Com­ment ne pas se faire pi­ra­ter sa carte ban­caire

Contre les pi­rates du Web, il n’y a pas une pa­rade mi­racle, mais des ré­flexes à ac­qué­rir. Guide des bonnes pra­tiques pour ache­ter sur In­ter­net sans dan­ger.

Le Revenu - Mensuel Placement - - PATRIMOINE - ALINE FAUVARQUE

V ous ne lais­se­riez pas votre por­te­feuille sans sur­veillance? Pro­té­ger vos cartes ban­caires et vos don­nées per­son­nelles peut vous évi­ter une perte bien su­pé­rieure à celle de quelques cou­pures ! En 2015, 868 400 fraudes ont été re­le­vées pour 71,7 mil­lions de cartes in­ter­ban­caires émises en France. La fac­ture a at­teint 416 mil­lions d’eu­ros, (113 eu­ros par tran­sac­tion frau­du­leuse) pour ces cartes, cal­cule l’Ob­ser­va­toire de la sé­cu­ri­té des paie­ments, rat­ta­ché à la Banque de France.

« Le risque zé­ro n’existe pas. La sé­cu­ri­té, c’est un en­semble de choses mises bout à bout »,

af­firme Al­bert Gal­loy, res­pon­sable mar­ke­ting et in­no­va­tion de Vi­sa en France. « Les ha­ckers re­cherchent la fa­ci­li­té », pré­vient Xa­vier Lof­fi­cial, di­rec­teur de la trans­for­ma­tion, pro­ces­sus et sys­tèmes d’in­for­ma­tion de la So­cié­té Gé­né­rale. Alors ne soyez pas le maillon

faible… si vous ne vou­lez pas que vos don­nées de carte se re­trouvent sur le dark web la face ca­chée du Web, où un ha­cker pour­ra les re­vendre s’il ne les uti­lise pas lui-même. Pa­ra­doxe, la conscience du dan­ger n’em­pêche pas les com­por­te­ments à risques : 52% des Fran­çais ont dé­jà li­vré leurs don­nées ban­caires per­son­nelles alors même qu’ils es­timent dan­ge­reux de le faire, se­lon une étude de CSA Re­search réa­li­sée fin 2016 pour BNP Pa­ri­bas.

Pro­té­gez vos mo­biles, ta­blettes et or­di­na­teurs

Conseil n° 1 : avant chaque achat, li­sez les condi­tions gé

né­rales des sites, no­tam­ment pour vé­ri­fier les co­or­don­nées du ser­vice clients. 68% des Fran­çais (79% des jeunes) ne lisent pas les condi­tions d’uti­li­sa­tion des sites ou des ap­pli­ca­tions qu’ils té­lé­chargent.

Conseil n° 2 : ré­ser­vez vos paie­ments aux sites qui cryptent les échanges de don­nées. « Au mo­ment du paie­ment, en plus de l’adresse avec ca­de­nas et https en haut de la page, qui in­dique que le site est sé­cu­ri­sé, un ca­de­nas en bas de la page si­gnale qu’il adhère au 3D Se­cure et re­quiert une au­then­ti­fi­ca­tion du payeur (voir cia­près) », dé­crit Willy Du­bost, di­rec­teur du dé­par­te­ment de sys­tèmes et des moyens de paie­ment à la Fé­dé­ra­tion ban­caire fran­çaise (FBF). Or, 47% des Fran­çais et 67% des jeunes n’y prêtent pas at­ten­tion. Ne pre­nez pas exemple non plus sur ceux qui uti­lisent les mêmes mots de passe pour dif­fé­rents comptes (48% en moyenne, 62% des jeunes). Quand un ha­cker en tient un, il le teste sur tous les sites ! Et com­plexi­fiez-les. Conseil n° 3: pro­té­gez vos or­di­na­teurs des che­vaux de Troie qui savent dé­tec­ter les codes et les numéros de cartes lors de vos achats sur In­ter­net. La So­cié­té Gé­né­rale re­com­mande la so­lu­tion an­ti- phi­shing Trus­teer qu’elle met à dis­po­si­tion gra­tui­te­ment sur son site. L’an­ti­vi­rus gra­tuit le plus uti­li­sé est Avast, rap­pelle, de son cô­té BNP Pa­ri­bas à ses clients. Conseil n° 4: pre­nez garde au phi­shing, ces e-mails ou SMS non sol­li­ci­tés qui vous in­vitent à vous connec­ter à un faux site ban­caire sous un pré­texte fal­la­cieux: cré­dit re­fu­sé, carte

désac­ti­vée… Vous ris­quez aus­si le phar­ming, une orientatio­n vers de faux sites mar­chands avec des pro­messes de bons d’achat, des ca­deaux choi­sis en fonc­tion de votre na­vi­ga­tion et de

vos centres d’in­té­rêt… Si l’in­ci­ta­tion à di­vul­guer des don­nées per­son­nelles (nu­mé­ro de carte, codes, date de nais­sance…) vient d’un mail, c’est for­cé­ment un piège.

