Vous êtes sur la page 1sur 78

2009

RAPPORT ANNUEL D E L O B S E R VA T O I R E DE LA SCURIT D E S C A R T E S D E PA I E M E N T

bservatoire de la scurit des cartes de paiement


www.observatoire-cartes.fr

bservatoire de la scurit des cartes de paiement


31, rue Croix-des-Petits-Champs 75049 Paris Cedex 01 Code Courrier : 11-2324

Rapport annuel 2009 de lObservatoire de la scurit des cartes de paiement adress Madame le Ministre de lconomie, de lIndustrie et de lEmploi Monsieur le Prsident du Snat Monsieur le Prsident de lAssemble nationale par Monsieur Christian Noyer, Gouverneur de la Banque de France, Prsident de lObservatoire de la scurit des cartes de paiement

SOMMAIRE
AVANT-PROPOS 1 LES MESURES DE SCURIT PCI SONT-ELLES ADAPTES AU MARCH FRANAIS ?
Description des mesures PCI Ladquation des mesures PCI au march franais Conclusion

9
9 11 14

2 STATISTIQUES DE FRAUDE POUR 2009


Vue densemble Rpartition de la fraude par type de carte Rpartition de la fraude par zone gographique Rpartition de la fraude par type de transaction Rpartition de la fraude selon son origine

17
17 19 19 20 23

3 VEILLE TECHNOLOGIQUE
Scurit du paiement distance par courrier et tlphone Scurit des nouveaux terminaux de paiement lgers tat davancement de la migration EMV

27
34 38 41

Suivi de la mise en uvre des solutions de paiement sans contact (par carte et mobile) 27

4 PERCEPTION PAR LES PORTEURS DE LA SCURIT DES CARTES DE PAIEMENT


Les rsultats de ltude sur la perception de la scurit des cartes de paiement par les porteurs confirment les tendances observes en 2007 Les utilisateurs des paiements en ligne prsentent une sensibilit relle au risque de fraude et accueillent de manire favorable limplication de leur banque dans la diffusion de dispositifs de scurisation Les ractions face lutilisation de dispositifs de scurisation des paiements en ligne sont toujours positives

45
45

48 51

PROTECTION DU TITULAIRE DUNE CARTE EN CAS DE PAIEMENT NON AUTORIS MISSIONS ET ORGANISATION DE LOBSERVATOIRE LISTE NOMINATIVE DES MEMBRES DE LOBSERVATOIRE DOSSIER STATISTIQUE DFINITION ET TYPOLOGIE DE LA FRAUDE RELATIVE AUX CARTES DE PAIEMENT

59 63 67 69

73

Observatoire de la scurit des cartes de paiement

Rapport 2009

AVANT-PROPOS
LObservatoire de la scurit des cartes de paiement a t cr par la loi n 2001-1062 du 15 novembre 2001 relative la scurit quotidienne1. Ses missions en font une instance destine favoriser lchange dinformations et la concertation entre toutes les parties concernes (consommateurs, commerants, metteurs et autorits publiques) par le bon fonctionnement et la scurit des systmes de paiement par carte2. Conformment lalina 6 de larticle L. 141-4 du Code montaire et financier, le prsent rapport constitue le rapport dactivit de lObservatoire qui est remis au ministre charg de lconomie et des finances et transmis au Parlement. Il comprend une tude sur les mesures de scurit PCI et leur adaptation au march franais (1re partie), puis une prsentation des statistiques de fraude pour 2009 (2me partie) et une synthse des travaux conduits en matire de veille technologique (3me partie). Enfin, le rapport comprend une tude portant sur la perception par les porteurs de la scurit des cartes de paiement (4me partie).

1 2

Les dispositions lgales relatives lObservatoire figurent larticle L. 141-4 du Code montaire et financier. Pour ses travaux, lObservatoire distingue les systmes de paiement par carte de type interbancaire et ceux de type privatif . Les premiers correspondent ceux dans lesquels il existe un nombre lev dtablissements de crdit metteurs et acqureurs. Les seconds correspondent ceux dans lesquels il existe un nombre rduit dtablissements de crdit metteurs et acqureurs. 7

Observatoire de la scurit des cartes de paiement Rapport 2009

1 LES MESURES DE SCURIT PCI SONT-ELLES ADAPTES AU MARCH FRANAIS ?


Au titre de sa mission de suivi des politiques de scurit mises en uvre par les metteurs et les accepteurs, lObservatoire a souhait, en 2010, valuer si les mesures dites PCI , communes aux rseaux internationaux de carte, et qui spcifient les dispositions de scurit pour le stockage et lutilisation des donnes de cartes3, taient adaptes au march franais, et ainsi identifier les ventuelles difficults qui pourraient freiner lapplication de ces exigences en France. Il sagissait notamment dexaminer, pour les oprations effectues en France, si les mesures PCI couvraient de manire approprie les besoins de protection des diffrentes donnes sensibles des cartes et si les charges de contrle imposes aux diffrents acteurs taient adaptes aux risques rencontrs. Les mesures PCI sappliquent lensemble des acteurs de la chane dacceptation et dacquisition, cest dire aux commerants, aux banques acqureurs et aux prestataires de service des uns et des autres. LObservatoire a conduit son tude sur la base dinformations recueillies auprs de reprsentants des tablissements metteurs, des commerants, des systmes de cartes ainsi que de prestataires techniques impliqus dans la chane de personnalisation ou la gestion des quipements4.

11 Description des mesures PCI


Les mesures dites PCI sont dveloppes par lorganisme PCI SSC (Payment Card Industry Security Standard Council), cr par American Express, Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc. International. Elles sappliquent de manire mondiale lensemble des acteurs de la filire dacceptation et dacquisition (banques acqureurs, commerants, prestataires de service exploitant des plates-formes de paiement, etc.) participant aux systmes de paiement par carte membres de PCI, la fois pour les transactions transfrontalires, mais aussi pour les transactions domestiques dans le cas de cartes co-badges avec un systme national5. Compte tenu de ce champ dapplication, ces mesures prennent, de fait, largement le caractre de standards. Les mesures PCI visent lutter contre le dtournement des donnes de carte afin dviter leur rutilisation frauduleuse. Plusieurs sries de mesures de scurit ont t dictes par PCI SSC, parmi lesquelles on retiendra principalement pour les besoins de cette tude les mesures appeles PCI DSS (PCI Data Security Standard), qui visent protger les donnes transmises au travers des
3 4

Numro, date dexpiration, CVx2, code confidentiel. BPCE, Socit Gnrale, La Banque Postale, S2P, Visa Europe France (ex-SAS Carte Bleue), Mastercard, American Express, Concert International, Lafon, Atos Worldline, Lyra Network, ainsi que, de faon groupe, les entreprises membres de MERCATEL, de la FCD, de la FEVAD, de la Fdration des Enseignes du Commerce Associ, de l'U.C.A, de la FPS et des fdrations membres du Conseil du Commerce de France (48 enseignes commerciales ayant particip cette rponse). Cest notamment le cas des cartes mises en France par les membres du Groupement des Cartes Bancaires CB . 9

