Les cartes bancaires sont-elles encore sûres ?

Atlantico : La carte bancaire est-elle sûre ?

Laurent Besset : Oui, mais... Comme beaucoup d’éléments informatiques, ses défauts d’implémentation peuvent créer des failles. C’est ce qui est arrivé, par exemple, à la fin des années 1990, dans les affaires de “Yes Card”. On utilisait de fausses Cartes Bleues pour réaliser des paiements qui ne nécessitaient pas de validation online. Ainsi, un Français avait créé des cartes bleues qui permettaient de passer au péage en utilisant ces cartes factices qui fonctionnaient sans débiter de compte... Certes elles n’étaient pas utilisables chez des commerçants et pour de gros montants. Mais elles fonctionnaient pour certains types de paiements moins bien contrôlés. Globalement, depuis pas mal de progrès ont été faits.

Personnellement, craignez-vous d’utiliser votre carte bancaire sur internet ?

Non, pas du tout ! En tout cas pas sur les grands sites marchands qui s’appuient en général sur les solutions de paiement en ligne des grandes banques ou de prestataires spécialisés.

Existe-t-il des statistiques qui établissent qui de Visa, Mastercard ou American Express propose des cartes de paiement - proportionnellement - les moins piratées ?

Non, d’une part parce qu’il n’existe pas de statistiques publiques détaillées sur le sujet, d’autre part parce que tous les principaux réseaux de cartes s’appuient désormais tous sur les mêmes standards EMV qui reposent sur des systèmes de sécurité très élevés qui peuvent aller jusqu’à la génération d’un identifiant unique pour chaque transaction. Bref, si c’est bien déployé, c’est sûr quelque soir la marque de carte…

Où le bât blesse-t-il alors ?

Les problèmes ne proviennent donc pas des cartes bancaires en tant que telles mais de la récupération des informations qu’elles contiennent afin d’effectuer des opérations frauduleuses à l’insu de son porteur : phishing, skimming (copie des informations de la carte par un dispositif pirate installé directement sur les distributeurs), aspiration des bases de données de sites marchands, etc. Une fois ces informations récupérées, il suffit d’exploiter la faiblesse de certains sites d’e-commerce, réalisant moins de contrôle lors des transactions. Ceci n’a donc rien à voir avec la carte en elle-même mais avec la sécurité de ces sites qui prévoient ces mécanismes-là !
Heureusement, le site "moyen" en France exigera le numéro “crypto”, indiqué au verso de la carte. Et de plus en plus, ils demanderont aussi un “identifiant de transaction” envoyé par SMS sur votre portable... Ce qui rend l’achat impossible à quelqu’un qui aurait juste volé votre carte... Si vous utilisez un site qui ne travaille pas avec un prestataire de paiements qui met en place ce type de contrôle, une simple photocopie de carte bancaire suffit. C’est là qu’il y a danger...

On a pu voir récemment de vastes opérations de phishing - cette arnaque du “hameçonnage" qui consiste à envoyer de faux mails de votre banque qui vous demandent de vous connecter sur un faux site afin de récupérer vos coordonnées bancaires ?

C’est l’équivalent informatique d’un voleur qui irait voir une vieille dame et lui parler gentiment et qui lui demanderait pour l’aider sa carte bancaire et son code secret devant un distributeur. Ce genre de choses marchent très bien. La preuve : les banques en ligne publient régulièrement des alertes avec le nom des émetteurs... Mais finalement, ça ne vient pas de la carte.

Sait-on combien de données de cartes bleus sont volées chaque année et sont potentiellement utilisées pour des paiements frauduleux ?

Des millions. Mais, notamment en France, ces chiffres sont difficiles à obtenir. On remarque plus de transparence dans les pays anglo-saxons. Dans d’autres pays, en effet, on arrive être au courant de grandes affaires concernant le vol de dizaines de millions de coordonnées de cartes bancaires qui sont ensuite revendues pour environ 2,5 $... et qui peuvent être utilisées sur des sites d’e-commerce mal sécurisés - le plus souvent dans des pays extra-européens... Curieusement, ce genre de vols massifs a l’air de se passer partout sauf en France...
En revanche, on connaît la contre la proportion de paiements frauduleux sur l’ensemble des opérations par carte.  L’Observatoire de la sécurité des cartes de paiement l’estime en France à 0,074 % des transactions, ce qui représente tout de même près de 370 millions d’euros en 2010.
On s’aperçoit aussi que le taux de fraude est proportionnellement beaucoup plus important sur les transactions en ligne et par téléphone que sur les retraits et les paiements chez les commerçants.

A quoi attribuez-vous cette apparente pudeur sur ces chiffres concernant de probables vols massifs de coordonnées de cartes bancaires françaises ?

C’est sans doute un peu culturel.  C’est sûrement aussi parce que l’obligation légale d’informer les victimes de ce type d’événement n’existe pas.  En tout cas pas jusqu’au tout récent Paquet Télécom qui prévoit que l’obligation pour les fournisseurs de service électroniques d’informer individuellement les personnes dont les données ont été volées. En attendant sa mise en œuvre, vous ne saurez jamais si votre carte bancaire a été piratée avant de constater des opérations étranges à Dubaï ou en Serbie...