“Au­cune banque ne vous in­vite à vous connec­ter sur votre es­pace en ligne à par­tir d’un mail”, as­sure Alexandre Ster­vi­nou, chef de la sur­veillance des moyens de paie­ment de la Banque de France. Si vous avez un doute, con­tac­tez vos banques. « À la de­mande de cer­tains clients par­ti­cu­liers, notre Cert (com­pu­ter emer­gen­cy res­ponse teams) in­ter­vient pour les ai­der à se dé­bar­ras­ser de pro­grammes mal­veillants sur leur poste de tra­vail per­son­nel », in­dique Thier­ry Oli­vier, res­pon­sable de la sé­cu­ri­té des sys­tèmes d’in­for­ma­tion du groupe So­cié­té Gé­né­rale. Ta­pez votre code à l’abri des re­gards in­dis­crets

Conseil n° 5: « Au res­tau­rant, ne lais­sez pas votre carte sur

un pla­teau ap­por­té par le ser­veur, ac­com­pa­gnez-le au comp­toir pour payer. Un com­mer­çant mal in­ten­tion­né pour­rait re­co­pier le nu­mé­ro de la carte, la date de fin de va­li­di­té et le cryp­to­gramme vi­suel à trois chiffres au dos », pré­vient Pierre Chas­si­gneux, di­rec­teur des pro­jets et des risques au GIE Cartes ban­caires CB.

Conseil n° 6: pro­té­gez-vous

des re­gards en com­po­sant votre code. « Si une ca­mé­ra ou un com­plice voit votre code et que l’on vole votre carte ou qu’on en co­pie la piste ma­gné­tique dans la fou­lée, c’est la porte ou­verte à une fraude im­mé­diate de­puis l’étran­ger », in­dique Willy Du­bost, qui ap­pelle aus­si à la plus grande mé­fiance aux dis­tri­bu­teurs de billets (DAB) ou de car­bu­rant.

Conseil n° 7: faites im­mé­dia­te­ment op­po­si­tion en cas d’ano­ma­lie, no­tam­ment si la carte est ava­lée après trois es­sais sans er­reur de code. « Les pi­rates savent com­pro­mettre les DAB tout en lais­sant sor­tir les billets », pré­vient Ré­gis Fol­baum à La Banque Pos­tale.

Conseil n° 8: un moyen de pré­ve­nir les tran­sac­tions frau­du­leuses sur In­ter­net en cas de vol phy­sique de sa carte (à l’ori­gine en­core d’un quart des fraudes, le reste pro­ve­nant des cartes usur­pées ou contre

faites), consiste à ef­fa­cer le code à trois chiffres au dos de la carte. Ce code est de­man­dé par la plu­part des sites, du moins en Eu­rope. Ceux qui au­raient peur de l’ou­blier peuvent de­man­der un code dy­na­mique (lire ci-des­sous). Après la pru­dence, vient la

sur­veillance. Bien sûr, les ecom­mer­çants, les pres­ta­taires de ser­vices de paie­ment, les ré­seaux Vi­sa, Mas­ter­card, Ame­ri­can Ex­press et les banques sur­veillent nos tran­sac­tions grâce à de puis­sants al­go­rithmes. Si vous ef­fec­tuez trois achats à 3 heures du ma­tin, le troi­sième pour­ra être sus­pen­du jus­qu’à ce que le emar­chand sus­pi­cieux ou votre banque réus­sisse à vous joindre. Vous avez peut-être re­çu un coup de fil à 7 heures du ma­tin pour vous de­man­der si vous aviez ef­fec­tué 2000 eu­ros d’achat dans la nuit ! « Nous ap­pe­lons plu­sieurs di­zaines de clients par jour », in­dique Marc Cam­pi, di­rec­teur de la banque en ligne chez BNP Pa­ri­bas. Ain­si, un quart des vic­times de fraudes ban­caires ont été pré

ve­nues par les ad­mi­nis­tra­tions, re­lève l’Ob­ser­va­toire na­tio­nal de la dé­lin­quance et des ré­ponses pé­nales ( ONDRP) dans son en­quête « Cadre de vie et sé­cu­ri­té 2011 à 2014 », pu­bliée en sep­tembre 2015. Les banques ar­ri­ve­raient à blo­quer près de quatre fraudes sur cinq. Pas toutes! Dans les deux tiers des cas, c’est en­core les vic­times qui dé­cou­vraient les fraudes. Conseil n° 9: li­sez donc vos

