Peut-on faire confiance aux systèmes de paiements en ligne?

Peut-on faire confiance aux systèmes de paiements en ligneFaut-il avoir peur de réaliser des achats en ligne? La crise économique alimentant les peurs et les fraudes augmentant, 27% des Français craignaient de payer en ligne en début d’année contre 21% en 2011, relève le bureau d’étude Wincor Nixdorf. Il est vrai que les paiements à distance sont à l’origine de 61% du montant volé, soit 129,6 millions d’euros, alors qu’ils ne représentent que 8,4% de la valeur des transactions par carte en France, selon les données de l’observatoire de la sécurité des cartes de paiement (OSCP).

«Internet est le canal privilégié par les fraudeurs pour faire des achats à partir des données piratées. Payer Sur Internet n’est pas dangereux en soi; ce qui l’est, c’est l’utilisation sur Internet des données de cartes bancaires récupérées par d’autres moyens», relativise Geoffroy Goffinet, chef de service à la Banque de France et secrétaire de l’OSCP. En effet, 60% des fraudes à la carte bancaire proviennent de cartes usurpées sur la toile ou par moulinage de générateurs aléatoires de numéro de cartes, 36% de cartes perdues ou volées, et le reste (4%) de cartes altérées ou contrefaites, non parvenues à leurs destinataires, etc.

Les pirates, ou hackers, attaquent les grands sites de commerce Nintendo, Sony, PayPal, itunes, Amazon, pour récupérer les numéros de compte (PAN, personnal account number) des clients et rien n’oblige les commerçants dont les fichiers ont été piratés à en avertir les banquiers.
Des sous-traitants bancaires flanchent aussi. En juin 2012, un hacker surnommé Reckz0r sur Twitter, a livré des informations confidentielles de 1700 comptes bancaires américains, liés pour la plupart à des cartes Visa et MasterCard. L’incident est survenu peu après que Global Pay, sous-traitant de Visa et MasterCard, se soit fait piller.
Ces attaques obligent les banques à améliorer en permanence leurs parades: généralisation du cryptogramme à 3 chiffres au dos de la carte, cartes à puce plus perfectionnées, mises en place des systèmes d’authentification des porteurs de cartes, surveillance…

Encore des points névralgiques
La Banque de France recommande, depuis octobre 2008, aux banques et aux commerçants, de généraliser les systèmes d’authentification à usage unique par le «3D Secure» pour les paiements sur Internet, une barrière de protection très efficace mais encore peu appliquée. Si ce n’est déjà fait, adoptez-les. Cela incitera les commerçants à les déclencher à leur tour, car ils rechignent à vous l’imposer lors de vos paiements en ligne de peur que vous renonciez à votre achat au moment de saisir votre code à usage unique. Mais, cap important, le site de voyages SNCF, l’a adopté l’an dernier.
Tous les acteurs n’appliquent pas non plus les normes de sécurité PCI DSS (Payment Card Industry Data Security Standard) et, ISO 2700x. «Il reste souvent des points de fragilité à cause d’une négligence ou de l’obsolescence d’une solution dans une partie de la chaine de traitement de l’information», relève Pascal Antonini, associé chez Ernst &? Young. Le 21 juin 2012, la CNIL a adressé un avertissement au Crédit Mutuel-CIC pour ne pas avoir garanti la confidentialité des données: les 85000 salariés du groupe, y compris dans ses filiales de presse, pouvaient avoir accès à certains documents et courriels confidentiels de nature « bancaire!
Lorsqu’une banque découvre une fraude, elle prévient immédiatement son client et met en opposition la carte piratée ou bloque le compte si nécessaire. «Ma banque avait constaté un retrait de 293,50 euros au Texas alors que j’étais en France, elle a mis ma carte en opposition. J’en ai eu une nouvelle en quinze jours et elle m’a donné 15 euros pour le désagrément», témoigne Stéphanie.

 

Le 3D Secure sécurise vos paiements à distance par carte
Sans-doute avez-vous déjà vu s’afficher ces fenêtres au nom de votre banque, qui apparaissent au moment de votre achat, vous demandant de saisir un code à usage unique, quatre chiffres envoyés par SMS ou un autre dispositif d’authentification (carte matricielle, calculette générant des codes…). Ces mécanismes dits «d’authentification non rejouable» (ANR), permettent de s’assurer que vous êtes bien à l’origine de 1a transaction plus sûrement qu’une date de naissance, solution encore parfois usitée. Le protocole utilisé, appelé 3D Secure, apparaît aussi sous les marques « Verified by Visa » ou « MasterCard SecureCode ». Le terme « 3D » fait référence aux trois intervenants : le porteur de la carte, le commerçant et la banque.
Tous les trois doivent être inscrits pour que le système s’enclenche sur l’écran de votre ordinateur. Toutes les banques l’ont adopté, de même que 84% des porteurs de cartes. En fait le bât blesse du côté des commerçants qui hésitent à imposer une étape supplémentaire à leurs clients lors du paiement. Car, c’est leur défaut, tous ces systèmes ne sont pas commodes à utiliser.