Observatoire de la scurit des cartes de paiement Rapport 2009

systmes dinformation de la chane dacquisition du paiement par carte, ou stockes dans ces systmes (voir Encadr 1)6 : Encadr 1 Prsentation des mesures PCI DSS
PCI DSS se compose de 12 types de mesures, rparties en 6 thmes : Cration et gestion dun rseau scuris 1. Installer et grer une configuration de pare-feu pour protger les donnes des titulaires de cartes 2. Ne pas utiliser les mots de passe systme et autres paramtres de scurit par dfaut dfinis par le fournisseur Protection des donnes des titulaires de cartes 3. Protger les donnes de cartes stockes 4. Crypter la transmission des donnes des titulaires de cartes sur les rseaux publics Gestion dun programme danalyse des vulnrabilits 5. Utiliser des progiciels antivirus et les mettre jour rgulirement 6. Dvelopper et grer des systmes et des applications scuriss Mise en uvre de mesures de contrle daccs strictes 7. Restreindre laccs aux donnes des titulaires de cartes aux seules personnes qui doivent les connatre 8. Affecter un identifiant unique chaque utilisateur dordinateur 9. Restreindre laccs physique aux donnes des titulaires de cartes Surveillance et test rguliers des rseaux 10. Effectuer le suivi et surveiller tous les accs aux ressources rseau et aux donnes des titulaires de cartes 11. Tester rgulirement les processus et les systmes de scurit Gestion dune politique de scurit des informations 12. Grer une politique de scurit des informations

La vrification de la mise en uvre de ces mesures donne lieu une certification de conformit. Pour ce faire, des audits sont conduits par des organismes spcialiss accrdits par PCI SSC, auprs des commerants et des prestataires techniques, selon diffrentes mthodes tenant compte du volume de transactions ralises. Les modalits de ces audits et de la certification qui en rsulte sont propres chaque systme de paiement par carte. A titre dillustration, pour MasterCard Worldwide, elles se dclinent selon 4 niveaux en fonction de limportance des acteurs concerns : niveau 1 : pour les acteurs grant plus de 6 millions de transactions cartes par an (tous canaux de commerce confondus) ou ayant dj subi une compromission, le programme prvoit que lacteur concern doit effectuer un audit annuel de scurit sur site de son systme dinformation et une analyse trimestrielle des vulnrabilits de son rseau de tlcommunication ; niveau 2 : les acteurs grant entre 1 et 6 millions de transactions cartes par an sont tenus de rpondre un questionnaire annuel dauto-valuation et de raliser une analyse trimestrielle des vulnrabilits rseaux ; niveau 3 : les acteurs grant plus de 20 000 transactions cartes en commerce lectronique et moins de 1 million de transactions cartes par an au total sont eux aussi tenus de

PCI SSC a galement promulgu des normes visant la protection des automates de vente (PCI UPT), des terminaux (PCI PED), ou des applications (PCI PA DSS). Rapport 2009 Observatoire de la scurit des cartes de paiement

10

rpondre un questionnaire annuel dauto-valuation et de raliser une analyse trimestrielle des vulnrabilits rseaux ; niveau 4 : il est recommand aux autres acteurs de rpondre un questionnaire annuel dauto-valuation tabli par PCI SSC et de procder un test dvaluation trimestriel des vulnrabilits du systme dinformation et du rseau de tlcommunication.

12 Ladquation des mesures PCI au march franais


La gouvernance de PCI SSC
Les acteurs impliqus La composition des organes de gouvernance de PCI SSC, qui regroupent les 5 membres fondateurs, na pas volu depuis la cration de cet organisme en 2006. Si cela est de nature faciliter le processus de dcision, notamment lors des phases rcurrentes dvolution des standards, certains organismes interrogs par lObservatoire ont soulign quune telle situation ne permettait pas la reprsentation des acteurs auxquels sappliquent les normes. Selon ces organismes, une volution de la gouvernance de PCI SSC est souhaitable. LEuropean Payments Council (EPC), structure de coordination bancaire au plan europen pour la mise en uvre du projet SEPA (Espace unique de paiement en euros), tudie ainsi la possibilit dtre reprsente au sein de PCI SSC. Plus gnralement, il a t soulign limportance que les structures de gouvernance actuelles soient plus proches des intrts quelles sont charges de protger, sur un plan sectoriel ou gographique. La mise en uvre des mesures Chacun des rseaux membres de PCI SSC a dfini ses propres modalits dapplication des mesures PCI. En particulier, les dates limites de mise en conformit ainsi que les modalits de calcul des seuils dans le processus de certification varient selon le systme de paiement par carte considr. La plupart des participants lenqute mene par lObservatoire, acceptant ou traitant des cartes de diffrents systmes, souligne ainsi un besoin dharmonisation dans linterprtation des mesures PCI, afin dassurer une plus grande efficacit oprationnelle et une meilleure matrise des cots. Par ailleurs, les mesures PCI sappliquent un environnement technologique par nature volutif. Ceci conduit PCI SSC les rviser rgulirement de faon tenir compte de ltat de lart en matire de scurit. Si les participants lenqute ne contestent pas la ncessaire volution des mesures, ceux-ci jugent parfois trop leve la frquence de leur mise jour, ce qui peut entraner des difficults lors de la mise en place de mesures correctrices.

Lapplication lenvironnement montique franais


Champ dapplication des mesures PCI Les mesures PCI DSS visent protger lensemble de la filire dacceptation et dacquisition. Elles couvrent ainsi de manire large les donnes figurant sur la carte, cest--dire la fois celles qui sont embosses et celles qui sont enregistres sur la piste ou dans la puce. Lobjectif poursuivi est en effet de lutter contre tout type de compromission, en tenant compte des diffrents types dutilisation des donnes de la carte selon le canal de paiement utilis.
Observatoire de la scurit des cartes de paiement Rapport 2009 11

Les reprsentants du commerce sont toutefois rservs sur la pertinence de lapplication au march franais des mesures concernant la protection des donnes de la piste, faisant observer que les transactions ralises en France reposent en trs grande majorit sur la puce prsente sur les cartes de paiement, qui bnficient par l mme de protections cryptographiques leves. Toutefois, la protection des donnes associes (numro de carte, date dexpiration) et des donnes embosses ou imprimes sur la carte (les mmes que cites prcdemment ainsi que le CVx2) est importante pour empcher leur rutilisation frauduleuse notamment dans le cadre du e-commerce. Les mmes acteurs font en outre valoir que le fait de dsensibiliser les donnes de carte contre tout risque de compromission leur permettrait de saffranchir du respect des mesures PCI, que celles-ci concernent la protection des informations embosses sur la carte, inscrites sur la piste ou stockes dans la puce. Plus gnralement, la question de la pertinence de la gestion de ces donnes sensibles par les commerants reste pose, tout en notant que ceux-ci assurent la matrise de la scurit de leurs systmes. Chevauchement des mesures PCI avec dautres normes de scurit Certains participants lenqute ont fait valoir que les mesures PCI DSS apparaissaient proches de normes de scurit internationales, telles les normes ISO 270007, ou de mesures applicables en France, telles les recommandations de la CNIL (voir Encadr 2), de sorte quelles pourraient tre considres comme faisant double emploi avec ce qui est mis en uvre par les acteurs qui les appliquent. Un point de vue inverse a toutefois t dfendu par dautres participants qui ont soulign que la mise en uvre des normes ISO 27000 ou des recommandations de la CNIL contribuait assurer la conformit aux mesures PCI. De manire gnrale, des remarques analogues ont t formules quant au chevauchement, dune part des mesures PCI DSS et PCI PED avec les principes de scurit du standard de carte puce EMV et, dautre part, des mesures PCI UPT (PCI Unattended Payment Terminal, prescrivant des protections physiques et logiques des composants lectroniques des terminaux) avec les mesures AFAS8 (destines lutter contre la capture de donnes de carte sur les Distributeurs Automatiques de Billets et les Distributeurs Automatiques de Carburant). Il convient cependant de noter que le champ des mesures PCI est plus large que celui de ces autres normes et que la combinaison de lensemble permet de couvrir les diffrents canaux de compromission de donnes tels quidentifis dans le cadre dune analyse de risques.

