Académique Documents
Professionnel Documents
Culture Documents
Rapport annuel 2009 de lObservatoire de la scurit des cartes de paiement adress Madame le Ministre de lconomie, de lIndustrie et de lEmploi Monsieur le Prsident du Snat Monsieur le Prsident de lAssemble nationale par Monsieur Christian Noyer, Gouverneur de la Banque de France, Prsident de lObservatoire de la scurit des cartes de paiement
SOMMAIRE
AVANT-PROPOS 1 LES MESURES DE SCURIT PCI SONT-ELLES ADAPTES AU MARCH FRANAIS ?
Description des mesures PCI Ladquation des mesures PCI au march franais Conclusion
9
9 11 14
17
17 19 19 20 23
3 VEILLE TECHNOLOGIQUE
Scurit du paiement distance par courrier et tlphone Scurit des nouveaux terminaux de paiement lgers tat davancement de la migration EMV
27
34 38 41
Suivi de la mise en uvre des solutions de paiement sans contact (par carte et mobile) 27
45
45
48 51
PROTECTION DU TITULAIRE DUNE CARTE EN CAS DE PAIEMENT NON AUTORIS MISSIONS ET ORGANISATION DE LOBSERVATOIRE LISTE NOMINATIVE DES MEMBRES DE LOBSERVATOIRE DOSSIER STATISTIQUE DFINITION ET TYPOLOGIE DE LA FRAUDE RELATIVE AUX CARTES DE PAIEMENT
59 63 67 69
73
Rapport 2009
AVANT-PROPOS
LObservatoire de la scurit des cartes de paiement a t cr par la loi n 2001-1062 du 15 novembre 2001 relative la scurit quotidienne1. Ses missions en font une instance destine favoriser lchange dinformations et la concertation entre toutes les parties concernes (consommateurs, commerants, metteurs et autorits publiques) par le bon fonctionnement et la scurit des systmes de paiement par carte2. Conformment lalina 6 de larticle L. 141-4 du Code montaire et financier, le prsent rapport constitue le rapport dactivit de lObservatoire qui est remis au ministre charg de lconomie et des finances et transmis au Parlement. Il comprend une tude sur les mesures de scurit PCI et leur adaptation au march franais (1re partie), puis une prsentation des statistiques de fraude pour 2009 (2me partie) et une synthse des travaux conduits en matire de veille technologique (3me partie). Enfin, le rapport comprend une tude portant sur la perception par les porteurs de la scurit des cartes de paiement (4me partie).
1 2
Les dispositions lgales relatives lObservatoire figurent larticle L. 141-4 du Code montaire et financier. Pour ses travaux, lObservatoire distingue les systmes de paiement par carte de type interbancaire et ceux de type privatif . Les premiers correspondent ceux dans lesquels il existe un nombre lev dtablissements de crdit metteurs et acqureurs. Les seconds correspondent ceux dans lesquels il existe un nombre rduit dtablissements de crdit metteurs et acqureurs. 7
Numro, date dexpiration, CVx2, code confidentiel. BPCE, Socit Gnrale, La Banque Postale, S2P, Visa Europe France (ex-SAS Carte Bleue), Mastercard, American Express, Concert International, Lafon, Atos Worldline, Lyra Network, ainsi que, de faon groupe, les entreprises membres de MERCATEL, de la FCD, de la FEVAD, de la Fdration des Enseignes du Commerce Associ, de l'U.C.A, de la FPS et des fdrations membres du Conseil du Commerce de France (48 enseignes commerciales ayant particip cette rponse). Cest notamment le cas des cartes mises en France par les membres du Groupement des Cartes Bancaires CB . 9
systmes dinformation de la chane dacquisition du paiement par carte, ou stockes dans ces systmes (voir Encadr 1)6 : Encadr 1 Prsentation des mesures PCI DSS
PCI DSS se compose de 12 types de mesures, rparties en 6 thmes : Cration et gestion dun rseau scuris 1. Installer et grer une configuration de pare-feu pour protger les donnes des titulaires de cartes 2. Ne pas utiliser les mots de passe systme et autres paramtres de scurit par dfaut dfinis par le fournisseur Protection des donnes des titulaires de cartes 3. Protger les donnes de cartes stockes 4. Crypter la transmission des donnes des titulaires de cartes sur les rseaux publics Gestion dun programme danalyse des vulnrabilits 5. Utiliser des progiciels antivirus et les mettre jour rgulirement 6. Dvelopper et grer des systmes et des applications scuriss Mise en uvre de mesures de contrle daccs strictes 7. Restreindre laccs aux donnes des titulaires de cartes aux seules personnes qui doivent les connatre 8. Affecter un identifiant unique chaque utilisateur dordinateur 9. Restreindre laccs physique aux donnes des titulaires de cartes Surveillance et test rguliers des rseaux 10. Effectuer le suivi et surveiller tous les accs aux ressources rseau et aux donnes des titulaires de cartes 11. Tester rgulirement les processus et les systmes de scurit Gestion dune politique de scurit des informations 12. Grer une politique de scurit des informations
La vrification de la mise en uvre de ces mesures donne lieu une certification de conformit. Pour ce faire, des audits sont conduits par des organismes spcialiss accrdits par PCI SSC, auprs des commerants et des prestataires techniques, selon diffrentes mthodes tenant compte du volume de transactions ralises. Les modalits de ces audits et de la certification qui en rsulte sont propres chaque systme de paiement par carte. A titre dillustration, pour MasterCard Worldwide, elles se dclinent selon 4 niveaux en fonction de limportance des acteurs concerns : niveau 1 : pour les acteurs grant plus de 6 millions de transactions cartes par an (tous canaux de commerce confondus) ou ayant dj subi une compromission, le programme prvoit que lacteur concern doit effectuer un audit annuel de scurit sur site de son systme dinformation et une analyse trimestrielle des vulnrabilits de son rseau de tlcommunication ; niveau 2 : les acteurs grant entre 1 et 6 millions de transactions cartes par an sont tenus de rpondre un questionnaire annuel dauto-valuation et de raliser une analyse trimestrielle des vulnrabilits rseaux ; niveau 3 : les acteurs grant plus de 20 000 transactions cartes en commerce lectronique et moins de 1 million de transactions cartes par an au total sont eux aussi tenus de
PCI SSC a galement promulgu des normes visant la protection des automates de vente (PCI UPT), des terminaux (PCI PED), ou des applications (PCI PA DSS). Rapport 2009 Observatoire de la scurit des cartes de paiement
10
rpondre un questionnaire annuel dauto-valuation et de raliser une analyse trimestrielle des vulnrabilits rseaux ; niveau 4 : il est recommand aux autres acteurs de rpondre un questionnaire annuel dauto-valuation tabli par PCI SSC et de procder un test dvaluation trimestriel des vulnrabilits du systme dinformation et du rseau de tlcommunication.
Les reprsentants du commerce sont toutefois rservs sur la pertinence de lapplication au march franais des mesures concernant la protection des donnes de la piste, faisant observer que les transactions ralises en France reposent en trs grande majorit sur la puce prsente sur les cartes de paiement, qui bnficient par l mme de protections cryptographiques leves. Toutefois, la protection des donnes associes (numro de carte, date dexpiration) et des donnes embosses ou imprimes sur la carte (les mmes que cites prcdemment ainsi que le CVx2) est importante pour empcher leur rutilisation frauduleuse notamment dans le cadre du e-commerce. Les mmes acteurs font en outre valoir que le fait de dsensibiliser les donnes de carte contre tout risque de compromission leur permettrait de saffranchir du respect des mesures PCI, que celles-ci concernent la protection des informations embosses sur la carte, inscrites sur la piste ou stockes dans la puce. Plus gnralement, la question de la pertinence de la gestion de ces donnes sensibles par les commerants reste pose, tout en notant que ceux-ci assurent la matrise de la scurit de leurs systmes. Chevauchement des mesures PCI avec dautres normes de scurit Certains participants lenqute ont fait valoir que les mesures PCI DSS apparaissaient proches de normes de scurit internationales, telles les normes ISO 270007, ou de mesures applicables en France, telles les recommandations de la CNIL (voir Encadr 2), de sorte quelles pourraient tre considres comme faisant double emploi avec ce qui est mis en uvre par les acteurs qui les appliquent. Un point de vue inverse a toutefois t dfendu par dautres participants qui ont soulign que la mise en uvre des normes ISO 27000 ou des recommandations de la CNIL contribuait assurer la conformit aux mesures PCI. De manire gnrale, des remarques analogues ont t formules quant au chevauchement, dune part des mesures PCI DSS et PCI PED avec les principes de scurit du standard de carte puce EMV et, dautre part, des mesures PCI UPT (PCI Unattended Payment Terminal, prescrivant des protections physiques et logiques des composants lectroniques des terminaux) avec les mesures AFAS8 (destines lutter contre la capture de donnes de carte sur les Distributeurs Automatiques de Billets et les Distributeurs Automatiques de Carburant). Il convient cependant de noter que le champ des mesures PCI est plus large que celui de ces autres normes et que la combinaison de lensemble permet de couvrir les diffrents canaux de compromission de donnes tels quidentifis dans le cadre dune analyse de risques.
Srie de normes ddies la scurit de linformation, dfinissant le cadre de mise en uvre dun systme de gestion de la scurit, dun catalogue de mesures de scurit et dun processus de gestion du risque. Anti Fishing Anti Skimming , ensemble de mesures imposes par le Groupement des Cartes Bancaires CB en 2005 afin de protger les automates de paiement et de retrait. Rapport 2009 Observatoire de la scurit des cartes de paiement
12
La certification
Processus de certification La certification de la conformit aux mesures PCI est effectue par des prestataires (Qualified Security Assessors - QSA ) accrdits par PCI SSC, et dont la liste est publie par ses membres fondateurs. Les systmes de paiement par carte peuvent galement imposer une analyse trimestrielle des vulnrabilits, effectue par des ASV (Approved Scanning Vendors), en fonction du nombre de transactions traites chaque anne. Les tablissements acqureurs sont quant eux soumis aux normes PCI sans tre formellement certifis conformes par PCI SSC. La publication de la liste des QSA/ASV et des rsultats des audits de certification par chacun des systmes de paiement par carte assure la transparence de ce processus. Les acteurs soumis aux mesures PCI disposent ainsi en temps rel dune base leur permettant de sassurer de la qualit des matriels dont ils sont quips et de la conformit des prestataires auxquels ils dlguent certaines parties du processus dacquisition. De telles publications ajouts et retraits des listes des acteurs certifis comportent toutefois un risque intrinsque de dpendance de ces acteurs lgard des systmes de paiement par carte seuls chargs de la mise en uvre et de la gestion de ces listes. Leurs modifications peuvent en effet avoir des consquences prjudiciables aux acteurs concerns, dautant plus importantes quils agissent dans le cadre dun march trs concurrentiel.
9 10
http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/13/ http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article//du-bon-usage-des-donnees-bancaires-collectees-par-leshotels/# 13
La majorit des acteurs interrogs par lObservatoire fait par ailleurs remarquer que la mise en uvre des mesures PCI est lourde et complexe, et quil leur est ainsi ncessaire de faire appel des socits de conseil pour y parvenir. Or, ils soulignent le conflit dintrt qui peut rsulter du fait que ces socits sont aussi le plus souvent accrdites par PCI SSC pour raliser les audits de conformit. Outre que ces socits disposent ainsi, par la conjonction de leurs deux missions, dune position dinfluence sur la mise en uvre des mesures, elles peuvent galement disposer loccasion de leur intervention dune visibilit complte des scurits mises en uvre sur le systme dinformation de lacteur. Dans ce contexte, certains acteurs ont mis le souhait que les services daudit interne des entreprises soient le cas chant mieux impliqus dans le processus de certification. Mcanisme de sanctions Toute non conformit est susceptible dentraner des sanctions de diffrentes natures, dont : la prise en charge des cots ventuellement induits par la non conformit (oprations frauduleuses, rmission des cartes, etc.) ; des sanctions pcuniaires pour les banques acqureurs, qui sont dfinies et perues indpendamment par chaque rseau membre de PCI SSC en se rfrant au nombre de jours de non conformit ou au nombre de transactions ralises ; la suspension du compte du commerant. Ces mcanismes de sanction, fonds sur la relation contractuelle encadrant lacceptation des cartes dun rseau, traduisent laspect coercitif des mesures PCI. Ils ne sont pas contests par les acteurs interrogs dans le cadre de cette enqute, mais certains dentre eux relvent toutefois le caractre parfois lev des sommes dues aux rseaux membres de PCI SSC, par ailleurs susceptibles de se cumuler au montant des transactions frauduleuses subies sur la priode considre.