Les dispositifs. Le plus répandu est l’envoi d’un code à usage unique par SMS sur votre téléphone mobile, ou par serveur vocal sur un numéro de téléphone fixe. Pour vous affilier, votre banque vous demande d’enregistrer votre numéro de téléphone mobile sur son site, puis elle vous envoie un courrier postal avec un code à activer pour valider le numéro de téléphone et éviter toute usurpation d’identité dès ce stade.
Pour donner à ses clients retardataires le temps de se retourner, la Caisse d’Épargne les laisse valider trois paiements à leur date de naissance sur les sites qui ont adopté le 3D Secure, avant de bloquer le paiement.
Les autres solutions: cartes matricielles, calculettes et jetons générant des codes vous sont envoyés par votre banque. Ils évitent un appel, mais ils sont plus complexes. Pour utiliser sa calculette, solution dominante à la Banque Populaire, vous devez y insérer votre carte, taper votre code à quatre chiffres pour obtenir un autre code à 6 chiffres avec lequel vous confirmez votre paiement sur votre ordinateur. La Caisse d’Épargne en expédie à ses clients qui n’actualisent pas leurs données personnelles. LCL les déploie auprès des titulaires de cartes d’entreprises et qui n’ont pas toujours leur compte chez lui. Le Crédit Mutuel a choisi à la fois un système de carte matricielle et un SMS ou un courriel. La Bred a mis en place un système Ipab de certificat numérique logé dans un CD qui délivre une à une authentification qualifiée de « forte ». Il vous donne aussi accès à votre espace privé sur Internet et permet de souscrire des contrats en ligne grâce à sa signature électronique.
Ces mécanismes sont aussi requis pour les opérations sensibles en ligne: obtenir un RIB, enregistrer des comptes ou faire un virement.

 

Adoptez les bons réflexes de vigilance
Vous aussi, surveillez vos relevés de banque et de dépenses par carte et signalez aussitôt tout débit dont vous ne seriez pas à l’origine. Mieux encore, mettez des alertes sur vos dépenses par carte. Les banques vous le proposent souvent dans leurs formules de comptes, à des tarifs « variables » Boursorama en envoie d’office à ses clients pour tout paiement de plus de 200 euros qui peuvent aussi en placer d’autres (20 alertes gratuites par mois).

Puisque 36% des fraudes proviennent de cartes perdues ou volées, n’écrivez pas son code confidentiel sur un post-it placé sur la carte ou dans votre Sac. Méfiez-vous aussi des tentatives pour regarder votre code secret par-dessus votre épaule, elles pourraient être suivies du vol de votre portefeuille. «Vérifiez qu’une caméra ne filme pas votre saisie sur le clavier. Le cas s’est produit dans une station service en France », relate Damien Guermonprez, ancien dirigeant de la banque Accord (groupe Auchan), aujourd’hui à la tête du portefeuille électronique Lemon Way. Au comptoir, ne quittez pas votre carte des yeux et ne laissez surtout pas quelqu’un l’emporter dans l’arrière-boutique. Il aurait vite fait de récupérer les numéros avec de la pâte à modeler. Au distributeur, méfiez-vous des skimmers, discrets dispositifs apposés sur l’appareil qui relèvent votre code secret.

Sur la toile, esquivez les mails et les sites d’hameçonnage, aussi dit Phishing fusion des mots anglais fishing (pêche), et phreaking (piratage de lignes téléphoniques). Les escrocs se font passer pour votre opérateur téléphonique, votre banque, une caisse d’allocation, ou le gagnant d’un loto… mais ils se trahissent souvent par des fautes d’orthographe, des coordonnées fantaisistes ou des promesses trop belles pour être honnêtes. La méfiance s’impose dès qu’on vous demande des informations confidentielles (numéro de carte bancaire, code secret, …) ou de cliquer sur un lien pour vous enregistrer. Aucune banque ne vous enverra un mail annonçant des pertes de données, ni n’enverra un mail collectif pour se vanter d’avoir détecté une fraude sur des cartes.
La prévention la plus simple reste donc de ne jamais aller sur un site bancaire ou commercial directement à partir d’un mail. Les vrais sites de vos banques vous indiquent la date et l’heure de la dernière connexion, vérifiez-les. «Si vous vous êtes fait piéger; connectez-vous immédiatement sur le vrai site de votre banque et modifiez vos identifiants», conseille Denis Mancosu, directeur distribution multimarché multicanal à la Caisse d’Épargne.
N’acceptez pas non plus d’invitation sur vos réseaux sociaux de la part d’inconnus et de personnes qui n’ont qu’un seul contact.

