le mois qui suit la réception de la lettre.

En pratique, si vous êtes vigilants concernant les mouvements de votre compte carte, vous ne risquez donc pas grand chose. Le premier lésé dans l'affaire serait le commerçant qui ne sera pas crédité du montant de la transaction. C'est la banque qui annule l'opération. C'est pourquoi, ce sont souvent les sites marchands qui sont à l'initiative de mesures de vérifications et de systèmes de recherche d'opération frauduleuses. Mais s'il a déjà expédié la marchandise, c'est une perte sèche...

Nous voici donc rassurés et deux fois plus nombreux (un homme averti en vaut deux, souvenez vous). Mais nos cœurs de gamers restent inquiets par rapport à un autre aspect de notre loisir favori.

Et si on me vole du vent ?

La mésaventure de Sony amène de l'eau au moulin des détracteurs du dématérialisé (dont je suis). Comment profiter d'un service qui peut presque à tout moment être mis en carafe par des pirates ? Comment faire confiance à des systèmes qui doivent obligatoirement disposer d'une connexion internet pour fonctionner ? Presque 10% des utilisateurs de PS3 ne pouvaient pas lancer leur jeu parce qu'il faut que la console se connecte au PSN ! Même lorsque j'ai la galette et la machine qu'il faut en parfait état de fonctionnement, je ne peux pas en jouir (souriez le mot est utilisé à dessein (des seins?)).

Je peux comprendre qu'on ne puisse pas assurer 100% d'un service en raison de certains impondérables. Il arrive que ma Freebox décroche, il arrive que le NRA ait un problème, il arrive qu'un serveur soit down. Mais que je ne puisse pas démarrer ma voiture parce que le GPS n'est pas arrivé à se connecter. Comment dire... Non. Encore heureux que cette mésaventure soit arrivée sur un système gratuit (dommage pour ceux qui paient le PSN plus et d'autres services Sony).

En conclusion, au delà des risques pour mon portefeuille qui sont maîtrisés (avec ce que vous venez de lire) c'est plus cet aspect qui me dérange.

Sources :
Observatoire de la sécurité des cartes de paiement
L'internaute : Fraude à la carte bancaire : Internet, le faux coupable
Droit-fiances.net : Carte bancaire et Fraude, qui est responsable ?
01.net : Les cartes bancaires sous la menace d'une fraude
lescomparateurs.com : Les risques du paiement en ligne par carte banquaire
Loi 2001-1062 du 15 novembre relative à la sécurité quotidienne

Sociétés : 

Nintendo, Sony Computer Entertainment, Microsoft