13 Conclusion
Les rponses fournies dans le cadre de ltude mene par lObservatoire confirment la ncessit de mettre en uvre des mesures de protection des donnes de carte dans lensemble du processus dacceptation et dacquisition. Les mesures PCI reprsentent dans ce cadre une bonne pratique, contribuant lever le niveau de scurit des processus et matriels utiliss. Leur adoption par les systmes de paiement par carte internationaux, y compris pour les cartes nationales avec lesquelles ceux-ci ont des accords de co-badgeage, donne ces mesures le caractre de standards de fait. Leur adquation au march franais nest toutefois pas sans soulever de questions. La spcificit de lutilisation des cartes puce parat certains acteurs interrogs insuffisamment reconnue par PCI SSC. Dautres soulignent linverse que les donnes de carte peuvent tre gres dans de nombreux environnements tout au long des phases dacceptation et dacquisition, et que la rutilisation frauduleuse de ces donnes constitue un risque majeur. Or les recommandations adoptes par la CNIL en la matire, de mme que les tudes menes par lObservatoire depuis sa cration, confirment lenjeu dune telle protection. Dans ce contexte, la possibilit de dsensibiliser les donnes de carte est galement voque, les reprsentants des commerants sinterrogeant sur la pertinence de la gestion de ces donnes aujourdhui sensibles dans leurs environnements. De plus, la question de la reprsentation des acteurs franais ou europens au sein de PCI SSC a paru cruciale pour permettre une bonne adaptation des mesures PCI aux
14 Rapport 2009 Observatoire de la scurit des cartes de paiement
spcificits locales. Il serait ainsi souhaitable que la gouvernance de cet organisme soit largie, et que lEuropean Payments Council (EPC), qui travaille linteroprabilit des paiements par carte en Europe, puisse y siger. Dans cette optique, des reprsentants des banques et du commerce appellent la cration dun observatoire europen de la fraude, limage du dispositif mis en uvre en France par lObservatoire de la scurit des cartes de paiement. Une telle instance permettrait notamment de rpondre aux attentes des acteurs de la chane de paiement en donnant des orientations adaptes au march europen. En outre, les spcificits propres aux systmes de paiement par carte membres de PCI SSC dans lapplication des mesures PCI, ou dans la mise en uvre du mcanisme dvaluation de la conformit, sont susceptibles daccrotre la charge de mise en uvre par les acteurs. Une meilleure concertation entre systmes de paiement par carte devrait permettre dy remdier. Les acteurs interrogs ont galement not la lourdeur, juge parfois excessive y compris en termes de cot, des procdures dvaluation de la conformit, voire de sanction, imposes aux acteurs de la filire dacceptation et dacquisition. Il serait aussi important dviter toute position dinfluence et tout conflit dintrt dont pourraient profiter les socits accrdites pour raliser les audits de conformit des acteurs concerns. Des amliorations tangibles sont souhaitables sur ces points.
15
Les donnes recueillies proviennent : de dix metteurs de cartes privatives : American Express, Banque Accord, BNP Paribas Personal Finance, Cofidis, Cofinoga, Diners Club, Finaref, Franfinance, S2P et Sofinco ; des 136 membres du Groupement des Cartes Bancaires CB . Les donnes ont t obtenues par lintermdiaire de ce dernier, ainsi que de MasterCard et de Visa Europe France ; des metteurs du porte-monnaie lectronique Moneo.
21 Vue densemble
Le taux de fraude sur les paiements et les retraits par carte enregistr en 2009 dans les systmes franais est de 0,072 %. Il est en augmentation compar celui des annes prcdentes (0,069 % en 2008 et 0,062 % en 2007 voir Tableau 1). En effet, la progression des montants de fraude (342,4 millions deuros en 2009 contre 320,2 millions deuros en 2008, soit une hausse de 6,9 %) est plus importante que la croissance du montant des transactions (477,3 milliards deuros en 2009 contre 464,0 milliards deuros en 2008, soit une hausse
17
de 2,9 % voir Tableau 2). Le montant moyen dune transaction frauduleuse est en lgre hausse, 136 euros contre 131 euros en 2008.
Taux de fraude (tous types de cartes)
0,100% 0,090% 0,080% 0,070% 0,060% 0,050% 0,040% 0,030% 0,020% 0,010% 0,000% 2002 2003 2004 2005 2006 2007 2008 2009 0,082% 0,086% 0,070% 0,064% 0,064% 0,062% 0,072%
0,069%
500 450 400 350 300 250 200 150 100 50 0 2002 2003 2004 2005 2006 2007 2008 2009
245,2 273,7 241,6 235,9 252,6 268,5 320,2 342,4
+ 7%
Tableau 2 volution des montants de transactions et de fraude On observe une augmentation du taux de la fraude metteur c'est--dire de lensemble des paiements et retraits frauduleux raliss en France et ltranger avec des cartes mises en France. Il stablit en 2009 0,059 %, pour un montant de fraude de 265,6 millions deuros (contre 0,057 % et 249,2 millions deuros en 2008). Le taux de la fraude acqureur c'est--dire de lensemble des paiements et retraits frauduleux raliss en France quelle que soit lorigine gographique de la carte est en lgre augmentation. Il stablit en 2009 0,048 %, pour un montant de fraude de 220,8 millions deuros (contre 0,045 % en 2008, pour un montant de fraude de 201,9 millions deuros). Lannexe D du prsent rapport regroupe des tableaux dtaills des volumes et valeurs de transaction et des volumes et valeurs de fraude, par type de carte, zone gographique, type de transaction et origine de fraude.
18
2006 0,065 %
(237,0)
2007 0,063 %
(253,6)
2008 0,070 %
(304,3)
2009 0,072 %
(324,3)
0,067 %
(17,1)
0,052 %
(15,6)
0,052 %
(15,0)
0,054 %
(16,0)
0,068 %
(18,2)
0,064 %
(235,9)
0,064 %
(252,6)
0,062 %
(268,5)
0,069 %
(320,2)
0,072 %
(342,4)
Tableau 3 Rpartition de la fraude par type de carte Pour les cartes de type interbancaire , le taux de fraude est en lgre hausse en 2009, et stablit 0,072 %, pour un montant de fraude de 324,3 millions deuros (contre 0,070 % en 2008, pour un montant de fraude de 304,3 millions deuros). Pour ce type de carte, les taux de fraude metteur et acqureur sont respectivement de 0,059 % et de 0,048 % (contre 0,057 % et 0,046 % en 2008). La valeur moyenne dune transaction frauduleuse est de 132 euros, contre 127 euros en 2008. Pour les cartes de type privatif , le taux de fraude augmente sensiblement, 0,068 %, pour un montant de fraude de 18,2 millions deuros (contre 0,054 % et 16,0 millions deuros en 2008). Pour ce type de cartes, les taux de fraude metteur et acqureur stablissent respectivement 0,053 % et 0,059 % (contre 0,046 % et 0,042 % en 2008). La valeur moyenne dune transaction frauduleuse slve 324 euros en 2009, contre 357 euros en 2008.
2005
Transactions nationales Transactions internationales
Dont metteur franais et acqureur tranger Dont metteur tranger et acqureur franais
2006
0,031 %
(109,6)
2007
0,029 %
(114,5)
2008
0,031 %
(130,9)
2009
0,033 %
(144,0)
0,029 %
(97,8)
0,408 %
(138,1)
0,362 %
(143,0)
0,368 %
(154,0)
0,427 %
(189,4)
0,449 %
(198,4)
0,458 %
(64,1)
0,453 %
(76,4)
0,476 %
(85,3)
0,594 %
(118,3)
0,594 %
(121,6)
0,373 %
(74,1)
0,295 %
(66,5)
0,288 %
(68,7)
0,291 %
(71,0)
0,324 %
(76,8)
Total
0,064 %
(235,9)
0,064 %
(252,6)
0,062 %
(268,5)
0,069 %
(320,2)
0,072 %
(342,4)
19
La rpartition de la fraude par zone gographique demeure marque par un dsquilibre entre les transactions nationales et internationales : 58 % de la fraude portent sur les transactions internationales, alors que ce type de transaction compte peine pour 9 % de la valeur des transactions par carte enregistres dans les systmes franais. Dans un contexte de croissance du montant des transactions nationales (+ 3,2 %), le taux de fraude de celles-ci est en lgre hausse, mais demeure un niveau trs faible, 0,033 % en 2009, contre 0,031 % en 2008. La fraude sur les transactions internationales augmente pour sa part en 2009, la fois en taux et en montant. Le taux de fraude lie aux transactions effectues ltranger avec des cartes mises en France reste trs lev 0,594 %, pour un montant de fraude de 121,6 millions deuros (contre 118,3 millions deuros en 2008). Le taux de fraude lie aux transactions effectues en France avec des cartes mises ltranger est en hausse et stablit 0,324 %, pour un montant de fraude de 76,8 millions deuros (contre 0,291 % en 2008, pour un montant de fraude de 71,0 millions deuros).
20
Transactions nationales
Taux de fraude (Montant de la fraude en millions deuros) Transactions nationales Paiements - dont paiements de proximit et sur automate - dont paiements distance
- dont par courrier / tlphone - dont sur Internet
2005
0,033 % (82,8) 0,025 % (59,2) 0,196 % (23,6)
nd nd
2006
0,035 % (92,3) 0,024 % (59,1) 0,199 % (33,2)
0,194 % (19,8) 0,208 % (13,4)
2007
0,032 % (95,6) 0,017 % (45,4) 0,236 % (50,1)
0,201 % (23,8) 0,281 % (26,4)
2008
0,036 % (111,7) 0,015 % (44,5) 0,252 % (67,2)
0,280 % (28,5) 0,235 % (38,8)
2009
0,038 % (123,2) 0,014 % (41,0) 0,263 % (82,2)
0,263 % (30,3) 0,263 % (51,9)
Retraits Total
Tableau 5 Rpartition de la fraude nationale par type de transaction En ce qui concerne les transactions nationales, on observe que : le taux de fraude sur les paiements de proximit et sur automate continue de diminuer et stablit 0,014 %, pour un montant de fraude de 41,0 millions deuros (contre 0,015 % et 44,5 millions deuros en 2008). Les paiements de proximit et sur automate comptent pour 67 % du montant des transactions nationales, et pour seulement 28 % du montant de la fraude ; le taux de fraude sur les paiements distance est de nouveau en hausse en 2009 et stablit 0,263 % pour un montant de fraude de 82,2 millions deuros (contre 0,252 % en 2008, pour un montant de fraude de 67,2 millions deuros). Les paiements distance, qui reprsentent 7 % de la valeur des transactions nationales, comptent ainsi dsormais pour 57 % du montant de la fraude. Si cette hausse de la fraude est relativiser compte tenu de la croissance soutenue du volume et de la valeur des paiements distance (+ 17,1 % entre 2008 et 2009 en valeur, avec notamment 19,7 % de croissance pour les paiements sur Internet), le niveau trs lev de la fraude sur ce canal de paiement conduit lObservatoire encourager la mise en uvre de mesures permettant de lutter contre cette tendance. Le prcdent rapport de lObservatoire avait soulign limportance de gnraliser progressivement lauthentification du porteur pour tout acte de paiement et de renforcer les mthodes dauthentification utilises. A ce propos, lObservatoire rend compte dans le prsent rapport (cf. chapitre 4) des rsultats dune tude qualitative sur la perception de la scurit des transactions en ligne par les porteurs et de laccueil rserv diffrents dispositifs dauthentification non rejouable ; le taux de fraude sur les retraits est stable seulement 0,019 %, pour un montant de fraude de 20,8 millions deuros (contre 0,018 % en 2008, pour un montant de fraude de 19,1 millions deuros). Les retraits reprsentent 25 % du montant des transactions nationales et comptent pour 14 % du montant de la fraude.
