Fraudes bancaires : les pirates sévissent, les banques s'alarment
Suite à des opérations massives d'usurpations d'identités bancaires, les établissements financiers et le Groupement des cartes bancaires tentent de réagir. La parade commence à se dessiner.
C'est sans doute l'affaire de vol massif de numéros de cartes bancaires de trop. Elle démarre en octobre 2009, quand des malfaiteurs ont pu pirater les bases de données d'une société espagnole, vraisemblablement un prestataire de service ou un opérateur de télécommunications. Ces données contenaient les informations bancaires de particuliers et de touristes, ayant utilisé leur carte de crédit en Espagne.
Réactions coûteuses
Depuis, les réactions s'enchaînent. Visa et Mastercard ont vivement conseillé tous ceux ayant voyagé en Espagne de vérifier leurs relevés bancaires. Les banques, aussi alertées, ont réagi : en Allemagne quelque 100 000 cartes bancaires ont dû être retirées de la circulation en urgence. En France, le Crédit Mutuel de Bretagne a dû refabriquer des cartes pour ses clients ayant séjourné en Espagne.
Les grandes banques françaises ne peuvent plus faire mystère de leurs préoccupations. Elles sont même "en état d'alerte ", ont confirmé des conseillers anonymes à Ouest France. "Le Crédit Agricole, le Crédit Mutuel, la Banque Postale ou encore BNP Paribas sont mobilisés ", a aussi reconnu un banquier, sans donner plus de précisions sur leurs axes de réflexion.
Car ce sont bien les banques les premières victimes, car celui dont l'identité a été usurpée arrive souvent à se faire rembourser. Si les banques sont peu disertes sur le sujet, il ne fait aucun doute que ce phénomène grandissant leur cause des pertes de plus en plus importantes.
Le Clusif tire la sonnette d'alarme
Il est temps de réagir : les montants des préjudices ne cessent de grimper. Dans le panorama du Clusif sur la cybercriminalité de 2009 le chapitre "Vols massifs de numéro de carte bancaire" est aussi chargé qu'inquiétant.
Les fraude sur les opérations de paiement par cartes en hausse de 10% en 2009
En plus de cette gigantesque fraude en Espagne, le Clusif évoque, rien que pour l'année passée, 1,5 million de numéros de cartes bancaires volés suite à une intrusion sur des réseaux, et des millions de dollars perdus par RBS Wordpay (filiale de la Royal Bank of Scotland). Il évoque aussi les 130 millions de cartes mises en vente sur Internet "siphonnées par les hackers" suite, là aussi, à une intrusion dans le SI de l'opérateur Heartland Payment Systems et les supermarchés Hannaford Brothers
Si les banques communiquent peu, d'autres avancent des chiffres précis. Le volume des fraude sur les opérations de paiement par cartes bancaires a augmenté de 10% en 2009, selon le dernier rapport du Groupement des Cartes Bancaires rendus public au début du mois. Le taux de fraudes s'établissant à 0,036%, pour un montant de 115 millions d'euros. 69% de ce montant serait rattaché à la vente à distance.
Parade perfectible
Face à ce problème d'usurpation, une solution, ni parfaite, ni infaillible, existe. Lancée dès 2001 par Visa et MasterCard et basée sur les protocoles SSL et TLS, 3D Secure repose sur une authentification validée par un tiers : pour valider le paiement en ligne, la banque demande à son client de s'identifier une nouvelle fois (PIN, date de naissance, etc.).
Lors de sa conférence de presse au début de cette année Marc Bornet, administrateur au Groupement des Cartes Bancaires, avait fixé "la sécurisation de la vente à distance " et surtout "l'authentification du client" comme priorités.
Selon lui , 3D Secure est "un premier niveau de sécurité, qui peut être complété par des sécurités un peu plus sophistiquées. Dans l'avenir, d'autres techniques apparaîtront sans doute. On parle beaucoup de la biométrie, notamment, mais force est de constater que celle-ci est encore loin d'être opérationnelle.