Srie de normes ddies la scurit de linformation, dfinissant le cadre de mise en uvre dun systme de gestion de la scurit, dun catalogue de mesures de scurit et dun processus de gestion du risque. Anti Fishing Anti Skimming , ensemble de mesures imposes par le Groupement des Cartes Bancaires CB en 2005 afin de protger les automates de paiement et de retrait. Rapport 2009 Observatoire de la scurit des cartes de paiement

12

Encadr 2 Les recommandations de la CNIL


Compte tenu des risques lis la circulation du numro de carte bancaire en cas de vente distance, la Commission a adopt en 20039 une recommandation reprenant, en les appliquant ce domaine, les grands principes de la loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts. Elle a tout particulirement mis laccent sur les conditions de scurit entourant la collecte et le traitement du numro de carte bancaire. La CNIL considre ainsi quaucune dcision impliquant une apprciation sur un comportement humain ne saurait avoir pour seul fondement un traitement automatis de donnes caractre personnel. En principe, la dure de conservation du numro de carte bancaire ne saurait excder le dlai ncessaire la ralisation de la transaction pour laquelle il a t collect. Si une conservation de ce numro dautres fins est prvue, elle est subordonne au recueil du consentement explicite de la personne concerne. La Commission a dj mis en demeure plusieurs htels10 pour avoir conserv cette information sans avoir obtenu de consentement pralable. Enfin, les personnes doivent tre informes de la mise en uvre de ce traitement conformment aux dispositions de larticle 32 de la loi susvise. Laugmentation des achats sur Internet entrane la mise en uvre par les professionnels concerns de nouveaux traitements de donnes caractre personnel notamment afin de lutter contre la fraude. Des outils de dtection des comportements atypiques des porteurs de carte bancaire ou des techniques dauthentification complmentaire du porteur sont ainsi mises en place. Certains de ces dispositifs sont susceptibles dexclure des personnes du bnfice dun droit ou dun contrat en labsence de toutes dispositions lgislatives et rglementaires le prvoyant en empchant, mme de manire temporaire, une personne dutiliser sa carte de paiement. Ces traitements sont donc soumis autorisation pralable de la Commission en application des dispositions de larticle 25.I.4 de la loi susvise. Dans le cadre de lexamen de ces dossiers, la Commission vrifie notamment les conditions dinformation des personnes et les consquences attaches la mise en uvre de ces traitements.

La certification
Processus de certification La certification de la conformit aux mesures PCI est effectue par des prestataires (Qualified Security Assessors - QSA ) accrdits par PCI SSC, et dont la liste est publie par ses membres fondateurs. Les systmes de paiement par carte peuvent galement imposer une analyse trimestrielle des vulnrabilits, effectue par des ASV (Approved Scanning Vendors), en fonction du nombre de transactions traites chaque anne. Les tablissements acqureurs sont quant eux soumis aux normes PCI sans tre formellement certifis conformes par PCI SSC. La publication de la liste des QSA/ASV et des rsultats des audits de certification par chacun des systmes de paiement par carte assure la transparence de ce processus. Les acteurs soumis aux mesures PCI disposent ainsi en temps rel dune base leur permettant de sassurer de la qualit des matriels dont ils sont quips et de la conformit des prestataires auxquels ils dlguent certaines parties du processus dacquisition. De telles publications ajouts et retraits des listes des acteurs certifis comportent toutefois un risque intrinsque de dpendance de ces acteurs lgard des systmes de paiement par carte seuls chargs de la mise en uvre et de la gestion de ces listes. Leurs modifications peuvent en effet avoir des consquences prjudiciables aux acteurs concerns, dautant plus importantes quils agissent dans le cadre dun march trs concurrentiel.

9 10

http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/13/ http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article//du-bon-usage-des-donnees-bancaires-collectees-par-leshotels/# 13

Observatoire de la scurit des cartes de paiement Rapport 2009

La majorit des acteurs interrogs par lObservatoire fait par ailleurs remarquer que la mise en uvre des mesures PCI est lourde et complexe, et quil leur est ainsi ncessaire de faire appel des socits de conseil pour y parvenir. Or, ils soulignent le conflit dintrt qui peut rsulter du fait que ces socits sont aussi le plus souvent accrdites par PCI SSC pour raliser les audits de conformit. Outre que ces socits disposent ainsi, par la conjonction de leurs deux missions, dune position dinfluence sur la mise en uvre des mesures, elles peuvent galement disposer loccasion de leur intervention dune visibilit complte des scurits mises en uvre sur le systme dinformation de lacteur. Dans ce contexte, certains acteurs ont mis le souhait que les services daudit interne des entreprises soient le cas chant mieux impliqus dans le processus de certification. Mcanisme de sanctions Toute non conformit est susceptible dentraner des sanctions de diffrentes natures, dont : la prise en charge des cots ventuellement induits par la non conformit (oprations frauduleuses, rmission des cartes, etc.) ; des sanctions pcuniaires pour les banques acqureurs, qui sont dfinies et perues indpendamment par chaque rseau membre de PCI SSC en se rfrant au nombre de jours de non conformit ou au nombre de transactions ralises ; la suspension du compte du commerant. Ces mcanismes de sanction, fonds sur la relation contractuelle encadrant lacceptation des cartes dun rseau, traduisent laspect coercitif des mesures PCI. Ils ne sont pas contests par les acteurs interrogs dans le cadre de cette enqute, mais certains dentre eux relvent toutefois le caractre parfois lev des sommes dues aux rseaux membres de PCI SSC, par ailleurs susceptibles de se cumuler au montant des transactions frauduleuses subies sur la priode considre.

13 Conclusion
Les rponses fournies dans le cadre de ltude mene par lObservatoire confirment la ncessit de mettre en uvre des mesures de protection des donnes de carte dans lensemble du processus dacceptation et dacquisition. Les mesures PCI reprsentent dans ce cadre une bonne pratique, contribuant lever le niveau de scurit des processus et matriels utiliss. Leur adoption par les systmes de paiement par carte internationaux, y compris pour les cartes nationales avec lesquelles ceux-ci ont des accords de co-badgeage, donne ces mesures le caractre de standards de fait. Leur adquation au march franais nest toutefois pas sans soulever de questions. La spcificit de lutilisation des cartes puce parat certains acteurs interrogs insuffisamment reconnue par PCI SSC. Dautres soulignent linverse que les donnes de carte peuvent tre gres dans de nombreux environnements tout au long des phases dacceptation et dacquisition, et que la rutilisation frauduleuse de ces donnes constitue un risque majeur. Or les recommandations adoptes par la CNIL en la matire, de mme que les tudes menes par lObservatoire depuis sa cration, confirment lenjeu dune telle protection. Dans ce contexte, la possibilit de dsensibiliser les donnes de carte est galement voque, les reprsentants des commerants sinterrogeant sur la pertinence de la gestion de ces donnes aujourdhui sensibles dans leurs environnements. De plus, la question de la reprsentation des acteurs franais ou europens au sein de PCI SSC a paru cruciale pour permettre une bonne adaptation des mesures PCI aux
14 Rapport 2009 Observatoire de la scurit des cartes de paiement

spcificits locales. Il serait ainsi souhaitable que la gouvernance de cet organisme soit largie, et que lEuropean Payments Council (EPC), qui travaille linteroprabilit des paiements par carte en Europe, puisse y siger. Dans cette optique, des reprsentants des banques et du commerce appellent la cration dun observatoire europen de la fraude, limage du dispositif mis en uvre en France par lObservatoire de la scurit des cartes de paiement. Une telle instance permettrait notamment de rpondre aux attentes des acteurs de la chane de paiement en donnant des orientations adaptes au march europen. En outre, les spcificits propres aux systmes de paiement par carte membres de PCI SSC dans lapplication des mesures PCI, ou dans la mise en uvre du mcanisme dvaluation de la conformit, sont susceptibles daccrotre la charge de mise en uvre par les acteurs. Une meilleure concertation entre systmes de paiement par carte devrait permettre dy remdier. Les acteurs interrogs ont galement not la lourdeur, juge parfois excessive y compris en termes de cot, des procdures dvaluation de la conformit, voire de sanction, imposes aux acteurs de la filire dacceptation et dacquisition. Il serait aussi important dviter toute position dinfluence et tout conflit dintrt dont pourraient profiter les socits accrdites pour raliser les audits de conformit des acteurs concerns. Des amliorations tangibles sont souhaitables sur ces points.