21
Ventilation de la fraude sur les paiements distance par secteur dactivit pour les transactions nationales (montant de la fraude en millions deuros) Les secteurs Voyage/transport, Commerce gnraliste et semi-gnraliste et Services aux particuliers reprsentent 55 % de la fraude, apparaissant ainsi comme les plus exposs. La comparaison des taux moyens de chacun des secteurs dactivit complte cette information et permet de constater que certains secteurs, qui comptent pour une faible part du total de la fraude, subissent toutefois une exposition leve (Produits techniques et culturels, Jeu en ligne) (cf. histogramme ci-aprs). Nanmoins, lObservatoire remarque quau sein dun mme secteur, le taux de fraude varie sensiblement dun commerant lautre selon les mesures de scurit dployes.
0,800% 0,700% 0,600% 0,500% 0,400% 0,300% 0,200% 0,100% 0,000% taux moyen : 0,263 %
Taux de fraude sur les paiements distance par secteur dactivit pour les transactions nationales
Source : Observatoire de la scurit des cartes de paiement
22
Transactions internationales
Taux de fraude (Montant de la fraude en millions deuros) metteur franais Acqureur tranger Paiements - dont paiements de proximit et sur automate - dont paiements distance
- dont par courrier / tlphone - dont sur Internet
2006
0,421 % (54,0) 0,288 % (28,1) 0,840 % (26,0) 0,684 % (5,7) 0,898 % (20,3) 0,555 % (22,4) 0,453 % (76,4)
2007
0,483 % (65,2) 0,299 % (30,0) 1,024 % (35,1) 0,790 % (7,6) 1,117 % (27,4) 0,455 % (20,0) 0,476 % (85,3)
2008
0,655 % (99,3) 0,286 % (32,0) 1,698 % (67,2) 1,284 % (11,2) 1,815 % (56,0) 0,399 % (19,1) 0,594 % (118,3)
2009
0,679 % (105,2) 0,406 % (44,7) 1,350 % (60,5) 1,016 % (9,7) 1,440 % (50,8) 0,331 % (16,5) 0,594 % (121,6)
2006
0,344 % (61,5) 0,107 % (5,0) 0,295 % (66,5)
2007
0,334 % (62,8) 0,117 % (5,9) 0,288 % (68,7)
2008
0,339 % (65,4) 0,110 % (5,6) 0,291 % (71,0)
2009
0,397 % (74,1) 0,055 % (2,8) 0,324 % (76,8)
Tableau 6 Rpartition de la fraude internationale par type de transaction En ce qui concerne les transactions internationales, lObservatoire ne dispose dune dcomposition fine de la fraude par type de transaction que pour les seules transactions ralises par des cartes franaises ltranger. On remarque que la fraude a augment sur les paiements de proximit et sur automate (44,7 millions deuros en 2009 contre 32,0 millions deuros en 2008) alors quelle a lgrement diminu sur les paiements distance (60,5 millions deuros en 2009 contre 67,2 millions deuros en 2008). Nanmoins, on constate toujours un taux de fraude sur les paiements distance particulirement lev (1,350 %) et beaucoup plus important que celui sur les paiements de proximit et sur automate (0,406 %). Le dploiement de dispositifs dauthentification renforce devrait permettre de limiter la fraude sur les paiements distance qui, sur cette zone gographique, reprsentent 22 % des transactions mais 50 % de la fraude. Enfin, on remarque une diminution de la fraude sur les retraits, tant en montant quen taux, quil sagisse de transactions ralises par des cartes franaises ltranger ou par des cartes trangres en France.
23
carte falsifie ou contrefaite : une carte de paiement authentique est falsifie par modification des donnes magntiques, dembossage ou de programmation ; une carte entirement fausse est ralise partir de donnes recueillies par le fraudeur ; numro de carte usurp : le numro de carte dun porteur est relev son insu ou cr par moulinage ( laide de gnrateurs alatoires de numros de carte) et utilis ensuite en vente distance ; une catgorie autres , qui regroupe, en particulier pour les cartes de type privatif , la fraude lie louverture frauduleuse de compte par usurpation didentit. Lhistogramme suivant indique les volutions constates dans ce domaine au niveau national pour lensemble des cartes de paiement (la rpartition porte uniquement sur les paiements).
100%
29%
6%
4%
4%
4%
3%
3%
80%
35%
22%
24%
60%
17% 1%
20%
26%
25%
16% 2%
1%
3% 3%
5% 1%
40%
20%
46%
49%
44%
44%
48%
Tableau 7 Rpartition de la fraude selon son origine (transactions nationales, en valeur) En augmentation depuis 2005, lorigine de fraude la plus importante (55,1 %, contre 51,3 % en 2008) est celle lie aux numros de cartes usurps, utiliss pour les paiements frauduleux distance. La fraude lie aux pertes et vols de cartes reprsente encore 38,2 % des paiements nationaux frauduleux. La contrefaon de cartes nest plus lorigine que de 2,2 % des paiements nationaux frauduleux. Enfin, on observe une stabilit de la rubrique autres , qui est gnralement utilise par les systmes de carte de type privatif pour indiquer les fraudes par ouverture frauduleuse dun compte ou dun dossier de crdit (fausse identit) et qui est trs significative pour ce type de carte (prs de 50 %).
24
2009
Carte perdue ou vole Carte non parvenue Carte altre ou contrefaite Numro usurp Autres Total
Montant
(millions deuros)
Tableau 8 Rpartition de la fraude nationale selon son origine et par type de carte
25
3 VEILLE TECHNOLOGIQUE
31 Suivi de la mise en uvre des solutions de paiement sans contact (par carte et mobile)
LObservatoire a publi dans son rapport 2007 une tude portant sur la scurit des nouveaux mcanismes dinitiation du paiement par carte (paiement par tlphone mobile, carte sans contact)11 dans la continuit dune premire analyse publie en 2004. Mme sils sont dj largement dploys dans certains pays, notamment au Japon, les paiements utilisant des technologies sans contact ne faisaient lobjet, en 2007, que de projets pilotes en France. Dans ce contexte, lObservatoire avait mis des recommandations portant sur la scurit des paiements sans contact par carte, dune part, et par tlphone mobile, dautre part. La situation ayant volu depuis les cartes sans contact sont dsormais en circulation et les paiements par tlphone mobile font lobjet de pilotes grande chelle lObservatoire a souhait analyser la situation prsente, vrifier que les recommandations quil avait mises en 2007 ont bien t suivies par les metteurs et accepteurs12 et analyser ladquation de ces recommandations au contexte actuel.
Cf. Rapport annuel 2007, pp.36 43. Le champ de ces tudes couvre les paiements par carte sans contact et par tlphone mobile sans contact. Comme dans les rapports 2004 et 2007, les cartes prpayes, examines dans le cadre des travaux de suivi des politiques de scurit des metteurs et des accepteurs, ne sont pas couvertes par cette tude. 27
12
Ces trois types de donnes (montant unitaire, montant cumul, nombre de transactions) sont suivis laide de compteurs, grs par lapplication de paiement et dont la rinitialisation sopre par une demande dautorisation avec saisie du code PIN lors dun paiement en mode contact. Paiement sans contact par tlphone mobile En ltat actuel des exprimentations, deux modles mergent quant au stockage de lapplication de paiement dans un secure element 13 au sein du tlphone mobile : celle-ci peut tre loge dans la puce SIM (Subscriber Identity Module) gre par loprateur tlphonique14. Cest alors lapplication de paiement, au sein de ce microprocesseur, qui excute les oprations permettant dinitier le paiement ; une deuxime solution consiste loger lapplication de paiement dans un secure element distinct de la SIM, qui initie la transaction de paiement, contrle les communications NFC et contient des certificats numriques. Cette architecture permet de dvelopper des services indpendamment des infrastructures des oprateurs de tlcommunication, cest--dire sans faire intervenir la carte SIM ni les services associs de tlphonie. Les banques mettrices de lapplication de paiement conservent nanmoins dans les deux cas la matrise scuritaire du composant au sein duquel se trouve leur application, notamment en exigeant des valuations des composants htes et des applications de paiement. Comme pour les cartes, lapplication de paiement gre des seuils de transactions dont latteinte impose la saisie dun code personnel sur le clavier du tlphone, indpendant du code PIN dactivation de la carte SIM ou de tout autre secure element . Lutilisateur peut choisir de rendre la saisie de ce code systmatique, quel que soit le montant de lachat. Par ailleurs, la remise zro des compteurs peut seffectuer distance lorsquun des seuils est atteint. Ce processus comporte une demande dautorisation mise par le tlphone et qui ncessite laccord explicite du client. Celui-ci se matrialise par la saisie de son code personnel lors de cette mme demande ou la premire transaction suivante. **** Ltude de lObservatoire de 2007 avait identifi quatre types de menaces15 associes aux modes de paiement sans contact. Les volutions actuelles lies au dploiement progressif des modes de paiement sans contact renforcent le besoin de prendre en compte ces menaces, dont certaines peuvent par ailleurs tre combines. coute des informations changes La communication entre le terminal de paiement et la carte ou le tlphone mobile se faisant par ondes radio, il existe un risque de capture des informations changes lors du paiement et de leur rutilisation des fins frauduleuses. Ces informations concernent le numro de la carte
13
Le terme secure element couvre ici la SIM ou tout autre composant lectronique scuris (carte SD, etc.) pouvant hberger une application de paiement. Le standard Global Platform utilis pour larchitecture des puces SIM prvoit que celles-ci comportent diffrentes units isoles, les Security Domains , permettant dy inscrire des applications logicielles distinctes. coute des informations changes, activation de lapplication de paiement linsu du porteur, vol du support sans contact, attaques contre lapplication de paiement. Rapport 2009 Observatoire de la scurit des cartes de paiement
14
15
28
(le PAN)16, le montant de la transaction et les donnes dauthentification de la carte ou du secure element . Deux dispositifs permettent cependant de limiter la rutilisation de donnes captures. Dune part, lauthentification dynamique, chaque transaction, de lapplication de paiement contenue sur la carte ou dans le tlphone mobile permet de scuriser la connexion entre le support sans contact et le terminal. Dautre part, lutilisation dun PAN ddi au mode sans contact (distinct du PAN de la carte de paiement lorsque celle-ci est utilise en mode contact ou en vente distance) pourrait garantir que cet identifiant ne puisse pas tre rutilis par dautres modes dacceptation sil venait tre intercept. Par ailleurs, concernant la communication entre les terminaux de paiement et les serveurs dacquisition et dautorisation, la rutilisation des infrastructures pour les cartes de paiement contact permet de bnficier des protections dj existantes. Activation de lapplication de paiement linsu du porteur Lutilisation dune interface sans contact rend possible ltablissement dun dialogue avec la carte ou le tlphone mobile du porteur sans son consentement. Ceci peut conduire diffrents types dactions dommageables pour chacun des supports utiliss. Cartes sans contact Le mode sans contact permet denvisager la ralisation de transactions linsu du porteur, notamment pour des transactions infrieures un seuil actuellement autour de 20-30 euros o le code PIN nest pas saisi ( tl-pickpocketing ). La limitation de la distance entre le support sans contact et le terminal rduit toutefois la possibilit dactiver un support sans contact avec un terminal frauduleux. LObservatoire recommandait nanmoins ds 2007 la mise en uvre de processus dactivation et dsactivation du mode sans contact afin de sassurer du consentement du porteur lors de chaque transaction. Lutilisation dtuis protecteurs visant bloquer les ondes radio et interdire tout accs lapplication de paiement en dehors des courts intervalles de paiement durant lesquels le payeur retirerait sa carte de ltui entre notamment dans ce cadre. Paiement sans contact par tlphone mobile Seule une fonction dactivation et de dsactivation de lapplication de paiement utilisant le clavier intgr du tlphone assurerait un niveau de scurit quivalent celui dcrit prcdemment pour les cartes sans contact. Concernant la scurisation de la remise zro des compteurs de transaction, le fait de saisir le code personnel pour rinitialiser ces compteurs permet de sassurer de lauthentification du porteur. La remise zro des compteurs distance par sa banque ncessite quant elle de prvoir un canal scuris entre le tlphone mobile et la banque (notamment si lenvoi dinformation se fait par SMS via loprateur tlphonique) et des contrles de flux stricts au niveau de la banque (contrle de la lgitimit des rinitialisations de compteurs, limitation en nombre sur une priode donne pour un tlphone donn).
