Quatrième rapport d'activité de l'Observatoire de la sécurité des cartes de paiement

Publié le

 0707
un peu plus complet que les articles de presse sur le sujet....
L'utilisation de la carte en France est aujourd'hui totalement banalisée pour une grande majorité de porteurs. Une part de la population reste cependant réticente à l'utilisation de la carte pour payer à distance

L'Observatoire de la sécurité des cartes de paiement a rendu public, ce jour, son quatrième rapport d'activité concernant l'année 2006.

L'Observatoire de la sécurité des cartes de paiement est un forum chargé de promouvoir le dialogue et les échanges d'informations entre l'ensemble des acteurs intéressés, en France, par le bon fonctionnement des systèmes de paiement par carte. Il est constitué de deux parlementaires, de représentants des administrations publiques, des émetteurs de cartes et des utilisateurs (commerçants et consommateurs), ainsi que de personnalités qualifiées sélectionnées pour leurs compétences. Créé par la loi sur la sécurité quotidienne de novembre 2001, l'Observatoire a pour mission de suivre les mesures adoptées par les émetteurs et les commerçants pour renforcer la sécurité des cartes, d'établir des statistiques de fraude agrégées et d'assurer une veille technologique en matière de cartes de paiement.

 

 La sécurité des données de cartes de paiement dans la filière personnalisation 

 

En complément de l'étude menée l'an dernier sur la sécurité des données de cartes dans la filière acquisition, l'Observatoire a analysé les mesures de sécurité liées à la « personnalisation » des cartes, c'est-à-dire de l'ensemble des opérations consistant à préparer et introduire sur des cartes vierges les informations relatives à l'émetteur et au titulaire en vue de permettre leur utilisation par les porteurs, suivies de l'expédition des cartes personnalisées et des codes confidentiels.

 

La sécurité de ce processus est cruciale car il concentre plusieurs éléments sensibles (données, clés cryptographiques, cartes physiques). Pour prévenir le risque de vol, de copie ou de détournement, l'activité de personnalisation doit donc faire l'objet de mesures de sécurité élevées, tant sur le plan physique et logique qu'organisationnel.

 

L'Observatoire constate que le caractère sensible de l'activité est correctement pris en compte. Les émetteurs et les réseaux de cartes imposent aux prestataires en charge de cette activité des exigences de haut niveau. Ils les soumettent à un agrément préalable et à des contrôles très réguliers, sur la base de cahiers des charges très stricts. Les « bonnes pratiques » mises en œuvre par les personnalisateurs viennent compléter ces exigences. Ainsi, aucun incident ayant affecté la sécurité de leurs opérations de personnalisation n'a été relevé.

 

Statistiques de fraude

 

Les statistiques de fraude établies par l'Observatoire reposent sur des données recueillies auprès de la majeure partie des émetteurs de cartes de paiement, à la fois de types « interbancaire » et « privatif », et d'un échantillon de commerçants accepteurs de paiements par carte. Les données portent sur l'année 2006.

 

Après les baisses observées entre 2003 et 2005, le montant total des paiements frauduleux par carte a progressé pour s'établir à 252,6 millions d'euros en 2006, contre 235,9 millions d'euros en 2005. Toutefois, dans un contexte de croissance soutenue du volume et de la valeur des transactions par carte, cette hausse n'a pas d'impact sur le taux global de fraude, qui reste stable à 0,064 %. Le montant moyen d'une transaction frauduleuse s'établit à 117 euros.

 

La répartition de la fraude par zone géographique demeure marquée par un déséquilibre entre les transactions nationales et internationales : 60 % de la fraude porte sur les transactions internationales, alors que ce type de transaction compte pour moins de 10 % de la valeur des paiements par carte enregistrés dans les systèmes français. Dans un contexte de croissance soutenue des transactions, l'Observatoire relève une légère inflexion à la hausse du taux de fraude sur les transactions nationales, à 0,031 %, et une diminution du taux de fraude sur les transactions internationales, qui s'établit à 0,362 %.

 

Le taux de fraude sur les paiements à distance est très supérieur à celui des paiements de proximité et sur automate : 0,199 % contre 0,024 %. Dans un contexte de croissance très dynamique du volume et de la valeur des paiements à distance (+ 38,9 % entre 2005 et 2006), la fraude sur ces paiements augmente fortement en valeur mais très modestement en taux.

 

Les travaux conduits en 2006 avec le Groupement des Cartes Bancaires « CB » et la Fédération du e commerce et de la vente à distance (FEVAD) sur les différents modes de paiement par carte à distance montrent que le taux de fraude varie suivant le mode de paiement (le taux étant légèrement plus élevé pour les paiements sur Internet que pour les paiements par courrier et téléphone). Par ailleurs le taux de fraude semble varier selon les secteurs d'activité et serait plus important dans le cadre de la vente de services que dans celle de produits.

 

Dans ce contexte, l'Observatoire souhaite rappeler l'importance du respect des mesures de sécurité recommandées par les émetteurs, et en particulier l'utilisation systématique du cryptogramme visuel (CVx2) en paiement à distance et la vérification de l'identité des acheteurs par les commerçants.