Observatoire de la scurit des cartes de paiement Rapport 2009

15

2 STATISTIQUES DE FRAUDE POUR 2009


Depuis 2003, lObservatoire tablit des statistiques de fraude des cartes de paiement de type interbancaire et de type privatif , sur la base de donnes recueillies auprs des metteurs et des accepteurs. Ce recensement statistique suit une dfinition et une typologie harmonises, tablies ds la premire anne de fonctionnement de lObservatoire et reprises en annexe E du prsent rapport. Une synthse des statistiques pour 2009 est prsente ci-aprs. Elle comporte une vue gnrale de lvolution de la fraude, selon le type de carte ( interbancaire ou privatif ), le type de transaction effectu (transactions nationales ou internationales, transactions de proximit ou distance, transactions de paiement ou retrait) et lorigine de la fraude (carte perdue ou vole, carte non parvenue, carte altre ou contrefaite, numro de carte usurp). En complment, une srie dindicateurs dtaills est prsente dans lannexe D de ce rapport. Encadr 3 Statistiques de fraude : les contributeurs
Afin dassurer la qualit et la reprsentativit des statistiques de fraude, lObservatoire recueille les donnes de lensemble des metteurs de cartes, de type interbancaire ou privatif . Il complte ces donnes par des statistiques tablies par la Fdration du e-commerce et de la vente distance (Fevad), qui consulte un chantillon de 33 entreprises reprsentant 26 % du chiffre daffaires de la vente distance aux particuliers. Les statistiques calcules par lObservatoire portent ainsi sur : 429,4 milliards deuros de transactions ralises en France et ltranger laide de 62,4 millions de cartes de type interbancaire mises en France (dont 1,54 million de porte-monnaie lectroniques) ; 24,2 milliards deuros de transactions ralises (principalement en France) avec 28,2 millions de cartes de type privatif mises en France ; 23,7 milliards deuros de transactions ralises en France avec des cartes de paiement de types interbancaire et privatif trangres.

Les donnes recueillies proviennent : de dix metteurs de cartes privatives : American Express, Banque Accord, BNP Paribas Personal Finance, Cofidis, Cofinoga, Diners Club, Finaref, Franfinance, S2P et Sofinco ; des 136 membres du Groupement des Cartes Bancaires CB . Les donnes ont t obtenues par lintermdiaire de ce dernier, ainsi que de MasterCard et de Visa Europe France ; des metteurs du porte-monnaie lectronique Moneo.

21 Vue densemble
Le taux de fraude sur les paiements et les retraits par carte enregistr en 2009 dans les systmes franais est de 0,072 %. Il est en augmentation compar celui des annes prcdentes (0,069 % en 2008 et 0,062 % en 2007 voir Tableau 1). En effet, la progression des montants de fraude (342,4 millions deuros en 2009 contre 320,2 millions deuros en 2008, soit une hausse de 6,9 %) est plus importante que la croissance du montant des transactions (477,3 milliards deuros en 2009 contre 464,0 milliards deuros en 2008, soit une hausse

Observatoire de la scurit des cartes de paiement Rapport 2009

17

de 2,9 % voir Tableau 2). Le montant moyen dune transaction frauduleuse est en lgre hausse, 136 euros contre 131 euros en 2008.
Taux de fraude (tous types de cartes)
0,100% 0,090% 0,080% 0,070% 0,060% 0,050% 0,040% 0,030% 0,020% 0,010% 0,000% 2002 2003 2004 2005 2006 2007 2008 2009 0,082% 0,086% 0,070% 0,064% 0,064% 0,062% 0,072%

0,069%

Source : Observatoire de la scurit des cartes de paiement

Tableau 1 volution du taux de fraude pour tous types de cartes

Montant des transactions (en milliards d'euros)


500 450 400 350 300 250 200 150 100 50 0 2002 2003 2004 2005 2006 2007 2008 2009
299,0 318,3 345 ,1 368,5 395,1 430,7 464,0 477,3

Montant de la fraude (en millions d'euros)


+ 3%

+ 8% +9% +7% +8% +8% +7%

500 450 400 350 300 250 200 150 100 50 0 2002 2003 2004 2005 2006 2007 2008 2009
245,2 273,7 241,6 235,9 252,6 268,5 320,2 342,4

+ 19% +12 % -12 % -2 % +7% +6%

+ 7%

Source : Observatoire de la scurit des cartes de paiement

Tableau 2 volution des montants de transactions et de fraude On observe une augmentation du taux de la fraude metteur c'est--dire de lensemble des paiements et retraits frauduleux raliss en France et ltranger avec des cartes mises en France. Il stablit en 2009 0,059 %, pour un montant de fraude de 265,6 millions deuros (contre 0,057 % et 249,2 millions deuros en 2008). Le taux de la fraude acqureur c'est--dire de lensemble des paiements et retraits frauduleux raliss en France quelle que soit lorigine gographique de la carte est en lgre augmentation. Il stablit en 2009 0,048 %, pour un montant de fraude de 220,8 millions deuros (contre 0,045 % en 2008, pour un montant de fraude de 201,9 millions deuros). Lannexe D du prsent rapport regroupe des tableaux dtaills des volumes et valeurs de transaction et des volumes et valeurs de fraude, par type de carte, zone gographique, type de transaction et origine de fraude.

18

Rapport 2009 Observatoire de la scurit des cartes de paiement

22 Rpartition de la fraude par type de carte


Taux de fraude
(Montant de la fraude en millions deuros)

2005 Cartes de type interbancaire Cartes de type privatif Total 0,064 %


(218,8)

2006 0,065 %
(237,0)

2007 0,063 %
(253,6)

2008 0,070 %
(304,3)

2009 0,072 %
(324,3)

0,067 %
(17,1)

0,052 %
(15,6)

0,052 %
(15,0)

0,054 %
(16,0)

0,068 %
(18,2)

0,064 %
(235,9)

0,064 %
(252,6)

0,062 %
(268,5)

0,069 %
(320,2)

0,072 %
(342,4)

Source : Observatoire de la scurit des cartes de paiement

Tableau 3 Rpartition de la fraude par type de carte Pour les cartes de type interbancaire , le taux de fraude est en lgre hausse en 2009, et stablit 0,072 %, pour un montant de fraude de 324,3 millions deuros (contre 0,070 % en 2008, pour un montant de fraude de 304,3 millions deuros). Pour ce type de carte, les taux de fraude metteur et acqureur sont respectivement de 0,059 % et de 0,048 % (contre 0,057 % et 0,046 % en 2008). La valeur moyenne dune transaction frauduleuse est de 132 euros, contre 127 euros en 2008. Pour les cartes de type privatif , le taux de fraude augmente sensiblement, 0,068 %, pour un montant de fraude de 18,2 millions deuros (contre 0,054 % et 16,0 millions deuros en 2008). Pour ce type de cartes, les taux de fraude metteur et acqureur stablissent respectivement 0,053 % et 0,059 % (contre 0,046 % et 0,042 % en 2008). La valeur moyenne dune transaction frauduleuse slve 324 euros en 2009, contre 357 euros en 2008.