16
Primary Account Number : donnes qui identifient lmetteur de la carte et le numro de la carte. 29
Vol du support sans contact La carte et le mobile sans contact sont sensibles au vol dans la mesure o, en labsence de saisie du code PIN (respectivement du code personnel) et de vrification en ligne de la validit de la carte (respectivement de lapplication de paiement du mobile), il est possible dutiliser un support vol pour des achats de petit montant. Toutefois, lexistence de seuils de montants maximaux pouvant tre pays sans contact permet de limiter le prjudice financier en cas de fraude. Linstallation de compteurs dans lapplication de paiement permet de calculer le montant cumul des oprations de petite valeur et dimposer au porteur de saisir son code PIN ou son code personnel avec son tlphone mobile pour les remettre zro. En outre, en cas de vol, la mise en opposition de la carte sans contact ou de lapplication de paiement du mobile doit permettre de faire cesser toute utilisation frauduleuse. Pour les tlphones mobiles, le blocage de lapplication peut se faire grce la technologie OTA17, qui permet la mise jour distance de lapplication. Attaques contre lapplication de paiement Dventuelles attaques peuvent tre menes contre lapplication de paiement, que celle-ci soit inscrite sur la puce dune carte ou contenue dans le secure element dun tlphone mobile. Si les cartes font aujourdhui lobjet dune certification scuritaire, la possibilit dattaques contre la puce contenant lapplication de paiement dans les tlphones mobiles souligne la ncessit dtablir un processus similaire pour les composants de cette puce, men par un tiers indpendant comme lavait recommand lObservatoire en 2007. Le niveau de scurit induit devrait permettre de sassurer que lapplication de paiement ainsi que les donnes quelle contient sont protges de faon adquate, et bnficient ce titre dun cloisonnement par rapport aux autres applications et dun accs restreint au cadre des transactions autorises. A cet gard, les standards de scurit tablis par exemple par le consortium GlobalPlatform pour les puces SIM permettent de sassurer de ce cloisonnement entre applications. De plus, les valuations scuritaires effectues dans le cadre du schma de certification national18 garantissent un haut niveau de scurit de ces applications ainsi que des composants utiliss. Le tlphone mobile peut en outre lui-mme tre expos des risques de transmission de logiciels malveillants (capture de donnes, simulation dapplication de paiement des fins de phishing , etc.) par des canaux de communication varis (Bluetooth, Wifi, GSM par exemple). On notera toutefois que les dmarches relatives la scurisation du paiement par mobile considrent ce dernier comme transparent en termes de scurit et visent protger les applications de paiement ainsi que leur seul support, sans reposer sur la scurit de lappareil en lui-mme. Enfin, les applications de paiement sans contact utilisant des secrets pouvant tre compromis dans les chanes de fabrication ou de personnalisation des composants, il apparat ncessaire que les diffrents acteurs de la montique appliquent au paiement sans contact les mmes rgles de gestion des secrets que pour les cartes de paiement fonctionnant en mode contact.
17
La technologie OTA ( Over The Air ) permet daccder aux donnes figurant sur la carte SIM distance et de mettre jour ces donnes de faon scurise. ANSSI Rapport 2009 Observatoire de la scurit des cartes de paiement
18
30
Technologie de communication par ondes radio sur trs courtes distances (quelques cms). 31
fois de raliser des paiements de proximit et daccder dautres services (transport, billetterie, carte de fidlit, contrle daccs, information). Ce projet vise galement servir de tremplin au mode de paiement sans contact par carte et dployer un rseau dacceptation de terminaux de paiement sans contact auprs des commerants. Limpact des volutions technologiques rcentes Cartes sans contact La majorit des cartes dployes aujourdhui a fait lobjet de spcifications techniques qui nont que peu volu depuis les dernires recommandations de lObservatoire. On notera cependant quelques initiatives visant introduire un clavier sur les cartes elles-mmes ou signaler au porteur lactivation ou non de sa carte. Ces projets permettraient aux cartes de bnficier de fonctionnalits rserves jusqu prsent aux tlphones mobiles, mais se heurtent encore des obstacles techniques, principalement lis lalimentation et lautonomie des cartes. Paiement sans contact par tlphone mobile Lutilisation accrue des tlphones mobiles ainsi que le dveloppement des fonctionnalits des smartphones accroissent les risques dattaques sur ce segment. Diffrentes mesures peuvent toutefois limiter leur impact : la mise en place de signatures des logiciels mobiles20 permet de diffrencier strictement lapplication de paiement des autres applications sur le mobile ; le filtrage des communications peut tre effectu, afin disoler celles destines lapplication de paiement ; des tudes sont galement en cours sur la mise en uvre de modes scuriss qui seraient dclenchs lors dun paiement sur mobile. Ces modes permettraient de protger linteraction du porteur avec lapplication de paiement, en sassurant notamment de lintgrit des donnes entres sur le clavier et affiches sur lcran du tlphone. Par ailleurs, ce mode de paiement introduit de nouveaux acteurs, les Trusted Service Managers (TSM), ce qui accrot dautant les flux dinformations et la ncessit de mettre en place des mesures de scurit propres assurer lintgrit et la confidentialit des donnes changes. Les TSM assurent en effet le lien entre les metteurs et les tlphones mobiles lors des oprations de personnalisation de lapplication de paiement (cycle de vie) ou de rinitialisation des compteurs. Ils se placent en tiers de confiance et se doivent donc de garantir le maintien dun haut niveau de scurit tout au long de ces oprations. Plus gnralement, les projets ou exprimentations en cours visent, avant tout dploiement de masse sur le territoire franais, affiner les spcifications techniques propres au paiement par tlphone mobile sans contact, notamment concernant la partie scuritaire. Dans cette optique, une convergence des travaux mens dune part par lAEPM21, dautre part par les rseaux internationaux (Visa, Mastercard) est actuellement en cours.
20
Il sagit des Cardlets pour les applications de paiement et des Midlets pour les interfaces entre le tlphone et lutilisateur. Les premires sont stockes dans le secure element , les secondes dans le tlphone mobile. Association Europenne Payez Mobile, cre en octobre 2008 et regroupant des banques et oprateurs de tlcommunications lorigine du paiement sans contact sur mobile en France. LAEPM assure la continuit du projet Pegasus. Rapport 2009 Observatoire de la scurit des cartes de paiement
21
32
33
LObservatoire continuera exercer une veille technologique sur ces solutions de paiement innovantes afin de tenir compte de la finalisation de leurs spcifications et de leurs dveloppements par les professionnels.
Le paiement par tlphone qui est vis ici sentend comme celui qui est effectu par simple appel tlphonique et non par change de donnes comme cela commence apparatre avec des solutions innovantes (paiement mobile). On parle dans ce cas de compromission des donnes. Rapport 2009 Observatoire de la scurit des cartes de paiement
23
34
carte, copie des donnes, moulinage, etc.). Cest ce phnomne quillustrent les chiffres de fraude calculs par lObservatoire. Pour 2008, il a t relev un accroissement du taux de fraude pour les paiements par carte par courrier et tlphone : celui-ci tait en effet de 0,280 % contre 0,201 % lanne prcdente. Pour la premire fois en 2008, le taux de fraude national pour le canal MO/TO dpassait le taux de fraude sur Internet. La ralisation de la fraude en paiement par courrier et par tlphone pose la question de la dtection des transactions suspectes et de la vrification que lacheteur est bien le porteur lgitime de la carte. La prsente fiche vise dcrire lensemble des mesures mises en uvre en la matire. Les diffrentes tapes du paiement distance par courrier et tlphone sont prsentes dans lencadr ci-dessous : Encadr 7 Principes du paiement distance par courrier et tlphone
Canal
Porteur
Le porteur remplit et poste un coupon dachat. Celui-ci inclut notamment le nom du porteur, le numro de la carte, sa date dexpiration et le code CVx2. La Poste transmet le courrier, gnralement un prestataire, qui assure la saisie de la commande et des donnes du paiement et transmet ces dernires lacqureur. Certaines de ces donnes sont galement conserves.
Le porteur appelle le numro fourni par le commerant, et paye en indiquant un oprateur ou un serveur vocal les mmes informations. Un oprateur ou un serveur vocal, gnralement fourni par un prestataire du commerant, reoit les donnes du paiement et les transmet lacqureur. Certaines de ces donnes sont galement conserves.
Acqureur
Lacqureur reoit lordre lectronique de paiement et le transmet la banque mettrice. La banque mettrice reoit lordre de paiement, fait les vrifications ncessaires puis autorise la transaction.
Banque mettrice
La protection des donnes de paiement par le commerant fait lobjet de prescriptions des standards PCI DSS24 et est hors du champ de cette tude.
24
Ces standards sont tablis par conjointement par American Express, Discover Financial Services, JCB International, MasterCard Worldwide, et Visa, Inc. 35
25
Voir rapport annuel 2004 de lObservatoire de la scurit des cartes de paiement. Rapport 2009 Observatoire de la scurit des cartes de paiement
36
37
26
Lors des travaux conduits par le groupe Veille technologique, plusieurs annonces ont galement t faites pour ajouter un lecteur de cartes de paiement sur des tlphones quips dun clavier et disposant dune connexion Internet ( smartphones ), afin de leur faire jouer le rle dun terminal de paiement. Ce type dquipement pourrait tre ds lors apparent un terminal lger . Rapport 2009 Observatoire de la scurit des cartes de paiement
38
Un terminal de paiement lger , install chez un commerant, est raccord via un rseau de communication, un serveur de contrle montique (situ chez le commerant ou lextrieur, chez un prestataire par exemple), gnralement gr par le fournisseur du terminal lger . Cest ce serveur qui reoit les donnes correspondant au paiement effectu et lauthentification du porteur. Aprs validation du paiement, il assure la suite de la liaison avec les habituels quipements dacquisition, dautorisation des participants aux systmes de paiement par carte. Le terminal de paiement lger est donc en permanence en communication avec le serveur de contrle montique.