re­le­vés et pa­ra­mé­trez des alertes sur tous vos dé­bits dans vos es­paces de banques en ligne ou ap­pli­ca­tions mo­biles, même de faibles mon­tants. Car les es­crocs pro­cèdent sou­vent par pe­tits pas. Ce­la per­met­tra aus­si de dé­tec­ter les abon­ne­ments men- suels à moins de 10 eu­ros sous­crits par mé­garde. Trop de clients croient à une bonne af­faire sans lire les clauses. Pis, cer­tains tentent de faire pas­ser leurs er­reurs d’achat pour des fraudes. Ou sont mal­heu­reu­se­ment abu­sés par leurs proches.

De nou­veaux ou­tils d’iden­ti­fi­ca­tion

Échau­dées, les banques ont

donc dres­sé des pare-feu qui leur per­mettent de s’as­su­rer que vous êtes bien à l’ori­gine des paie­ments. Elles ont d’abord gé­né­ra­li­sé la puce qui vous oblige à sai­sir votre code se­cret pour va­li­der vos tran­sac­tions en ma­ga­sin.

Puis, la fraude se dé­pla­çant du com­merce phy­sique vers In­ter­net, elles vous ont in­vi­té à adop­ter des sys­tèmes d’au­then­ti­fi­ca­tion de plus en plus so­phis­ti­qués. De la va­li­da­tion d’un achat par une date de nais­sance, qua­si­ment aban­don­née car la don­née se re­trouve sur les ré­seaux so­ciaux, elles sont pas­sées à des sys­tèmes ren­for­cés comme le 3D Se­cure qui consiste à vous adres­ser un code à usage unique (gé­né­ra­le­ment en­voyé par SMS) pour va­li­der vos paie­ments sur In­ter­net. Plus de 96% des Fran­çais se sont en­rô­lés dans le 3D Se­cure, en­gen­drant une di­mi­nu­tion du taux de fraude sur les paie-

ments à dis­tance de 0,321% en 2011 à 0,228% en 2015 re­lève l’Ob­ser­va­toire de la sé­cu­ri­té des paie­ments.

Mal­heu­reu­se­ment, les dis­po­si­tifs d’au­then­ti­fi­ca­tion ne sont en­clen­chés que par un tiers des e-com­mer­çants, sous pré­texte qu’elle leur fait man­quer des ventes en re­fré­nant les achats d’im­pul­sion. Et ce sont eux qui dé­cident. Forts de leurs ou­tils d’ana­lyse des risques, les grands mar­chands comme Ama­zon peuvent stop­per une fraude. Pas les pe­tits.

De mal en pis, une nou­velle fraude est ap­pa­rue, la « SIMS­wap » : « Cer­tains es­crocs se

font ré­édi­ter une carte té­lé­pho­nique Sim au nom du ti­tu­laire

d’une carte usur­pée. Ils peuvent en­suite l’uti­li­ser pour va­li­der par SMS des achats frau­du­leux ef­fec­tués avec la carte », constate Ré­gis Fol­baum à La Banque Pos­tale. Con­tac­tez aus­si­tôt votre opé­ra­teur et votre banque si un mes­sage vous in­di­quait un chan­ge­ment de la carte Sim de votre por­table que vous n’au­riez pas de­man­dé.

Bien sûr, les au­to­ri­tés ban­caires ont fait rap­pe­ler à l’ordre les opé­ra­teurs peu vi­gi­lants, et les banques dé­ve­loppent à présent des dis­po­si­tifs

d’au­then­ti­fi­ca­tion sus­cep­tibles de rem­pla­cer les SMS. Les­quels leur sont fac­tu­rés par les opé­ra­teurs quelques mil­lions d’eu­ros par an !

Dé­cou­vrez les cartes vir­tuelles à usage unique

Fi­na­le­ment, les so­lu­tions qui per­mettent de payer par carte sans don­ner son nu­mé­ro pour­raient l’em­por­ter, es­time un ex­pert. Créée en 2002 par Vi­sa, l’e-carte bleue, pro­mue no­tam­ment par la So­cié­té Gé­né­rale et les Caisses d’Épar

gne, per­met de re­ce­voir par mail un nu­mé­ro de carte vir­tuelle à re­co­pier dans la fe­nêtre de paie­ment ou­verte par l’e-mar­chand. Le Cré­dit Mu­tuel a dé­ve­lop­pé un sys­tème équi­valent très ap­pré­cié : « 84% de nos clients l’uti­lisent », in­dique Jean-Luc Du­bois, di­rec­teur des flux au Cré­dit Mu­tuel Ar­kéa. Ces cartes à usage unique n’ont qu’un dé­faut : elles ne per­mettent pas

de re­ti­rer un billet de train ou de spec­tacle dans les au­to­mates. Et elles ne sont plus pro­po­sées par LCL, qui dit es­ti­mer le 3D Se­cure suf­fi­sant, ni par le Cré­dit Agri­cole et BNP Pa­ri­bas, qui misent à présent sur l’es­sor des nou­veaux usages mo­biles, à l’ins­tar de la So­cié­té Gé­né­rale.