23 Rpartition de la fraude par zone gographique


Taux de fraude (Montant de la fraude en millions deuros)

2005
Transactions nationales Transactions internationales
Dont metteur franais et acqureur tranger Dont metteur tranger et acqureur franais

2006
0,031 %
(109,6)

2007
0,029 %
(114,5)

2008
0,031 %
(130,9)

2009
0,033 %
(144,0)

0,029 %
(97,8)

0,408 %
(138,1)

0,362 %
(143,0)

0,368 %
(154,0)

0,427 %
(189,4)

0,449 %
(198,4)

0,458 %
(64,1)

0,453 %
(76,4)

0,476 %
(85,3)

0,594 %
(118,3)

0,594 %
(121,6)

0,373 %
(74,1)

0,295 %
(66,5)

0,288 %
(68,7)

0,291 %
(71,0)

0,324 %
(76,8)

Total

0,064 %
(235,9)

0,064 %
(252,6)

0,062 %
(268,5)

0,069 %
(320,2)

0,072 %
(342,4)

Source : Observatoire de la scurit des cartes de paiement

Tableau 4 Rpartition de la fraude par zone gographique

Observatoire de la scurit des cartes de paiement Rapport 2009

19

La rpartition de la fraude par zone gographique demeure marque par un dsquilibre entre les transactions nationales et internationales : 58 % de la fraude portent sur les transactions internationales, alors que ce type de transaction compte peine pour 9 % de la valeur des transactions par carte enregistres dans les systmes franais. Dans un contexte de croissance du montant des transactions nationales (+ 3,2 %), le taux de fraude de celles-ci est en lgre hausse, mais demeure un niveau trs faible, 0,033 % en 2009, contre 0,031 % en 2008. La fraude sur les transactions internationales augmente pour sa part en 2009, la fois en taux et en montant. Le taux de fraude lie aux transactions effectues ltranger avec des cartes mises en France reste trs lev 0,594 %, pour un montant de fraude de 121,6 millions deuros (contre 118,3 millions deuros en 2008). Le taux de fraude lie aux transactions effectues en France avec des cartes mises ltranger est en hausse et stablit 0,324 %, pour un montant de fraude de 76,8 millions deuros (contre 0,291 % en 2008, pour un montant de fraude de 71,0 millions deuros).

Encadr 4 Rpartition du prjudice de la fraude


Depuis 2007, lObservatoire estime, pour l'ensemble des systmes de type privatif et de type interbancaire , des indicateurs de la rpartition du prjudice de la fraude entre le porteur, le commerant et leurs banques. Il est important de noter que ces indicateurs ne valent que pour le prjudice lui-mme, et non pour les cots totaux de traitement ou d'assurance engendrs par la fraude. Ces indicateurs donnent une tendance mais restent thoriques et ne peuvent reflter que la rpartition directe de la fraude supporte par les acteurs. Par construction en effet, ils se rfrent aux dispositions lgales et rglementaires encadrant l'opposition par le porteur en cas de perte ou de vol, ainsi que la contestation par celui-ci en cas d'utilisation frauduleuse de sa carte. De plus, ils ne peuvent tenir compte totalement des pratiques commerciales des metteurs ou des acqureurs. Tous systmes confondus, la rpartition du prjudice pour les transactions nationales en 2009 est la suivante : 2,3 % sont supports par les porteurs, 41,1 % sont supports par les tablissements metteurs et acqureurs et 56,5 % sont supports par les commerants, principalement en vente distance. La part supporte par les commerants, qui tait de 53,5 % en 2008, augmente encore du fait de la croissance de la fraude sur les paiements distance, qui est trs majoritairement supporte par ceux-ci (le cot de la fraude nest pas support par les commerants lorsquils utilisent des systmes scuriss tels que 3D-Secure ). De plus, sur les 342,4 millions deuros de fraude enregistrs par les systmes franais en 2009, on peut estimer quenviron 94,5 millions deuros (soit 28 %) seraient supports par les systmes trangers. Ceci dcoule de lapplication des rgles internationales de partage de responsabilit dans le cadre de la mise en uvre du standard EMV et du dispositif dauthentification pour les paiements distance 3D-Secure .

24 Rpartition de la fraude par type de transaction


La typologie de transaction de paiement par carte adopte par lObservatoire distingue les paiements de proximit et sur automate (raliss au point de vente ou sur distributeurs de carburant, de billets de transport) des paiements distance (raliss sur Internet, par courrier, par tlphone / fax, etc.) et des retraits. Pour une meilleure lisibilit, les dveloppements qui suivent distinguent les donnes nationales des donnes internationales.

20

Rapport 2009 Observatoire de la scurit des cartes de paiement

Transactions nationales
Taux de fraude (Montant de la fraude en millions deuros) Transactions nationales Paiements - dont paiements de proximit et sur automate - dont paiements distance
- dont par courrier / tlphone - dont sur Internet

2005
0,033 % (82,8) 0,025 % (59,2) 0,196 % (23,6)
nd nd

2006
0,035 % (92,3) 0,024 % (59,1) 0,199 % (33,2)
0,194 % (19,8) 0,208 % (13,4)

2007
0,032 % (95,6) 0,017 % (45,4) 0,236 % (50,1)
0,201 % (23,8) 0,281 % (26,4)

2008
0,036 % (111,7) 0,015 % (44,5) 0,252 % (67,2)
0,280 % (28,5) 0,235 % (38,8)

2009
0,038 % (123,2) 0,014 % (41,0) 0,263 % (82,2)
0,263 % (30,3) 0,263 % (51,9)

Retraits Total

0,017 % (15,0) 0,029 % (97,8)

0,019 % (17,4) 0,031 % (109,6)

0,020 % (19,0) 0,029 % (114,5)

0,018 % (19,1) 0,031 % (130,9)

0,019 % (20,8) 0,033 % (144,0)

Source : Observatoire de la scurit des cartes de paiement

Tableau 5 Rpartition de la fraude nationale par type de transaction En ce qui concerne les transactions nationales, on observe que : le taux de fraude sur les paiements de proximit et sur automate continue de diminuer et stablit 0,014 %, pour un montant de fraude de 41,0 millions deuros (contre 0,015 % et 44,5 millions deuros en 2008). Les paiements de proximit et sur automate comptent pour 67 % du montant des transactions nationales, et pour seulement 28 % du montant de la fraude ; le taux de fraude sur les paiements distance est de nouveau en hausse en 2009 et stablit 0,263 % pour un montant de fraude de 82,2 millions deuros (contre 0,252 % en 2008, pour un montant de fraude de 67,2 millions deuros). Les paiements distance, qui reprsentent 7 % de la valeur des transactions nationales, comptent ainsi dsormais pour 57 % du montant de la fraude. Si cette hausse de la fraude est relativiser compte tenu de la croissance soutenue du volume et de la valeur des paiements distance (+ 17,1 % entre 2008 et 2009 en valeur, avec notamment 19,7 % de croissance pour les paiements sur Internet), le niveau trs lev de la fraude sur ce canal de paiement conduit lObservatoire encourager la mise en uvre de mesures permettant de lutter contre cette tendance. Le prcdent rapport de lObservatoire avait soulign limportance de gnraliser progressivement lauthentification du porteur pour tout acte de paiement et de renforcer les mthodes dauthentification utilises. A ce propos, lObservatoire rend compte dans le prsent rapport (cf. chapitre 4) des rsultats dune tude qualitative sur la perception de la scurit des transactions en ligne par les porteurs et de laccueil rserv diffrents dispositifs dauthentification non rejouable ; le taux de fraude sur les retraits est stable seulement 0,019 %, pour un montant de fraude de 20,8 millions deuros (contre 0,018 % en 2008, pour un montant de fraude de 19,1 millions deuros). Les retraits reprsentent 25 % du montant des transactions nationales et comptent pour 14 % du montant de la fraude.