Protégez votre ordinateur
Préservez votre ordinateur des intrusions par de bons logiciels antivirus et mettez régulièrement à jour votre navigateur Web afin d’éviter les «chevaux de Troie» ou les logiciels malveillants (malwares) qui peuvent être téléchargés à votre insu lorsque vous naviguez sur le Net. «Des logiciels peuvent capturer secrètement vos identifiants de connexion et modifier à votre insu vos transactions», explique Thibaut Lanxade, président de l’association française des établissements de paiement (Afepa) et de l’établissement Aqoba.
Boursorama et la Société Générale proposent à leurs clients de télécharger gratuitement un logiciel «Trusteer rapport» qui protégera tous leurs sites transactionnels. Une icône verte en témoigne sur l’écran. Protégez-vos données confidentielles, ne les communiquez pas par mail. Diversifiez vos mots de passe: si un rêve d’utilisateur est d’avoir Un seul identifiant et un seul mot de passe, la sécurité ne le permet pas. Évitez d’utiliser votre date de naissance, le prénom de vos enfants et autres données faciles à retrouver… Changez-les régulièrement. Afin d’éviter que des pirates ne reconnaissent les touches, la Société Générale et la Banque Postale, Boursorama ou Axa Banque, parmi d’autres, ont mis en place des claviers virtuels: la localisation des chiffres change à chaque fois. La saisie est moins rapide mais la protection efficace.
Privilégiez les e-commerces dont l’adresse commence par «https» pour indiquer qu’ils sont sécurisés. Un petit cadenas s’affiche alors en bas à droite de la page de paiement. Vérifiez aussi que le site communique des coordonnées complètes (dans les mentions légales ou dans la rubrique «Qui sommes-nous?»), un numéro d’appel de service après vente qui répond (testez-le), et les conditions générales de vente (CGV). Si elles ne sont pas accessibles ou si la société s’y défausse de toute responsabilité en matière de livraison, renoncez à passer commande.

Des cartes à usage unique
Plus radicalement, le groupe Arkéa (Crédit Mutuel de Bretagne, Fortuneo, BPE… ) propose à ses clients de bloquer l’usage de leur carte bancaire sur Internet, pour n’utiliser que des cartes spéciales à usage unique. Sans aller jusque-là, ces cartes baptisées «Virtualis» au Crédit Mutuel de Bretagne, «Paiement Sécurisé Internet» chez Fortuneo, «P@yWeb Card» au Crédit Mutuel Centre Est ou «e-carte bleue» par Visa, apportent une garantie précieuse pour effectuer des achats sur des sites peu connus ou non sécurisés.
A chaque achat, votre banque vous délivre un numéro de carte virtuel que vous copiez (ou faites glisser) dans la case prévue du site commerçant. Non seulement c’est une sécurité, mais c’est rapide! Malheureusement, le système ne convient pas pour l’achat de billets de train ou d’avion à récupérer à la gare ou à l’aéroport en présentant le moyen de paiement utilisé pour payer.
L’e-carte est payante dans la plupart des banques (de 9,29 euros par an à la Bred à 13 euros à la Banque Postale ou aux Caisses d’Épargne), sauf chez LCL, au Crédit Mutuel et chez Fortuneo. Vous la souscrivez sur l’espace Internet de votre banque en l’associant à l’une de vos cartes bancaires et vous bénéficiez de ses services d’assurance et assistance, et souvent aussi d’assurances complémentaires.
La hausse de la fraude a aussi servi d’argument aux portefeuilles électroniques, comme PayPal, qui évitent également de saisir un numéro de carte sur Internet. Et qui apportent des assurances à la livraison. Mais ils ne sont pas plus sûrs que votre carte classique. Pour eux, l’enjeu est d’assurer la protection des données stockées et d’empêcher leur utilisation frauduleuse.

Comment être remboursé intégralement pour fraude de carte bancaire?
Vous avez treize mois pour contester un achat effectué dans l’Union européenne, mais seulement 70 jours hors de cet espace {parfois 130). Tant que votre carte est dans votre sac, votre banque vous rembourse: «La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Elle n’est pas engagée non plus-en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument», stipule l’article L133-19 du Code monétaire et financier en son alinéa II, en application de la directive européenne Sepa (Single Euro Payments Area, ou Espace unique de paiement en euros}, entrée en vigueur le 1er novembre 2009.