le contrle de la validit de la cl dauthentification de la carte. Dans cette hypothse, il serait ncessaire de protger les donnes transmises sur le rseau de communication entre le terminal et le serveur de contrle montique ; le contrle de linscription de la carte sur des fichiers dopposition ; la confection des demandes dautorisation et des fichiers de transactions qui sont transmis aux serveurs dacquisition. En revanche, la vrification du code PIN na pas vocation tre dporte sur le serveur de contrle montique. Le terminal lger garde une sensibilit face aux risques de dtournements (captation du code PIN ou prise de contrle du flux, voire risque dentre dans le rseau). Mais la sensibilit des autres quipements est galement modifie. Le serveur de contrle montique devient un lment sensible dans la chane de transmission et de traitement des donnes. Il devient, par ailleurs, un quipement impliqu directement dans les oprations de gestion et de maintenance distance des terminaux puisquil centralise les mises jour de programmes effectuer. De plus, la protection des flux de donnes qui sont changs, dans un premier temps, entre le terminal lger et le serveur de contrle montique, puis entre ce mme serveur de contrle montique et le serveur dacquisition, devient cruciale. En consquence, un certain nombre de mesures de scurit sont requises pour assurer la confidentialit, lintgrit et la disponibilit des donnes : le serveur de contrle montique et le terminal lger doivent tre protgs de faon viter la compromission de donnes ou la prise de contrle du flux. Il est pour cela ncessaire de sassurer de lauthenticit et de lintgrit physique et logique de ces dispositifs ; les systmes dexploitation des quipements ainsi que les applications installes doivent tre maintenus ltat de lart afin de garantir leur scurit, et notamment leur intgrit ; les flux de donnes entre le terminal lger et le serveur de contrle montique doivent tre protgs pour garantir lauthenticit et la confidentialit des donnes changes. Les mesures dployes doivent tre adaptes selon que le serveur de contrle montique est situ chez le commerant ou chez son prestataire. Dans ce dernier cas, et notamment en raison de lusage de rseaux le plus souvent ouverts28, une scurisation accrue des flux changs est souhaitable. Par ailleurs, le terminal lger devant tre en permanence en communication avec le serveur de contrle montique, il convient de sassurer que les rseaux employs sont configurs afin de garantir la disponibilit des donnes changes ; il en va de mme pour les changes de donnes entre le serveur de contrle montique et le serveur dacquisition. A titre dexemple, ceux-ci peuvent tre raliss par le chiffrement des donnes et par lutilisation de rseaux privs virtuels (VPN Virtual private Network) ou dun protocole de scurisation de type SSLv3 ou quivalent29. Par ailleurs, les exigences scuritaires des systmes de paiement par carte doivent tre adaptes larchitecture des terminaux lgers afin de ne pas dgrader le niveau de protection actuel du dialogue entre la puce et le terminal et des donnes traites par les dispositifs.
28
Cf. Rapport annuel 2006 de lObservatoire, Utilisation de rseaux ouverts dans lenvironnement des cartes de paiement, pp. 25 30. Cf. Rapport annuel 2006 de lObservatoire, Utilisation de rseaux ouverts dans lenvironnement des cartes de paiement. Rapport 2009 Observatoire de la scurit des cartes de paiement
29
40
Les changements applicatifs pouvant tre raliss de manire centralise, il devient possible de les mettre jour dans un dlai trs bref, ce qui permettrait, en cas de dfaillance de la scurit, dintervenir au plus vite.
conformes aux spcifications EMV. Le 0,2 % restant de terminaux et automates, peu utiliss, seront migrs lors de leur remplacement normal.
97% 92% 86% 100% 100% 100% 100% 78% 88% 100% 65% 92% 72% 26% 31% 85% 31%
Source : European Payments Council mars 2010
84%
100%
Par rapport lan dernier, on constate une progression gnrale de la migration des cartes au standard EMV. Toutefois, plusieurs pays dbutent peine leur migration, comme la Bulgarie et la Pologne, ou sont peu avancs, comme lEspagne, et la Hongrie. Le dploiement des cartes EMV reste plus lev dans les pays du Nord de lEurope.
42
Concernant lacquisition, la migration vers EMV progresse sensiblement : fin mars 2010 80,0 % des terminaux de paiement (voir Encadr 10) et 94,4 % des distributeurs automatiques de billets (voir Encadr 11) sont conformes EMV (soit une progression de 4 points pour les terminaux de paiement et de 2,4 points pour les distributeurs automatiques de billets par rapport mars 2009). La situation reste trs contraste pays par pays, tant en taux dquipement quen progression dune anne sur lautre. Encadr 10 Dploiement des terminaux et automates EMV en Europe
56%
49%
100% 96% 100% 100% 100% 65% 10% 100% 99,8% 85% 86% 92% 87% 63% 80%
La tendance observe pour les terminaux et les automates est linverse de celle constate pour le dploiement des cartes : la migration des terminaux est globalement plus rapide dans les pays du Sud de lEurope, qui sont les rgions les plus touristiques et donc les plus susceptibles denregistrer des volumes levs de transactions transfrontalires. La situation volue toujours peu en Allemagne par rapport mars 2008, ce pays restant un faible niveau dquipement. La migration a en revanche progress en Sude et aux Pays-Bas. Les pays en fin de migration peuvent rencontrer des difficults remplacer une dernire frange de systmes dacceptation, qui sont peu ou trs ponctuellement utiliss.
43
100%
98% 93%
98% 97%
67% 57%
Source : European Payments Council mars 2010
La progression de la migration des distributeurs de billets est plus homogne dans les diffrents pays europens et les taux de migration sont globalement plus levs que pour les cartes et les terminaux. Il subsiste toutefois quelques disparits. Les pays en cours de migration de leur parc de distributeurs automatiques de billets au standard EMV ont probablement choisi de migrer en priorit les automates utiliss par les touristes et les visiteurs trangers. LItalie reste lgrement en de des niveaux de dploiement des autres grands pays mais son niveau dquipement sest encore amlior depuis mars 2009.
44
41 Les rsultats de ltude sur la perception de la scurit des cartes de paiement par les porteurs confirment les tendances observes en 2007
Un quipement stabilis mais des usages qui sintensifient, notamment pour les paiements sur Internet
Une trs large majorit des personnes interroges, 9 personnes sur 10, dtient aujourdhui au moins une carte de paiement ou de retrait. La raison principale qui motive le fait de ne pas dtenir de carte est labsence de besoin, exprime par 5 % des Franais. Mais seul 1,5 % de la population dclare ne pas possder de carte pour des raisons de scurit. Lusage de la carte en France est totalement banalis puisque 8 porteurs sur 10 lutilisent chaque fois que cela est possible ou presque. Par rapport 2007, lusage de la carte en France est en lgre progression pour les paiements sur automates et chez les commerants.
30
Lchantillon a t construit selon la mthode des quotas qui portaient sur le sexe, lge, le statut professionnel et la profession des personnes interroges, ainsi que sur la taille dagglomration et la rgion dhabitation. Le sondage a t prcd dune phase qualitative qui a consist runir, Paris et en province, plusieurs groupes de porteurs prsentant chacun des comportements similaires en termes dusages de leurs cartes. Un dispositif dauthentification non rejouable associ un moyen de paiement repose sur lutilisation de codes usage unique, cest--dire utilisables pour la protection dune seule transaction, permettant dauthentifier de manire renforce un porteur ou usager lgitime de ce moyen de paiement. Les critres principaux qui ont servi structurer lchantillon sont : la frquence des pratiques de paiement en ligne, le fait dutiliser ou non un dispositif de scurisation, ainsi que des paramtres assurant une bonne reprsentativit dans le cadre dune tude qualitative (rpartition hommes/femmes, tranches dge concernes, statut professionnel, usage dInternet, localisation Paris/province). La dure de chaque entretien a t denviron 1h15 1h30. 45
31
32
En revanche, on constate une assez forte progression de lutilisation de la carte pour les paiements sur Internet par rapport la prcdente tude. En effet, en 2010 un Franais sur deux effectue des achats en ligne avec sa carte bancaire contre 38 % en 2007. Comme en 2007, des rticences dans lutilisation de la carte de paiement subsistent toutefois pour les paiements ltranger : 34 % des voyageurs en Europe et 41 % des voyageurs hors Europe neffectuent jamais de retrait ltranger. Ainsi, 13 % des porteurs de cartes voyageant ltranger ne lutilisent jamais (ni pour un retrait, ni pour un paiement).
Lutilisation des cartes est perue comme sre par la grande majorit des porteurs
Plus des trois quarts des porteurs de cartes de paiement (77 %) considrent que lutilisation de la carte reste sre, mme si ce pourcentage est lgrement en baisse depuis 2007 (3 points). Un tiers des personnes interroges considre que les cartes de paiement permettent de raliser des achats avec le moins de risques. Les personnes qui peroivent la carte comme tant le moyen de paiement le plus sr sont principalement les personnes ges de plus de 65 ans, les retraits, les personnes ayant au moins un niveau dtudes secondaires ainsi que celles vivant en couple ou voyageant en Europe. Malgr tout, il subsiste un dcalage entre lopinion globale que les porteurs expriment au sujet de la scurit des cartes et le sentiment ressenti en situation dutilisation. En effet, prs de 46 % des Franais dclarent avoir limpression de prendre tout de mme un risque lors dun paiement par carte.
Des paiements par carte perus comme plus srs chez les commerants en France que sur Internet ou ltranger
Les oprations ralises en France sont perues comme tant les plus sres. En particulier, le paiement chez un commerant en France est lopration juge comme tant la plus sre, avec 94 % dopinions en ce sens. Les craintes concernant les paiements par courrier ou tlphone sont plus importantes en 2010 quen 2007 puisque seuls 25 % des porteurs, contre 32 % en 2007, pensent que payer par courrier ou tlphone est sr. De mme, la perception du risque sest accentue pour les paiements chez les commerants ltranger : 51% des porteurs, contre 57 % en 2007, considrent que payer chez un commerant ltranger est une opration sre. Les paiements sur Internet sont, eux, perus comme risqus, en France comme ltranger. Lorsque le site est franais, seule la moiti des porteurs de carte juge les paiements sur un tel site comme tant srs. Cette perception du risque est nettement plus importante lorsque le site est tranger ou en langue trangre puisque seul un dtenteur de carte sur 10 peroit ces paiements comme tant scuriss. De mme quen 2007, 44 % des utilisateurs de carte ont dj utilis un autre moyen de paiement que la carte en raison de leur perception du risque. Pour 37 % de ces personnes, il sagissait de paiements sur Internet.
46
Les rflexes de scurit sont bien intgrs mais linformation des porteurs sur les actions mener en cas de fraude reste amliorer
Mme si les trois quarts des utilisateurs de cartes, contre 66 % en 2007, considrent que les tablissements financiers sont les mieux placs pour amliorer la scurit des cartes, 76 % dentre eux pensent avoir galement un rle jouer pour viter les fraudes. Cette proportion tend progresser depuis 2007 (72 %), ce qui tmoigne de lavance de lappropriation des rflexes de scurit. La majorit des porteurs de cartes prend systmatiquement des prcautions pour viter les risques lis lutilisation de la carte. Les pratiques les plus rpandues consistent en la vrification de la scurisation du site sur Internet33, ladoption dune attitude de discrtion lors de lentre du code PIN chez un commerant ou la vrification du montant affich avant de valider le paiement. Toutefois, cette vigilance pourrait tre accrue si les consommateurs taient mieux informs sur les risques et les mesures adopter en cas de fraude. En effet, 4 utilisateurs de carte sur 10 prtent encore leur carte leur entourage, mme si ce comportement sest attnu depuis 2007 (5 sur 10). Mme si la proportion de personnes qui pensent tre responsables en cas dutilisation frauduleuse de leur carte si celle-ci est encore en leur possession a baiss (19 % en 2010 contre 25 % en 2007), le dlai pendant lequel il est possible deffectuer une opposition reste encore largement mconnu. 59 % des utilisateurs lestiment 10 jours ou moins et seuls 4 % ont t informs de lallongement de ce dlai sous certaines conditions, conformment aux dispositions prvues par la Directive europenne sur les services de paiement.
Lexposition directe ou indirecte la fraude na pas dinfluence significative sur les comportements des utilisateurs
Lexposition la fraude des porteurs de carte reste du mme ordre quen 2007 : 13 % dclarent avoir dj t eux-mmes victimes de fraude et 18 % ont t exposs la fraude de manire indirecte. La principale source de fraude rapporte est lie au paiement sur Internet (27 % des cas rapports). Limpact de lexposition la fraude est assez limit quoique plus important quen 2007 puisque presque la moiti des victimes de fraude (45 % contre 37 % en 2007) dclarent avoir diminu lutilisation de leur carte suite la fraude. Aprs une fraude, les utilisateurs restent tout de mme confiants vis--vis de leur carte : 63 % des personnes exposes directement la fraude disent que lutilisation de leur carte est sre, contre 77 % de manire gnrale. En revanche, lexposition indirecte la fraude na pas dimpact sur la perception de la scurit des cartes.