Observatoire de la scurit des cartes de paiement Rapport 2009

21

Encadr 5 Fraude nationale en vente distance selon le secteur dactivit


LObservatoire a collect des donnes permettant de fournir des indications sur la segmentation de la fraude par secteur dactivit pour les paiements distance. Ces chiffres ne portent que sur les transactions nationales.
Services aux professionnels : 1 % (1,2 M)

Jeu en ligne : 3 % (2.5 M) Divers : 3 % (2,5 M) Approvisionnement dun compte : 6 % (5,1M)

Alimentation : 1 % (0,9M) Assurance : 0 % (0,3 M) Voyage, transport : 20 % (16,4 M)

quipement de la maison, ameublement : 6 % (5,3 M)

Produits techniques et culturels : 11 % (8,8 M)

Commerce gnraliste et semi-gnraliste : 20 % (16,2 M)

Tlphonie et communication : 13 % (10,5 M) Services aux particuliers : 15 % (12,1 M)

Ventilation de la fraude sur les paiements distance par secteur dactivit pour les transactions nationales (montant de la fraude en millions deuros) Les secteurs Voyage/transport, Commerce gnraliste et semi-gnraliste et Services aux particuliers reprsentent 55 % de la fraude, apparaissant ainsi comme les plus exposs. La comparaison des taux moyens de chacun des secteurs dactivit complte cette information et permet de constater que certains secteurs, qui comptent pour une faible part du total de la fraude, subissent toutefois une exposition leve (Produits techniques et culturels, Jeu en ligne) (cf. histogramme ci-aprs). Nanmoins, lObservatoire remarque quau sein dun mme secteur, le taux de fraude varie sensiblement dun commerant lautre selon les mesures de scurit dployes.
0,800% 0,700% 0,600% 0,500% 0,400% 0,300% 0,200% 0,100% 0,000% taux moyen : 0,263 %

Taux de fraude sur les paiements distance par secteur dactivit pour les transactions nationales
Source : Observatoire de la scurit des cartes de paiement

22

Rapport 2009 Observatoire de la scurit des cartes de paiement

Transactions internationales
Taux de fraude (Montant de la fraude en millions deuros) metteur franais Acqureur tranger Paiements - dont paiements de proximit et sur automate - dont paiements distance
- dont par courrier / tlphone - dont sur Internet

2006
0,421 % (54,0) 0,288 % (28,1) 0,840 % (26,0) 0,684 % (5,7) 0,898 % (20,3) 0,555 % (22,4) 0,453 % (76,4)

2007
0,483 % (65,2) 0,299 % (30,0) 1,024 % (35,1) 0,790 % (7,6) 1,117 % (27,4) 0,455 % (20,0) 0,476 % (85,3)

2008
0,655 % (99,3) 0,286 % (32,0) 1,698 % (67,2) 1,284 % (11,2) 1,815 % (56,0) 0,399 % (19,1) 0,594 % (118,3)

2009
0,679 % (105,2) 0,406 % (44,7) 1,350 % (60,5) 1,016 % (9,7) 1,440 % (50,8) 0,331 % (16,5) 0,594 % (121,6)

Retraits Total metteur tranger Acqureur franais Paiements Retraits Total

2006
0,344 % (61,5) 0,107 % (5,0) 0,295 % (66,5)

2007
0,334 % (62,8) 0,117 % (5,9) 0,288 % (68,7)

2008
0,339 % (65,4) 0,110 % (5,6) 0,291 % (71,0)

2009
0,397 % (74,1) 0,055 % (2,8) 0,324 % (76,8)

Source : Observatoire de la scurit des cartes de paiement

Tableau 6 Rpartition de la fraude internationale par type de transaction En ce qui concerne les transactions internationales, lObservatoire ne dispose dune dcomposition fine de la fraude par type de transaction que pour les seules transactions ralises par des cartes franaises ltranger. On remarque que la fraude a augment sur les paiements de proximit et sur automate (44,7 millions deuros en 2009 contre 32,0 millions deuros en 2008) alors quelle a lgrement diminu sur les paiements distance (60,5 millions deuros en 2009 contre 67,2 millions deuros en 2008). Nanmoins, on constate toujours un taux de fraude sur les paiements distance particulirement lev (1,350 %) et beaucoup plus important que celui sur les paiements de proximit et sur automate (0,406 %). Le dploiement de dispositifs dauthentification renforce devrait permettre de limiter la fraude sur les paiements distance qui, sur cette zone gographique, reprsentent 22 % des transactions mais 50 % de la fraude. Enfin, on remarque une diminution de la fraude sur les retraits, tant en montant quen taux, quil sagisse de transactions ralises par des cartes franaises ltranger ou par des cartes trangres en France.

25 Rpartition de la fraude selon son origine


La typologie dfinie par lObservatoire distingue les origines de fraude suivantes : carte perdue ou vole : le fraudeur utilise une carte de paiement obtenue linsu de son titulaire lgitime, suite une perte ou un vol ; carte non parvenue : la carte a t intercepte lors de son envoi par lmetteur son titulaire lgitime ;

Observatoire de la scurit des cartes de paiement Rapport 2009

23

carte falsifie ou contrefaite : une carte de paiement authentique est falsifie par modification des donnes magntiques, dembossage ou de programmation ; une carte entirement fausse est ralise partir de donnes recueillies par le fraudeur ; numro de carte usurp : le numro de carte dun porteur est relev son insu ou cr par moulinage ( laide de gnrateurs alatoires de numros de carte) et utilis ensuite en vente distance ; une catgorie autres , qui regroupe, en particulier pour les cartes de type privatif , la fraude lie louverture frauduleuse de compte par usurpation didentit. Lhistogramme suivant indique les volutions constates dans ce domaine au niveau national pour lensemble des cartes de paiement (la rpartition porte uniquement sur les paiements).

100%
29%

6%

4%

4%

4%

3%

3%

Autres Numro de carte usurp

80%

35%

22%

24%

31% 40% 51% 55%

Cartes altres ou contrefaites Cartes non parvenues Cartes perdues ou voles


2% 1% 2% 1%

60%
17% 1%

20%

26%

25%

16% 2%

1%
3% 3%

5% 1%

40%

20%

46%

49%

44%

44%

48%

50% 43% 38%

0% 2002 2003 2004 2005 2006 2007 2008 2009

Source : Observatoire de la scurit des cartes de paiement

Tableau 7 Rpartition de la fraude selon son origine (transactions nationales, en valeur) En augmentation depuis 2005, lorigine de fraude la plus importante (55,1 %, contre 51,3 % en 2008) est celle lie aux numros de cartes usurps, utiliss pour les paiements frauduleux distance. La fraude lie aux pertes et vols de cartes reprsente encore 38,2 % des paiements nationaux frauduleux. La contrefaon de cartes nest plus lorigine que de 2,2 % des paiements nationaux frauduleux. Enfin, on observe une stabilit de la rubrique autres , qui est gnralement utilise par les systmes de carte de type privatif pour indiquer les fraudes par ouverture frauduleuse dun compte ou dun dossier de crdit (fausse identit) et qui est trs significative pour ce type de carte (prs de 50 %).