En revanche, si vous avez perdu ou vous êtes fait voler votre carte, votre responsabilité avant sa mise en opposition peut être engagée jusqu’à 150 euros. Ne tardez pas à faire opposition, cala en cas de litige, la banque invoquera votre négligence pour se décharger de ses responsabilités.
En cas de réclamation, la banque «rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieux», rappelle l’article L 113-18 du Code monétaire et financier.

En pratique, si l’on vous rembourse bien les agios indus liés à un débit frauduleux, la rectification n’est souvent effectuée qu’après les vérifications de votre banque.
Une simple déclaration d’utilisation frauduleuse de la carte suffit. Si vous devez déposer plainte à la police en cas de vol de votre carte, cela n’est pas nécessaire pour obtenir le remboursement d’un débit frauduleux réalisé à partir d’une carte en votre possession. Pourtant les banques le demandent souvent (ou le dépôt d’une main courante), certains conseillers soupçonneux refusant d’effectuer le remboursement sans une plainte officielle.
En cas de différend, vous pourrez vous tourner vers le médiateur de la banque ou vers les tribunaux, en général favorables aux usagers des banques.

Les portefeuilles électroniques sont-ils sûrs?
Peut-on payer d’un simple clic en toute sécurité? Telle est la promesse des nouveaux portefeuilles électroniques (e-wallet) proposés par Apple, Paypal (eBay) Kwixo (Crédit Agricole), Buyster (SFR, Bouygues, Orange), Lemon Way( sous-traitant de banques comme BPCE pour son futur système de paiement sur mobile S-Money) dans lesquels vous enregistrez une fois pour toutes vos cartes bancaires. Ils ne vous demandent qu’un mot de passe et un identifiant pour effectuer votre paiement. Cela va plus vite et facilite l’opération à partir d’un téléphone mobile, sur lequel personne n’imagine de vous demander de taper les 16 chiffres de votre carte bancaire.
Buyster et Lemon Way, conçus en priorité pour les mobiles, fonctionnent aussi sur Internet. Lemon Way, ouvert le 1er juin 2012, est le seul qui ne facture pas de commission aux commerçants. Tous proposent des services et garanties complémentaires sur les paiements et les livraisons. Préférez les services cités ci-dessus qui peuvent certifier que vous êtes le titulaire légitime du compte à l’enregistrement.

Par exemple, pour vous faire passer du statut de « compte non vérifié » à celui de « vérifié » et augmenter les plafonds de transactions, PayPaI fait un premier débit de 1,50 euro. Puis, vous devez ouvrir votre relevé de carte (sous 48 heures sur Internet, 30 jours par courrier) et valider un code qui y figure. 1,50 euro vous est restitué. Et ce n’est pas tout : s’il juge votre premier achat trop important, il sera bloqué.
Néanmoins, la prudence s’impose. En cas de vol de vos identifiants PayPal, à savoir votre mail et votre mot de passe, le fraudeur est en mesure de réaliser des paiements sans aucune autre forme de contrôle, souligne l’observatoire de la sécurité des cartes de paiement (OSCP). De même pour les autres systèmes. Ces portefeuilles observent, en principe, votre comportement et peuvent bloquer une opération s’ils soupçonnent une fraude. Cela ne doit pas vous empêcher de surveiller vos relevés.
Vous éviterez « Google check-out » qui s’ouvre comme un jeu d’enfant: il retient d’emblée le même code d’accès que votre compte Gmail et le con serve en mémoire sur votre ordinateur.

Puisque 36% des fraudes proviennent de cartes perdues ou volées, n’écrivez pas son code confidentiel sur un post-it placé sur la carte ou dans votre Sac. Méfiez-vous aussi des tentatives pour regarder votre code secret par-dessus votre épaule, elles pourraient être suivies du vol de votre portefeuille. «Vérifiez qu’une caméra ne filme pas votre saisie sur le clavier. Le cas s’est produit dans une station service en France », relate Damien Guermonprez, ancien dirigeant de la banque Accord (groupe Auchan), aujourd’hui à la tête du portefeuille électronique Lemon Way. Au comptoir, ne quittez pas votre carte des yeux et ne laissez surtout pas quelqu’un l’emporter dans l’arrière-boutique. Il aurait vite fait de récupérer les numéros avec de la pâte à modeler. Au distributeur, méfiez-vous des La prévention la plus simple reste donc de ne jamais aller sur un site bancaire ou commercial directement à partir d’un mail. Les vrais sites de vos banques vous indiquent la date et l’heure de la dernière connexion, vérifiez-les. «Si vous vous êtes fait piéger; connectez-vous immédiatement sur le vrai site de votre banque et modifiez vos identifiants», conseille Denis Mancosu, directeur distribution multimarché multicanal à la Caisse d’Épargne.