33
En vrifiant notamment la prsence de pages chiffres lors dun paiement (prsence du cadenas de scurit cet effet). 47
Encadr 12 Types dattitude en matire de scurit des cartes Lenqute ralise permet didentifier plusieurs types de comportement et dattitude chez les utilisateurs de carte* :
Les inquiets vigilants (15 %) Ils paient le moins souvent possible avec leur carte quel que soit le canal. Ils peroivent les cartes en gnral, comme tant risques, voire trs risques, quel que soit le canal et ont limpression de prendre des risques en lutilisant. Ils nont pas un niveau de connaissance lev de leur carte. Les confiants (9 %) Ils paient avec leur carte chaque fois que cela est possible. Ils peroivent lutilisation de la carte comme tant trs sre et nont pas du tout limpression de prendre de risques en lutilisant. Ils ne prennent pas beaucoup de prcautions. Un groupe qui est rest stable par rapport 2007
Les rsigns (36 %) Ils utilisent moins leur carte que les autres mme sils jugent globalement lutilisation de la carte assez sre. Par contre, ils ont limpression de prendre des risques chaque utilisation. Ils prennent moins de prcautions quen 2007.
Les avertis (39 %) Ils paient avec leur carte chaque fois que cela est possible et jugent lutilisation des cartes assez sre. Ils ne ressentent pas de risques en utilisant leur carte. Pour eux, la scurit des cartes progresse et ils prennent systmatiquement un certain nombre de prcautions pour viter les fraudes.
48
42 Les utilisateurs des paiements en ligne prsentent une sensibilit relle au risque de fraude et accueillent de manire favorable limplication de leur banque dans la diffusion de dispositifs de scurisation
Ltude qualitative conduite par linstitut LH2 a permis de mettre en avant une sensibilit relle des acheteurs aux risques de fraude et une raction positive face limplication de leur banque dans leur scurisation.
49
Les comportements de scurisation adopts par les utilisateurs La perception de lexistence dun risque quant la scurit des transactions en ligne conduit les acheteurs adopter eux-mmes des mesures de scurisation. Elles sont de plusieurs sortes : une attention porte la rputation du site Internet et au fait que celui-ci soit scuris, la vrification de lexistence du cadenas et de la mention https , la lecture des dispositions de scurit du site, le fait de ne pas sauvegarder ses coordonnes bancaires sur son ordinateur, le fait de ne pas acheter en rpondant un mail reu mais en passant par le site officiel du marchand, ou la vrification de la dconnexion de la page de paiement aprs que celui-ci ait t effectu. Toutefois, les comportements adopts par les acheteurs en ligne lgard de la fraude sont parfois incohrents, notamment lorsque ceux-ci nappliquent pas de manire systmatique les mesures de scurisation quils adoptent. Ainsi, ces mesures seront appliques pour des achats de gros montant et non pour de petits achats. Si le prix est trs intressant, ils feront un achat sur un site non scuris. A cet gard, il semble que la sensibilit au risque de fraude en ligne smousse parfois avec le temps et labsence dexprience ngative. En effet, la confiance dans le site du commerant ou lexprience antrieure positive sur tel site prime sur les mesures de scurit affiches.
50
Tout dabord, les dispositifs doivent tre adapts et compatibles avec les diffrents types de comportement ou dusage. Si de tels dispositifs devraient encourager les craintifs passer lacte et accompagner les prudents dans leur appropriation du paiement en ligne, il faudrait encore quils soient adapts pour que les vigilants , qui sont davantage familiariss au paiement en ligne, les utilisent frquemment. Les dispositifs proposs devraient par consquent tre adapts chaque type dutilisateur de manire que chacun puisse se lapproprier et en retirer le bnfice attendu de son utilisation. Ensuite, le dploiement de dispositifs de scurisation des transactions en ligne doit tre accompagn dune communication approprie de la part des banques. Les dmarches des banques dans ce domaine sont perues positivement et trs largement apprcies, condition que les utilisateurs bnficient dun accompagnement lors de la diffusion des dispositifs de scurisation.
43 Les ractions face lutilisation de dispositifs de scurisation des paiements en ligne sont toujours positives
Des ractions positives
Les dispositifs dauthentification non rejouable Cinq dispositifs34 dauthentification non rejouable utilisables sur un site Internet marchand ont t ports lapprciation des sujets de ltude qualitative. Quatre dispositifs ont pour objet de gnrer un code usage unique devant tre renseign sur Internet lors du paiement : la carte matricielle avec chemin secret : le code usage unique est produit partir de la saisie de codes obtenus sur la carte selon un chemin connu seulement de lutilisateur ; le Token : le code usage unique est gnr par un algorithme plac dans un petit appareil lectronique suite une pression sur un bouton ; le code usage unique reu par SMS ; le mini lecteur de carte puce : le code usage unique saffiche sur lcran du lecteur aprs insertion de la carte bancaire du porteur et saisie de son code PIN. Le cinquime dispositif dauthentification non rejouable prsent est la cl USB avec certificat lectronique que linternaute doit connecter son ordinateur lors du paiement avant entre du code PIN de la cl, ncessaire lauthentification.
34
Dispositifs fournis pour les besoins de lenqute par les socits Elca, Vasco et Xiring (maintenant Gemalto). 51
Token
Un accueil positif des dispositifs de scurisation La diffusion de dispositifs de scurisation des transactions en ligne est perue comme le vecteur dune tranquillit desprit trs apprciable. Les utilisateurs du paiement en ligne font confiance aux banques pour mettre en place des dispositifs fiables dans la mesure o cela relve de leur comptence et que cela parat lgitime. En particulier, le fait de devoir passer par le site de la banque lors de lauthentification est toujours trs bien vcu. Lallongement du temps de ralisation de la transaction sur Internet, du fait de ltape supplmentaire impose par lauthentification du paiement, ne semble pas poser de problme en soi. Les critres des ractions Les ractions positives des utilisateurs varient en fonction de trois types de caractristiques des dispositifs prsents : ladquation avec le mode de vie de lutilisateur et les pratiques de paiement en ligne actuelles : le dispositif (lecteur, carte, cl) va incarner, matrialiser un risque de fraude gnralement peru comme immatriel. Il sera dautant mieux reu quil sera en accord avec le mode de vie et les sensibilits de son dtenteur (mobilit ou pas) et sa perception du paiement en ligne (trs ou peu risqu) ; la familiarit et la facilit dusage : l'utilisation du dispositif n'est pas pense par rapport un temps supplmentaire de mise en uvre mais par rapport la plus ou moins grande facilit d'usage, au risque d'erreur qui pourrait lui tre associ et la facilit de conservation hors des actes dachat ; la fiabilit et la scurit : une attention toute particulire est porte par les utilisateurs au risque de panne, de dysfonctionnement, de perte ou de vol du dispositif.
52
53
prfrence pour le Token et la cl USB avec certificat lectronique, tout en exprimant parfois des attentes dune dmatrialisation du dispositif. Du fait de labsence de code secret mmoriser, le Token est un dispositif prsentant une grande simplicit dutilisation. Le code usage unique est en effet gnr uniquement en pressant un bouton prsent sur le dispositif. De plus, le Token est associ spontanment par les utilisateurs la mobilit, ce qui caractrise les pratiques de paiement des vigilants . Le fait que lobjet puisse tre port dans la poche ou en porte-cls rend effectivement son transport ais. Enfin, lexistence dun code usage unique utilisable lors du paiement apparat comme une garantie suffisante de la scurisation des transactions en ligne. La cl USB, quant elle, est perue comme un objet la fois familier et moderne. Lhabitude de sa manipulation dans la vie quotidienne engendre une appropriation immdiate par les internautes et une utilisation intuitive de loutil de scurisation des transactions en ligne. De plus, elle est associe aux instruments de nouvelle technologie, comme la cl de communication 3G. Cet outil procure un sentiment de scurisation fort manant, dune part de lensemble du dispositif (certificat lectronique, caractre personnel de la cl USB) et, dautre part, de lentre dun code PIN spcifique la cl USB pour gnrer le code usage unique utilis lors du paiement sur Internet. Le fait que cet objet puisse tre utilis la fois chez soi et en mobilit explique quil soit le plus en conformit avec les pratiques de paiement en ligne des vigilants .
54
Si les effets concrets restent difficilement quantifiables, certains expriment clairement qu'ils pourraient augmenter le nombre d'achats, de sites frquents ou le montant de leurs achats, du fait de la tranquillit d'esprit renforce par lutilisation de dispositifs de scurisation des transactions en ligne. Dautres restent prudents et ne pensent pas se prcipiter, leur comportement restant conditionn par la confiance quils ont en Internet ou par limage des sites marchands. Malgr tout, ils nenvisagent en aucun cas de diminuer leur pratique actuelle de paiement en ligne. Les vigilants anticipent plus de srnit mais aussi plus de contraintes Les vigilants , tout en pratiquant dj beaucoup les achats sur Internet, apprcient la dmarche des banques qui devrait leur apporter plus de srnit quant aux proccupations de scurit des transactions. Pour certains dentre eux, cela napporterait pas de changements significatifs dans leur comportement dachat sur Internet. Ceci peut sexpliquer par le fait quils ralisent dj beaucoup dachats actuellement. Pour dautres en revanche, une meilleure scurit des transactions en ligne aurait pour consquence une frquentation plus large de sites marchands et potentiellement un accroissement des achats sur Internet. Une prfrence gnrale pour lefficacit perue plutt que pour la facilit dutilisation Les rsultats de ltude quantitative permettent de mieux prciser et de chiffrer les ractions dans la perception et dans le comportement des utilisateurs face lintroduction de mesures de scurisation des transactions en ligne. Si le primtre de cette tude est lgrement diffrent de celui de ltude qualitative (seuls quatre dispositifs sont tudis : le mini lecteur de carte, le code usage unique envoy par SMS, la saisie de la date de naissance lors du paiement et la rponse une question), il permet nanmoins de quantifier les tendances perues lors des entretiens.
55
Facilit dutilisation Saisie de la date de naissance Rponse une question Saisie dun code unique reu sur le tlphone mobile Saisie dun code unique gnr par un mini-lecteur 90 % 85 % 71 % 60 %
Efficacit perue 35 % 54 % 70 % 76 %
Souhait dutilisation 45 % 54 % 64 % 69 %
Tableau 9 Les solutions dauthentification proposes par les banques : des perceptions contrastes (en pourcentage des payeurs par carte sur Internet) Les chiffres ci-dessus mettent en vidence une prfrence gnrale pour lefficacit perue des dispositifs en termes de scurit plutt que pour leur facilit dutilisation. En effet, le souhait dutilisation dune des quatre solutions de scurisation augmente mesure que lefficacit perue des dispositifs saccrot elle aussi. Les Franais semblent prts supporter quelques contraintes dutilisation condition que le dispositif quils utilisent lors du paiement en ligne leur paraisse efficace.
56
Pensez vous munir des numros internationaux de mise en opposition de votre carte. Sachez ragir Vous avez perdu ou on vous a vol votre carte : Faites immdiatement opposition en appelant le numro que vous a communiqu ltablissement metteur de la carte. Pensez le faire pour toutes vos cartes perdues ou voles. En cas de vol, dposez galement plainte auprs de la police ou de la gendarmerie au plus vite.