 

Veille technologique en matière de cartes de paiement

 

Dans le cadre de sa mission de veille technologique, l'Observatoire a mené, en 2006, deux études : l'une sur l'impact de l'utilisation de réseaux ouverts dans l'environnement des cartes de paiement, et l'autre sur la sécurité des automates de paiement et de retrait. L'Observatoire a abouti aux conclusions et recommandations suivantes :

 

  • L'Observatoire constate que l'utilisation de réseaux ouverts entraîne des risques accrus, nécessitant la mise en œuvre de mesures appropriées, incluant l'utilisation de protocoles sécurisés et la protection de l'intégrité logique des équipements. Le Groupement des cartes Bancaires « CB » a défini dès 2004 des « Exigences sécuritaires liées aux communications avec les systèmes d'acceptation paiement ». L'Observatoire encourage vivement tous les acteurs concernés à se conformer à ces exigences. De plus, dans le cadre de la mise en œuvre du projet SEPA, il sera indispensable d'adopter au niveau européen des règles communes de niveau au moins équivalent aux exigences françaises.

     

  • Concernant la sécurité des automates de paiement et de retrait, l'Observatoire constate que la plupart des attaques visent le lecteur de piste. Il recommande en conséquence de supprimer les lecteurs de piste lorsque la fonctionnalité n'est pas nécessaire et d'étudier la faisabilité et l'efficacité d'une séparation des lecteurs de piste et des lecteurs de puce sur les automates exposés. En parallèle, l'amélioration des dispositifs de protection physique des automates doit être poursuivie. L'Observatoire encourage par ailleurs les émetteurs et les commerçants à développer des campagnes de communication vis-à-vis des porteurs pour susciter leur attention lors des transactions sur automate.

     

En outre, l'Observatoire a actualisé les indicateurs dont il dispose pour suivre l'état d'avancement de la migration à EMV en Europe. La mise en œuvre des spécifications EMV pour cartes à puce représente en effet un enjeu majeur dans la lutte contre la fraude transfrontalière. Les données réunies continuent de montrer une situation inégale en Europe, certains pays, dont la France, étant proches d'achever leur migration, et d'autres restant très en retard. A quelques mois du démarrage du projet SEPA pour les cartes, l'Observatoire s'inquiète de ces retards, pouvant signifier que les adaptations ne seront pas toutes achevées en 2008, ce qui aura pour effet de faciliter la fraude sur les paiements transfrontaliers.

 

 La perception par les porteurs de la sécurité des cartes de paiement

 

Afin de compléter les statistiques existantes sur le niveau de la fraude, son évolution et sa décomposition en fonction des modes de paiement, l'Observatoire a fait procéder par l'institut CSA à un sondage(1) sur la perception par les porteurs de la sécurité des paiements par carte.

 

Il confirme que l'utilisation de la carte en France est aujourd'hui totalement banalisée pour une grande majorité de porteurs. Une part de la population reste cependant réticente à l'utilisation de la carte pour payer à distance (par téléphone, par courrier ou sur Internet) et à l'étranger.

 

La carte est le moyen de paiement perçu comme le plus sûr. 12 % des porteurs considèrent qu'elle est « très sûre » et 68 % « assez sûre ». Cette perception varie néanmoins fortement selon le type d'utilisation : 4 porteurs sur 10 considèrent que l'utilisation des cartes à l'étranger présente un risque ; cette proportion s'élève à 6 sur 10 pour les paiements sur Internet et 7 sur 10 pour les paiements par courrier ou par téléphone. Toutefois, les utilisateurs réguliers du paiement sur Internet expriment un niveau de confiance plus élevé (ils sont 7 sur 10 à considérer les paiements sur Internet comme sûrs).

 

Les mesures de sécurité mises en place et les recommandations des établissements bancaires sont globalement connues et appréciées. Les porteurs déclarent en grande majorité s'y plier naturellement. Toutefois, 5 % déclarent ne suivre aucune de ces préconisations.

 

Bien que la fraude soit objectivement limitée, une part significative des porteurs déclarent y avoir été exposés (8 % ayant vécu un cas de fraude sur leur carte au moins une fois dans leur vie et 18 % connaissant parmi leurs proches une victime de fraude). Toutefois, l'impact de l'exposition à la fraude sur les comportements est limité.

 

L'Observatoire constate que la perception généralement positive des porteurs concernant l'utilisation et la sécurité des cartes de paiement et la différenciation du risque perçu, plus élevé pour les paiements à distance et à l'étranger, sont cohérentes avec les informations dont il dispose par ailleurs.

 

Sur la base de ces différents constats, l'Observatoire a élaboré une série de conseils de prudence destinés aux porteurs et recommande que ces derniers soient largement diffusés.

 

(1) L'enquête a été conduite auprès d'un échantillon représentatif de 1 005 personnes âgées de 18 à 74 ans résidant en France métropolitaine, contactées par téléphone du 5 au 6 février 2007.

Publicité

Publié dans e-commerce

Pour être informé des derniers articles, inscrivez vous :
Commenter cet article