Cette der­nière, la plus avan­cée en ma­tière de sé­cu­ri­té des paie­ments, pro­pose de­puis 2014, un « Pass sé­cu­ri­té » dans son ap­pli­ca­tion mo­bile. Il suf­fit

d’un mot de passe (six chiffres préa­la­ble­ment choi­sis) pour va­li­der ses tran­sac­tions en ligne. Pour chaque de­mande de paie­ment sur or­di­na­teur, ta­blette ou mo­bile, l’ap­pli­ca­tion sol­li­cite le consen­te­ment et le code de l’uti­li­sa­teur qui n’a plus be­soin de sai­sir son nu­mé­ro de carte, même si c’est bien sa carte qui se­ra dé­bi­tée.

En mai 2015, La Banque Pos­tale met­tait à son tour en place un sys­tème d’au­then­ti­fi­ca­tion dans son ap­pli­ca­tion

“Mes paie­ments”. Un code à usage unique des­ti­né à va­li­der l’achat y est di­rec­te­ment en­voyé. « Le de­gré de sé­cu­ri­té est plus éle­vé que le 3D Se­cure », af­firme Ré­gis Fol­baum de La Banque Pos­tale.

BNP Pa­ri­bas lui a em­boî­té le pas avec sa “clé di­gi­tale” dis­po­nible sur smart­phone dans ses ap­pli­ca­tions Mes Comptes ou Hel­lo bank !

N’hé­si­tez pas à adop­ter ces dis­po­si­tifs mo­biles. Ils per­mettent aus­si d’ef­fec­tuer des vi­re­ments. Et ils com­mencent à in­té­grer des so­lu­tions plus er­go­no­miques de va­li­da­tion de paie­ments par em­preinte

di­gi­tale (de­puis peu au Cré­dit Mu­tuel Ar­kéa) ou vo­cale ( ➠ lire notre ar­ticle « Après Apple Pay, le paie­ment bio­mé­trique s’in­vite sur An­droid » sur le­re­ve­nu.com). Les por­te­feuilles élec­tro­niques vous dis­pensent aus­si de com­mu­ni­quer vos numéros de carte lors de vos achats sur or­di­na­teur et sur mo­bile. Et ils sont gra­tuits !

Le pion­nier, Pay­pal, a dé­jà conquis 20% des 35 mil­lions des ache­teurs en ligne. Mais les nou­veaux por­te­feuilles des banques et des ré­seaux de cartes tel Mas­ter­pass de Mas­ter­card (ac­ces­sible à tous quelle que soit leur carte,Vi­sa, Ame­ri­can Ex­press…) sont à présent plus sé­cu­ri­sants.

Adop­tez Pay­lib

Pay­lib est pro­po­sé de­puis trois ans par ses trois fon­da­teurs : BNP Pa­ri­bas (et sa banque en ligne Hel­lo bank !), La Banque Pos­tale, la So­cié­té Gé­né­rale (et sa banque en ligne Bour­so­ra­ma) et, plus ré­cem­ment aus­si, par le Cré­dit Mu­tuel Ar­kéa et les Caisses de Cré­dit Agri­cole. Pay­lib mé

rite mieux que ses 600000 uti­li­sa­teurs du fait de sa sé­cu­ri­té et de sa fa­ci­li­té d’usage. Vous n’avez pas à y en­rô­ler votre carte ban­caire, votre banque la connaît, ni à en confier la garde à un tiers ! LCL et les autres éta­blis­se­ments de Cré­dit Mu­tuel en­vi­sagent d’ailleurs de le pro­po­ser bien­tôt, en­cou­ra­gés par l’ex­ten­sion de son champ d’uti­li­sa­tion en ligne et dans les paie­ments sans con­tact de proxi­mi­té (lire notre ar­ticle “Pay­lib sans con­tact trans­forme le té­lé­phone en por

te­feuille” sur le­re­ve­nu.com). Dans tous les cas, faites preuve de pru­dence. ■

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.