Fraudes à la carte : des progrès en 2010 mais encore des efforts à fournir

Les fraudes à la carte tendent à se réduire, tel est le bilan 2010 observé à la suite des mouvements des acteurs du marché à renforcer les systèmes de contrôle et à se plier à la conformité. Revue de détails.

En 2010, nous avons vu la fraude prendre encore une fois un nouveau tournant. De manière générale, cette année a été plutôt bonne pour la prévention des fraudes à la carte. Le perfectionnement continu des terminaux des commerçants répondant aux normes EMV (Europay Mastercard Visa) et à celles des guichets automatiques bancaires, ainsi que l'émission de cartes disposant à la fois d'une puce et d'un code PIN dans toute l'Europe, ont contribué à donner une image contrôlée de la fraude domestique dans ces pays. Cependant, la fraude dite de carte-non-présente (CNP, cartes utilisées pour des achats en ligne ou des commandes passées par courrier ou par téléphone) est toujours active, et les cartes contrefaites utilisées dans des pays non encore passés aux normes EMV continuent d'être un problème. Par chance, ce changement n'est pas un phénomène nouveau dans l'industrie, et les banques savent se servir de leur expérience des mécanismes de prévention et de leurs systèmes de détection des fraudes, pour mieux contenir ce type de fraude par rapport aux années précédentes.

Les fraudeurs commencent à chercher de nouvelles voies dans leurs activités car les banques ont mis en place des contrôles qui colmatent et réduisent leurs points faibles face à tous les types de fraudes. L'un des points sensibles concerne la corruption des données de masse. Les fraudeurs voient chacune de leurs attaques réussies comme extrêmement lucratives. Quand ils obtiennent les données des cartes, cela peut entraîner leur vente au marché noir, elles sont alors utilisées pour créer des cartes contrefaites, pour réaliser des fraudes en CNP ou même pour procéder à des opérations invisibles et légales vers leurs comptes propres. L'urgence pour les commerçants est ainsi de mettre en conformité de la norme PCI-DSS afin de sécuriser leurs données.

Autre sphère où les fraudes continuent de proliférer : les transactions en ligne. Les attaques de phishing poursuivent leur progression, en gagnant en sophistication et en vraisemblance. Egalement, la propagation des logiciels malveillants et des attaques en cheval de troie continue, non seulement contre des personnes, mais aussi contre des TPE et des PME. Une fois les codes d'accès volés suivant l'une ou l'autre méthode, les fraudeurs peuvent dérober les fonds en effectuant des paiements électroniques au bénéfice de leurs propres comptes, ou au travers du compte money mule spécifiquement désignés pour cette tâche. Une nouvelle variante consiste à cibler TPE et PME, alors qu'elles étaient auparavant associées à un seul individu. Avec ce nouveau type de cible, les gains financiers pour les fraudeurs sont plus conséquents, et les sociétés en charge de ces activités tout autant que leurs banques doivent s'assurer qu'elles utilisent tous les outils anti-fraude disponibles et appliquer les meilleures pratiques anti-fraude pour se prémunir davantage.

Finalement, les fraudeurs continuent d'être innovants non seulement dans leurs outils et leurs méthodes, mais aussi savent changer de cible. S'ils s'avèrent capables d'accéder à des comptes et des fonds bancaires via un produit puis un autre, ils ne vont pas se priver. Voici un exemple de cette manière de fonctionner « multi canal » : Une organisation frauduleuse va cibler des données stockées chez un commerçant vulnérable. Une fois obtenues, ces données peuvent être employées pour s'emparer de comptes en utilisant un canal à distance (le téléphone) dans l'hypothèse où elle disposerait de suffisamment d'informations dans les données pour être capable de tromper les questions d'identification et de vérification (ID&V). Elle peut dès lors changer les adresses, ajouter des nouvelles autorisations d'accès au compte, commander de nouvelles cartes et procéder à des dépenses domestiques. En outre, les données volées peuvent être utilisées pour contrefaire les cartes et les utiliser dans des territoires où les normes EMV ne sont pas complètement installées. Ou bien, l'organisation peut également utiliser les données pour faire des achats en CNP. Au travers de cet exemple, on voit bien que les fraudeurs peuvent utiliser des données volées et corrompre les canaux à distance pour réaliser des fraudes à la carte.

Disposer de la capacité réelle de surveiller tous ces canaux est en train de devenir un atout clé dans le combat contre la fraude active. Afin de se protéger, nous devons maintenir notre volonté de développer les outils et les méthodes à même de prévenir et de combattre toute innovation des fraudeurs.