En faisant opposition sans tarder, vous bnficierez des dispositions plafonnant les dbits frauduleux, au pire des cas, 150 euros. Si vous ne ragissez pas rapidement, vous risquez de supporter lintgralit des dbits frauduleux prcdant la mise en opposition. A partir de la mise en opposition, votre responsabilit ne peut plus tre engage. Vous constatez des anomalies sur votre relev de compte, alors que votre carte est toujours en votre possession : Sauf en cas de ngligence grave de votre part (par exemple, vous avez laiss la vue dun tiers le numro et/ou le code confidentiel de votre carte et celui-ci en a fait usage sans vous prvenir) ou en cas de non-respect intentionnel de vos obligations contractuelles en matire de scurit (par exemple, vous avez commis limprudence de communiquer un proche le numro et/ou le code confidentiel de votre carte et celui-ci en a fait usage sans vous prvenir), il faut dposer une rclamation auprs de ltablissement metteur de la carte, ds que possible et dans un dlai fix par la loi, de 13 mois compter de la date de dbit de lopration conteste. Dans ces conditions, votre responsabilit ne peut tre engage. Les sommes contestes doivent alors vous tre immdiatement rembourses sans frais. Attention, lorsque le dtournement a lieu dans un pays non europen, le dlai de contestation est ramen 70 jours compter de la date de dbit de lopration conteste. Ce dlai peut ventuellement tre prolong par votre tablissement metteur sans pouvoir dpasser 120 jours. Bien entendu, en cas dagissement frauduleux de votre part, les dispositions protectrices de la loi ne trouveront pas sappliquer et vous resterez tenu des sommes dbites avant comme aprs lopposition ainsi que des ventuels autres frais engendrs par ces oprations (par exemple, en cas dinsuffisance de provision).
57
Lordonnance dextension la Nouvelle-Caldonie, la Polynsie franaise et aux les Wallis et Futuna des dispositions de lordonnance de transposition entre en vigueur le 8 juillet 2010. 59
Une drogation ces rgles de remboursement est cependant prvue pour les oprations de paiement ralises en utilisant un dispositif de scurit personnalis, par exemple la frappe dun code secret. Avant information aux fins de blocage de la carte Avant opposition 2, le payeur pourra supporter, concurrence de 150 euros, les pertes lies toute opration de paiement non autorise en cas de perte ou de vol de la carte si lopration est effectue avec lutilisation du dispositif personnalis de scurit. En revanche, si lopration est effectue sans lutilisation du dispositif personnalis de scurit, le titulaire de la carte ne voit pas sa responsabilit engage. La responsabilit du titulaire de la carte nest pas non plus engage si lopration de paiement non autorise a t effectue en dtournant son insu linstrument de paiement ou les donnes qui lui sont lies. Elle nest pas plus engage en cas de contrefaon de la carte si elle tait en possession de son titulaire au moment o lopration non autorise a t ralise. En revanche, le titulaire de la carte supporte toutes les pertes occasionnes par des oprations de paiement non autorises si ces pertes rsultent dun agissement frauduleux de sa part ou sil na pas satisfait intentionnellement ou par ngligence grave ses obligations de scurit, dutilisation ou de blocage de sa carte, convenues avec son prestataire de services de paiement. Enfin, si le prestataire de services de paiement metteur de la carte ne fournit pas de moyens appropris permettant la mise en opposition de la carte, le client ne supporte aucune consquence financire, sauf avoir agi de manire frauduleuse. Aprs information aux fins de blocage de la carte Aprs mise en opposition de la carte, le payeur ne supporte aucune consquence financire rsultant de lutilisation de la carte ou de lutilisation dtourne des donnes qui lui sont lies. L encore, les agissements frauduleux du titulaire de la carte le privent de toute protection et il demeure responsable des pertes lies lutilisation de sa carte. Linformation aux fins de blocage peut tre effectue auprs du prestataire de services de paiement ou auprs dune entit que ce dernier aura indique son client, suivant les cas, dans le contrat de services de paiement ou dans la convention de compte de dpt. Lorsque le titulaire de la carte a inform son prestataire de services de paiement de la perte, du vol, du dtournement ou de la contrefaon de sa carte, ce dernier lui fournit sur demande et pendant 18 mois, les lments lui permettant de prouver quil a procd cette information.
La loi utilise dsormais le terme information aux fins de blocage de linstrument de paiement . Rapport 2009 Observatoire de la scurit des cartes de paiement
60
laquelle le client avait auparavant droit. A cette fin, les rgles applicables aux oprations nationales ou intra-communautaires sont applicables avec des adaptations. Ainsi, les oprations de paiement concernes par ces adaptations sont les oprations effectues avec une carte de paiement dont lmetteur est situ en France mtropolitaine, dans les dpartements doutre-mer, Saint-Martin ou Saint-Barthlemy, au profit dun bnficiaire dont le prestataire de services de paiement est situ dans un tat non europen3, quelle que soit la devise dans laquelle lopration est ralise. Sont galement concernes les oprations effectues avec une carte dont lmetteur est situ Saint-Pierre-et-Miquelon, Mayotte, en Nouvelle-Caldonie, en Polynsie franaise ou Wallis et Futuna, au profit dun bnficiaire dont le prestataire est situ dans un tat autre que la Rpublique franaise, quelle que soit la devise utilise. Dans ces cas, le plafond de 150 euros trouve sappliquer pour les oprations non autorises en cas de perte ou de vol de la carte mme si lopration a t ralise sans utilisation du dispositif personnalis de scurit. Par ailleurs, le dlai maximal de contestation de lopration est ramen 70 jours et conventionnellement tendu 120 jours. En revanche, le remboursement immdiat de lopration non autorise est tendu.
qui nest pas partie laccord sur lEEE (UE + Lichtenstein, Norvge et Islande). 61
Cartes concernes
Il est gnralement admis que constitue une carte de paiement toute carte mise par un prestataire de services de paiement permettant son titulaire de retirer ou de transfrer des fonds2. En consquence, les comptences de lObservatoire concernent les cartes mises par les tablissements de crdit ou par les institutions assimiles et dont les fonctions sont le retrait ou le transfert de fonds. Elles ne couvrent pas les cartes monoprestataires bnficiant dune drogation au monopole bancaire par larticle L. 511-7 I. 5 du Code montaire et financier. Ces cartes, parfois appeles cartes purement privatives , sont mises par une seule entreprise et acceptes en paiement par elle-mme ou par un nombre limit daccepteurs ayant nou avec elle un accord de franchise commerciale. Le march franais compte de nombreuses offres en matire de cartes de paiement qui relvent des comptences de lObservatoire. Parmi celles-ci, on distingue gnralement les cartes dont le schma dacceptation des paiements et des retraits repose sur : un nombre rduit dtablissements de crdit metteurs et acqureurs (cartes gnralement qualifies de privatives ) ; un nombre lev dtablissements de crdit metteurs et acqureurs (cartes gnralement qualifies d interbancaires ). Ces cartes peuvent offrir des fonctions diverses qui conduisent la typologie fonctionnelle suivante en matire de cartes de paiement : les cartes de dbit sont des cartes associes un compte de dpt de fonds permettant son titulaire deffectuer des retraits ou des paiements qui seront dbits selon un dlai fix par le contrat de dlivrance de la carte. Ce dbit peut tre immdiat (retrait ou paiement) ou diffr (paiement) ; les cartes de crdit sont adosses une ligne de crdit, avec un taux et un plafond ngocis avec le client, et permettent deffectuer des paiements et/ou des retraits despces. Elles permettent leur titulaire de rgler lmetteur lissue dun certain dlai (suprieur 40 jours en France). Laccepteur est rgl directement par lmetteur sans dlai particulier li au crdit ; les cartes nationales permettent exclusivement deffectuer des paiements ou des retraits auprs daccepteurs tablis sur le territoire franais ;
1
Les dispositions rglementaires relatives lObservatoire figurent aux articles R. 141-1, R. 141-2 et R. 142-22 R. 142-27 du Code montaire et financier. Daprs larticle L. 132-1 du Code montaire et financier dans sa rdaction antrieure au 1 novembre 2009. 63
er
les cartes internationales permettent deffectuer des paiements et des retraits dans tous les points dacceptation, nationaux ou internationaux, de la marque ou dmetteurs partenaires avec lesquels le systme de carte a sign des accords ; les porte-monnaie lectroniques sont des cartes sur lesquelles sont stockes des units de monnaie lectronique. Aux termes de larticle 1 du rglement CRBF n 2002-13, une unit de monnaie lectronique constitue un titre de crance incorpor dans un instrument lectronique et accept comme moyen de paiement, au sens de larticle L. 311-3 du Code montaire et financier, par des tiers autres que lmetteur. La monnaie lectronique est mise contre la remise de fonds. Elle ne peut tre mise pour une valeur suprieure celle des fonds reus en contrepartie .
Attributions
Conformment aux articles L. 141-4 et R. 141-1 du Code montaire et financier, les attributions de lObservatoire de la scurit des cartes de paiement sont de trois ordres : il suit la mise en uvre des mesures adoptes par les metteurs et les commerants pour renforcer la scurit des cartes de paiement. Il se tient inform des principes adopts en matire de scurit ainsi que des principales volutions ; il est charg dtablir des statistiques en matire de fraude. A cette fin, les metteurs de cartes de paiement adressent au secrtariat de lObservatoire les informations ncessaires ltablissement de ces statistiques. LObservatoire met des recommandations afin dharmoniser les modalits de calcul de la fraude sur les diffrents types de carte de paiement ; il assure une veille technologique en matire de cartes de paiement, avec pour objet de proposer des moyens de lutter contre les atteintes dordre technologique la scurit des cartes de paiement. A cette fin, il collecte les informations disponibles de nature renforcer la scurit des cartes de paiement et les met la disposition de ses membres. Il organise un change dinformations entre ses membres dans le respect de la confidentialit de certaines informations. En outre, le ministre charg de lconomie et des finances peut, aux termes de larticle R. 141-2 du Code montaire et financier, saisir pour avis lObservatoire en lui impartissant un dlai de rponse. Les avis peuvent tre rendus publics par le ministre.
Composition
Larticle R. 142-22 du Code montaire et financier dtermine la composition de lObservatoire. Conformment ce texte, lObservatoire comprend : un dput et un snateur ; huit reprsentants des administrations ; le gouverneur de la Banque de France ou son reprsentant ; le secrtaire gnral de lAutorit de contrle prudentiel ou son reprsentant ; dix reprsentants des metteurs de cartes de paiement, notamment de cartes bancaires, de cartes privatives et de porte-monnaie lectroniques ; cinq reprsentants du collge consommateurs du Conseil National de la Consommation ; cinq reprsentants des commerants issus notamment du commerce de dtail, de la grande distribution, de la vente distance et du commerce lectronique ;
64
trois personnalits qualifies en raison de leurs comptences. La liste nominative des membres de lObservatoire figure en annexe C. Les membres de lObservatoire autres que ceux reprsentant ltat, le gouverneur de la Banque de France et le secrtaire gnral de lAutorit de contrle prudentiel sont nomms pour trois ans. Leur mandat est renouvelable. Le prsident est dsign parmi ces membres par le ministre charg de lconomie et des finances. Son mandat est de trois ans, renouvelable. Monsieur Christian NOYER, Gouverneur de la Banque de France, assure cette fonction depuis le 17 novembre 2003.
Modalits de fonctionnement
Conformment au dcret du 2 mai 2002 modifi par le dcret n 2009-654 du 9 juin 20093, lObservatoire se runit sur convocation de son prsident, au moins deux fois par an. Les sances ne sont pas publiques. Les mesures proposes au sein de lObservatoire sont adoptes si une majorit absolue est constitue. Chaque membre dispose dune voix ; en cas de partage des votes, le prsident dispose dune voix prpondrante. LObservatoire a adopt en 2003 un rglement intrieur qui prcise les conditions de son fonctionnement. Le secrtariat de lObservatoire, assur par la Banque de France, est charg de lorganisation et du suivi des sances, de la centralisation des informations ncessaires ltablissement des statistiques de la fraude sur les cartes de paiement, de la collecte et de la mise disposition des membres des informations ncessaires au suivi des mesures de scurit adoptes et la veille technologique en matire de cartes de paiement. Le secrtariat prpare galement le rapport annuel de lObservatoire, remis au dbut de chaque anne au ministre charg de lconomie et des finances et transmis au Parlement. Des groupes de travail ou dtude peuvent tre constitus par lObservatoire, notamment lorsque le ministre charg de lconomie et des finances le saisit pour avis. LObservatoire fixe la majorit absolue de ses membres le mandat et la composition de ces groupes de travail qui doivent rendre compte de leurs travaux chaque sance. Les groupes de travail ou dtude peuvent entendre toute personne susceptible de leur apporter des prcisions utiles laccomplissement de leur mandat. Dans ce cadre, lObservatoire a constitu deux groupes de travail chargs, lun dharmoniser et dtablir des statistiques en matire de fraude, lautre dassurer une veille technologique relative aux cartes de paiement. tant donn la sensibilit des donnes changes, les membres de lObservatoire et son secrtariat sont tenus de conserver confidentielles les informations qui sont portes leur connaissance dans le cadre de leurs fonctions. A cette fin, lObservatoire a inscrit dans son rglement intrieur lobligation incombant aux membres de sengager auprs du prsident veiller strictement au caractre confidentiel des documents de travail.