24

Rapport 2009 Observatoire de la scurit des cartes de paiement

Tous types de cartes

Cartes de type interbancaire


Montant
(millions deuros)

Cartes de type privatif


Montant
(millions deuros)

2009
Carte perdue ou vole Carte non parvenue Carte altre ou contrefaite Numro usurp Autres Total

Montant
(millions deuros)

Part 38,2 % 1,2 % 2,2 % 55,1 % 3,2 % 100 %

Part 39,2 % 0,6 % 1,7 % 58,6 % 100 %

Part 25,1 % 9,9 % 10,4 % 6,2 % 48,4 % 100 %

55,0 1,7 3,2 79,4 4,6 144,0

52,6 0,8 2,2 78,8 134,4

2,4 0,9 1,0 0,6 4,6 9,6

Source : Observatoire de la scurit des cartes de paiement

Tableau 8 Rpartition de la fraude nationale selon son origine et par type de carte

Encadr 6 Indicateurs des services de police et de gendarmerie


Pour l'anne 2009, les services de police et de gendarmerie enregistrent une hausse des interpellations pour les fraudes la carte bancaire, faisant tat de 200 personnes interpelles contre 154 en 2008. Les attaques de distributeurs automatiques de billets (DAB) diminuent avec 411 piratages de DAB en 2009 (contre 427 en 2008, 391 en 2007, 515 en 2006, 200 en 2005 et 80 en 2004). A celles-ci s'ajoutent 1 attaque sur un distributeur automatique de carburant (DAC) (contre 3 en 2008) et 18 attaques de terminaux de paiement (contre 17 en 2008). Face de tels agissements, de nombreuses enqutes ont t diligentes sur l'ensemble du territoire national. On peut distinguer parmi celles-ci : linterpellation dune quipe de treize personnes spcialise dans la captation de donnes de carte, la contrefaon et lutilisation de cartes dans des commerces complices en France. Le prjudice est estim plus de 200 000 euros ; linterpellation dune quipe de quatre personnes spcialise dans la captation de donnes de cartes aux distributeurs automatiques de billets. De nombreuses donnes de carte ont t compromises sur une dizaine de distributeurs pour un prjudice total dpassant 250 000 euros ; le dmantlement dune quipe franco-roumaine de neuf personnes spcialise dans lutilisation de cartes contrefaites. Les perquisitions ont permis de trouver une dizaine de ces cartes, du matriel utilis pour la fraude ainsi que 15 000 euros en espces.

Observatoire de la scurit des cartes de paiement Rapport 2009

25

3 VEILLE TECHNOLOGIQUE
31 Suivi de la mise en uvre des solutions de paiement sans contact (par carte et mobile)
LObservatoire a publi dans son rapport 2007 une tude portant sur la scurit des nouveaux mcanismes dinitiation du paiement par carte (paiement par tlphone mobile, carte sans contact)11 dans la continuit dune premire analyse publie en 2004. Mme sils sont dj largement dploys dans certains pays, notamment au Japon, les paiements utilisant des technologies sans contact ne faisaient lobjet, en 2007, que de projets pilotes en France. Dans ce contexte, lObservatoire avait mis des recommandations portant sur la scurit des paiements sans contact par carte, dune part, et par tlphone mobile, dautre part. La situation ayant volu depuis les cartes sans contact sont dsormais en circulation et les paiements par tlphone mobile font lobjet de pilotes grande chelle lObservatoire a souhait analyser la situation prsente, vrifier que les recommandations quil avait mises en 2007 ont bien t suivies par les metteurs et accepteurs12 et analyser ladquation de ces recommandations au contexte actuel.

Caractristiques et enjeux de scurit des modes de paiement sans contact


Les modes de paiement sans contact reposent sur lutilisation dune carte ou dun tlphone mobile. Dans les deux cas, ces lments communiquent avec les terminaux de paiement laide dune antenne permettant dmettre des communications selon le protocole NFC (Near Field Communication), lequel est prvu pour fonctionner trs faible distance, de lordre de quelques centimtres. Chaque dispositif a ensuite des caractristiques qui lui sont propres. Cartes sans contact Dans le cas des cartes sans contact, lapplication de paiement de la banque mettrice se trouve sur la puce et cohabite avec une application de paiement classique fonctionnant en mode contact. Afin dacclrer le processus de paiement, la saisie dun code PIN nest pas demande pour un paiement sans contact dans les cas suivants : pour les transactions dont le montant unitaire est infrieur un seuil actuellement de lordre de 20 30 euros ; en-dessous dun certain montant cumul ; en-dessous dun certain nombre de transactions prdfini en mode sans contact. Dans tous les autres cas, la carte est prsente en mode contact avec contrle du code PIN.
11

Cf. Rapport annuel 2007, pp.36 43. Le champ de ces tudes couvre les paiements par carte sans contact et par tlphone mobile sans contact. Comme dans les rapports 2004 et 2007, les cartes prpayes, examines dans le cadre des travaux de suivi des politiques de scurit des metteurs et des accepteurs, ne sont pas couvertes par cette tude. 27

12

Observatoire de la scurit des cartes de paiement Rapport 2009

Ces trois types de donnes (montant unitaire, montant cumul, nombre de transactions) sont suivis laide de compteurs, grs par lapplication de paiement et dont la rinitialisation sopre par une demande dautorisation avec saisie du code PIN lors dun paiement en mode contact. Paiement sans contact par tlphone mobile En ltat actuel des exprimentations, deux modles mergent quant au stockage de lapplication de paiement dans un secure element 13 au sein du tlphone mobile : celle-ci peut tre loge dans la puce SIM (Subscriber Identity Module) gre par loprateur tlphonique14. Cest alors lapplication de paiement, au sein de ce microprocesseur, qui excute les oprations permettant dinitier le paiement ; une deuxime solution consiste loger lapplication de paiement dans un secure element distinct de la SIM, qui initie la transaction de paiement, contrle les communications NFC et contient des certificats numriques. Cette architecture permet de dvelopper des services indpendamment des infrastructures des oprateurs de tlcommunication, cest--dire sans faire intervenir la carte SIM ni les services associs de tlphonie. Les banques mettrices de lapplication de paiement conservent nanmoins dans les deux cas la matrise scuritaire du composant au sein duquel se trouve leur application, notamment en exigeant des valuations des composants htes et des applications de paiement. Comme pour les cartes, lapplication de paiement gre des seuils de transactions dont latteinte impose la saisie dun code personnel sur le clavier du tlphone, indpendant du code PIN dactivation de la carte SIM ou de tout autre secure element . Lutilisateur peut choisir de rendre la saisie de ce code systmatique, quel que soit le montant de lachat. Par ailleurs, la remise zro des compteurs peut seffectuer distance lorsquun des seuils est atteint. Ce processus comporte une demande dautorisation mise par le tlphone et qui ncessite laccord explicite du client. Celui-ci se matrialise par la saisie de son code personnel lors de cette mme demande ou la premire transaction suivante. **** Ltude de lObservatoire de 2007 avait identifi quatre types de menaces15 associes aux modes de paiement sans contact. Les volutions actuelles lies au dploiement progressif des modes de paiement sans contact renforcent le besoin de prendre en compte ces menaces, dont certaines peuvent par ailleurs tre combines. coute des informations changes La communication entre le terminal de paiement et la carte ou le tlphone mobile se faisant par ondes radio, il existe un risque de capture des informations changes lors du paiement et de leur rutilisation des fins frauduleuses. Ces informations concernent le numro de la carte