Les dispositions rglementaires relatives lObservatoire figurent aux articles R. 144-1, R. 144-2 et R.142-22 R. 142-27 du Code montaire et financier. 65
Nicole BRICQ
Snatrice
Philippe RICHARD
Secrtariat gnral
67
Christian HUARD
Secrtaire gnral Association de dfense dducation et dinformation du consommateur (ADEIC)
Jean-Pierre JANIS
Association Lo Lagrange pour la dfense des consommateurs (ALLDC)
Jean-Marc BORNET
Administrateur Groupement des Cartes Bancaires
Jean-Franois DUMAS
Vice Prsident American Express France
Bernard DUTREUIL
Directeur Fdration bancaire franaise
Bernard GOURAUD
Directeur des technologies Banque Populaire Caisse dEpargne
Franois LANGLOIS
Directeur des Relations institutionnelles BNP Paribas Personal Finance
Marc LOLIVIER
Dlgu gnral Fdration du e-commerce et de la vente distance (Fevad)
Frdric MAZURIER
Directeur administratif et financier Socit des Paiements Pass (S2P)
Jean-Jacques MELI
Chambre de commerce et dindustrie du Val dOise
Grard NEBOUY
Directeur Gnral Visa Europe France
Jean-Marc MOSCONI
Dlgu gnral Mercatel
Emmanuel PETIT
Prsident Directeur Gnral Mastercard France
Philippe SOLIGNAC
Vice-prsident Chambre de commerce et dindustrie de Paris/ACFCI
Narinda VIGUIER
Directeur Stratgie et pilotage interbancaire Crdit Agricole SA
David NACCACHE
Professeur Ecole normale suprieure
Sophie NERBONNE
Directeur adjoint la direction des affaires juridiques, internationales et de lexpertise Commission nationale de linformatique et des liberts (CNIL)
Valrie GERVAIS
Secrtaire gnrale Association FO Consommateurs (AFOC)
68
69
Valeur Volume (Md) (millions) 271,57 11,19 19,08 108,73 410,56 130,92 9,06 66,56 41,87 248,42
Valeur Volume (Md) (millions) 9,41 0,94 3,48 4,97 18,80 149,19 7,11 12,84 29,72 198,85
Valeur Volume (Md) (millions) 20,76 0,31 0,63 0,86 22,55 433,11 8,78 0,15 0,32 nd 9,24 257,67
Valeur Volume (Md) (millions) 1,60 0,02 0,04 nd 1,66 20,46 13,09 0,22 0,47 nd 13,78 212,63
70
Rpartition de la fraude selon le type de transaction, son origine et la zone gographique pour les cartes de type interbancaire
metteur franais, Acqureur franais Volume (milliers) Paiements de proximit et sur automate
Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres
metteur franais, Acqureur tranger Volume (milliers) 214,2 74,9 1,7 124,4 6,3 6,9 55,1 17,5 0,1 13,1 17,0 7,4 464,6 141,7 0,4 104,7 151,8 66,0 103,2 11,5 0,1 88,8 0,2 2,5 837,1 Valeur (k) 42 660,3 8 784,7 218,9 31 039,8 1 832,0 748,8 8 604,5 2 558,3 15,8 2 250,3 2 221,8 1 528,2 50 594,0 14 342,8 44,8 12 041,3 16 446,4 7 718,8 16 467,2 1933,6 24,6 14 069,3 24,8 414,9 118 326,0
metteur tranger, Acqureur franais Volume (milliers) 338,0 99,1 3,9 75,0 78,3 81,8 Nd Nd nd nd nd nd nd nd nd nd nd nd 9,1 3,0 0,1 5,8 0,1 0,1 347,2 Valeur (k) 68 778,1 10 236,2 525,3 25 947,3 16 192,4 15 849,8 Nd nd nd nd nd nd nd nd nd nd nd nd 2 754,5 691,4 29,1 2 002,1 14,7 17,2 71 532,6
Valeur (k) 35 642,0 33 116,3 581,8 1 937,4 6,6 0,0 27 345,9 31,1 1,1 1,0 27 312,5 0,2 51 576,1 109,3 0,1 2,3 51 463,9 0,5 19 838,3 19 367,1 172,8 298,3 0,0 0,0 134 402,3
462,2 379,5 9,6 37,1 0,0 0,0 376,6 0,4 0,0 0,0 397,1 0,0 365,9 0,6 0,0 0,0 365,3 0,0 85,5 82,2 1,3 2,0 0,0 0,0 1 275,2
Retraits
Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres
Total
71
Rpartition de la fraude selon le type de transaction, son origine et la zone gographique pour les cartes de type privatif
metteur franais, Acqureur franais Volume (milliers) Paiements de proximit et sur automate
Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres
metteur franais, Acqureur tranger Volume (milliers) 8,56 1,17 0,35 4,30 0,03 2,71 6,54 2,12 0,05 1,60 0,00 2,78 0,91 0,01 0,01 0,01 0,00 0,88 nd nd nd nd nd nd 16,01 Valeur (k) 2 023,30 192,97 139,63 911,98 13,69 765,03 1 089,87 112,56 13,18 378,97 0,00 585,17 197,98 1,31 2,10 7,46 0,60 168,50 Nd nd nd nd nd nd 3 295,15
metteur tranger, Acqureur franais Volume (milliers) 3,30 0,27 0,05 1,07 0,01 1,90 6,52 0,84 0,37 3,20 0,01 2,11 4,90 0,22 0,04 0,23 0,00 4,40 nd nd nd nd nd nd 14,72 Valeur (k) 1 013,51 54,72 17,57 272,51 14,36 654,35 3 585,02 384,43 146,35 1 682,84 1,66 1 369,74 686,67 48,01 4,00 35,94 0,57 598,14 nd nd nd nd nd nd 5 285,20
Valeur (k) 5 376,17 925,38 608,37 236,21 307,45 3 298,76 2 987,62 703,22 209,74 761,29 220,85 1 092,52 218,12 25,25 5,06 2,56 64,18 185,07 935,99 748,97 121,25 0,00 0,00 65,77 9 581,90
13,96 4,87 3,47 0,78 0,31 4,53 7,30 1,85 0,73 2,15 0,32 2,26 0,83 0,10 0,01 0,02 0,14 0,56 3,19 2,65 0,29 0,00 0,00 0,24 25,28
Retraits
Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres
Total
72
le type de carte de paiement2, y compris les porte-monnaie lectroniques. 3. que le fraudeur soit un tiers, le banquier teneur de compte, le porteur de la carte lui-mme (dans le cas par exemple dune utilisation aprs dclaration de vol ou de perte, ou dune dnonciation abusive de transactions), laccepteur, lmetteur, un assureur, un tiers de confiance
Dans le cas dInternet, laccepteur peut tre diffrent du fournisseur de service, ou dun tiers de confiance (paiements, dons effectus par des internautes en soutien dun site, dune idologie). Tel que dfini larticle L. 132-1 du Code montaire et financier dans sa version antrieure au 1 novembre 2009. 73
er
Typologie de la fraude
LObservatoire a par ailleurs dfini une typologie de la fraude qui distingue les lments suivants. Les origines de fraude : carte perdue ou vole : le fraudeur utilise une carte de paiement obtenue linsu de son titulaire lgitime, suite une perte ou un vol ; carte non parvenue : la carte a t intercepte lors de son envoi son titulaire lgitime par lmetteur. Ce type dorigine se rapproche de la perte ou du vol. Cependant, il sen distingue, dans la mesure o le porteur peut moins facilement constater quun fraudeur est en possession dune carte lui appartenant et o il met en jeu des vulnrabilits spcifiques aux procdures denvoi des cartes ; carte falsifie ou contrefaite : une carte de paiement authentique est falsifie par modification des donnes magntiques, dembossage ou de programmation. La contrefaon dune carte suppose la cration dun support donnant lillusion dtre une carte de paiement authentique et/ou susceptible de tromper un automate ou une personne quant sa qualit substantielle. Pour les paiements effectus sur automate de paiement, une telle carte, fabrique par le fraudeur, supporte les donnes ncessaires tromper le systme. En commerce de proximit, une carte contrefaite est une carte fabrique par un fraudeur, qui prsente certaines scurits (dont laspect visuel) dune carte authentique, supporte les donnes dune carte authentique et est destine tromper la vigilance dun accepteur ; numro de carte usurp : le numro de carte dun porteur est relev son insu ou cr par moulinage (voir le paragraphe sur les techniques de fraude ci-dessous) et utilis en vente distance ; numro de carte non affect : utilisation dun PAN3 cohrent mais non attribu un porteur, puis gnralement utilis en vente distance ; fractionnement du paiement : action qui consiste scinder le paiement en vue de passer en dessous des plafonds fixs par lmetteur. Les techniques de fraude : skimming : technique qui consiste en la copie, dans un commerce de proximit ou dans des distributeurs automatiques, des pistes magntiques dune carte de paiement laide dun lecteur mmoire appel skimmer . ventuellement, le code confidentiel est galement captur de visu, laide dune camra ou encore par dtournement du clavier numrique. Ces donnes seront inscrites ultrieurement sur les pistes magntiques dune carte contrefaite ; ouverture frauduleuse de compte : ouverture dun compte de rfrence en fournissant de fausses donnes personnelles ; usurpation d'identit : actes frauduleux lis un paiement par carte et supposant lutilisation de lidentit dune autre personne ; rpudiation abusive : contestation par le porteur, de mauvaise foi, dun ordre de paiement valide dont il est linitiateur ; piratage d'automates de paiement ou de retrait : techniques qui consistent placer des dispositifs de duplication de cartes sur des automates de paiement ou des distributeurs automatiques de billets ;
Personal Account Number Rapport 2009 Observatoire de la scurit des cartes de paiement
74
piratage de systmes automatiss de donnes, de serveurs ou de rseaux : intrusion frauduleuse sur de tels systmes ; moulinage : technique de fraude consistant utiliser les rgles, propres un metteur, de cration de numros de cartes pour gnrer de tels numros et effectuer des paiements. Les types de paiement : paiement de proximit, ralis au point de vente ou sur automate ; paiement distance ralis sur Internet, par courrier, par fax/tlphone, ou par tout autre moyen ; retrait (retrait DAB ou autre type de retrait). La rpartition du prjudice entre : la banque du commerant, acqureur de la transaction ; la banque du porteur, mettrice de la carte ; le commerant ; le porteur ; les ventuelles assurances ; et les autres types dacteurs. La zone gographique dmission ou dutilisation de la carte ou des donnes qui lui sont attaches : lmetteur et lacqureur sont, tous deux, tablis en France. On dira galement, dans ce cas, que la transaction est nationale ; lmetteur est tabli en France et lacqureur est tabli ltranger ; lmetteur est tabli ltranger et lacqureur est tabli en France.
75
Directeur de la publication
Rdacteur en chef
Yvon Lucas Directeur des systmes de paiement et infrastructures de march Banque de France
Imprimerie Banque de France Ateliers SIMA er Document achev de rdiger le 1 juillet 2010 Dpt lgal 3me trimestre 2010 ISSN 1768-2991