13

Le terme secure element couvre ici la SIM ou tout autre composant lectronique scuris (carte SD, etc.) pouvant hberger une application de paiement. Le standard Global Platform utilis pour larchitecture des puces SIM prvoit que celles-ci comportent diffrentes units isoles, les Security Domains , permettant dy inscrire des applications logicielles distinctes. coute des informations changes, activation de lapplication de paiement linsu du porteur, vol du support sans contact, attaques contre lapplication de paiement. Rapport 2009 Observatoire de la scurit des cartes de paiement

14

15

28

(le PAN)16, le montant de la transaction et les donnes dauthentification de la carte ou du secure element . Deux dispositifs permettent cependant de limiter la rutilisation de donnes captures. Dune part, lauthentification dynamique, chaque transaction, de lapplication de paiement contenue sur la carte ou dans le tlphone mobile permet de scuriser la connexion entre le support sans contact et le terminal. Dautre part, lutilisation dun PAN ddi au mode sans contact (distinct du PAN de la carte de paiement lorsque celle-ci est utilise en mode contact ou en vente distance) pourrait garantir que cet identifiant ne puisse pas tre rutilis par dautres modes dacceptation sil venait tre intercept. Par ailleurs, concernant la communication entre les terminaux de paiement et les serveurs dacquisition et dautorisation, la rutilisation des infrastructures pour les cartes de paiement contact permet de bnficier des protections dj existantes. Activation de lapplication de paiement linsu du porteur Lutilisation dune interface sans contact rend possible ltablissement dun dialogue avec la carte ou le tlphone mobile du porteur sans son consentement. Ceci peut conduire diffrents types dactions dommageables pour chacun des supports utiliss. Cartes sans contact Le mode sans contact permet denvisager la ralisation de transactions linsu du porteur, notamment pour des transactions infrieures un seuil actuellement autour de 20-30 euros o le code PIN nest pas saisi ( tl-pickpocketing ). La limitation de la distance entre le support sans contact et le terminal rduit toutefois la possibilit dactiver un support sans contact avec un terminal frauduleux. LObservatoire recommandait nanmoins ds 2007 la mise en uvre de processus dactivation et dsactivation du mode sans contact afin de sassurer du consentement du porteur lors de chaque transaction. Lutilisation dtuis protecteurs visant bloquer les ondes radio et interdire tout accs lapplication de paiement en dehors des courts intervalles de paiement durant lesquels le payeur retirerait sa carte de ltui entre notamment dans ce cadre. Paiement sans contact par tlphone mobile Seule une fonction dactivation et de dsactivation de lapplication de paiement utilisant le clavier intgr du tlphone assurerait un niveau de scurit quivalent celui dcrit prcdemment pour les cartes sans contact. Concernant la scurisation de la remise zro des compteurs de transaction, le fait de saisir le code personnel pour rinitialiser ces compteurs permet de sassurer de lauthentification du porteur. La remise zro des compteurs distance par sa banque ncessite quant elle de prvoir un canal scuris entre le tlphone mobile et la banque (notamment si lenvoi dinformation se fait par SMS via loprateur tlphonique) et des contrles de flux stricts au niveau de la banque (contrle de la lgitimit des rinitialisations de compteurs, limitation en nombre sur une priode donne pour un tlphone donn).

16

Primary Account Number : donnes qui identifient lmetteur de la carte et le numro de la carte. 29

Observatoire de la scurit des cartes de paiement Rapport 2009

Vol du support sans contact La carte et le mobile sans contact sont sensibles au vol dans la mesure o, en labsence de saisie du code PIN (respectivement du code personnel) et de vrification en ligne de la validit de la carte (respectivement de lapplication de paiement du mobile), il est possible dutiliser un support vol pour des achats de petit montant. Toutefois, lexistence de seuils de montants maximaux pouvant tre pays sans contact permet de limiter le prjudice financier en cas de fraude. Linstallation de compteurs dans lapplication de paiement permet de calculer le montant cumul des oprations de petite valeur et dimposer au porteur de saisir son code PIN ou son code personnel avec son tlphone mobile pour les remettre zro. En outre, en cas de vol, la mise en opposition de la carte sans contact ou de lapplication de paiement du mobile doit permettre de faire cesser toute utilisation frauduleuse. Pour les tlphones mobiles, le blocage de lapplication peut se faire grce la technologie OTA17, qui permet la mise jour distance de lapplication. Attaques contre lapplication de paiement Dventuelles attaques peuvent tre menes contre lapplication de paiement, que celle-ci soit inscrite sur la puce dune carte ou contenue dans le secure element dun tlphone mobile. Si les cartes font aujourdhui lobjet dune certification scuritaire, la possibilit dattaques contre la puce contenant lapplication de paiement dans les tlphones mobiles souligne la ncessit dtablir un processus similaire pour les composants de cette puce, men par un tiers indpendant comme lavait recommand lObservatoire en 2007. Le niveau de scurit induit devrait permettre de sassurer que lapplication de paiement ainsi que les donnes quelle contient sont protges de faon adquate, et bnficient ce titre dun cloisonnement par rapport aux autres applications et dun accs restreint au cadre des transactions autorises. A cet gard, les standards de scurit tablis par exemple par le consortium GlobalPlatform pour les puces SIM permettent de sassurer de ce cloisonnement entre applications. De plus, les valuations scuritaires effectues dans le cadre du schma de certification national18 garantissent un haut niveau de scurit de ces applications ainsi que des composants utiliss. Le tlphone mobile peut en outre lui-mme tre expos des risques de transmission de logiciels malveillants (capture de donnes, simulation dapplication de paiement des fins de phishing , etc.) par des canaux de communication varis (Bluetooth, Wifi, GSM par exemple). On notera toutefois que les dmarches relatives la scurisation du paiement par mobile considrent ce dernier comme transparent en termes de scurit et visent protger les applications de paiement ainsi que leur seul support, sans reposer sur la scurit de lappareil en lui-mme. Enfin, les applications de paiement sans contact utilisant des secrets pouvant tre compromis dans les chanes de fabrication ou de personnalisation des composants, il apparat ncessaire que les diffrents acteurs de la montique appliquent au paiement sans contact les mmes rgles de gestion des secrets que pour les cartes de paiement fonctionnant en mode contact.

17

La technologie OTA ( Over The Air ) permet daccder aux donnes figurant sur la carte SIM distance et de mettre jour ces donnes de faon scurise. ANSSI Rapport 2009 Observatoire de la scurit des cartes de paiement

18

30

tat des lieux du paiement sans contact


Les initiatives en cours Le paiement sans contact sest dvelopp en France depuis 2007, passant de prototypes au lancement de projets pilotes voire la commercialisation de produits. Cartes sans contact Lessentiel de la commercialisation des cartes sans contact est le fait de la Socit des Paiements Pass (S2P). Celle-ci a dploy 2,5 millions de cartes Pass sans contact en 2009, acceptes dans les magasins Carrefour. Moneo, travers la socit BMS (Billettique Montique Services) a galement dvelopp des porte-monnaie lectroniques sous forme de cartes sans contact depuis 2006. 500 000 cartes sont dj en circulation, acceptes notamment dans les CROUS. Moneo a, en outre, dvelopp un nouveau mode de paiement sans contact, sous forme de cl USB sans contact (Smart Object Weneo/Moneo). Ce mode de paiement sans contact est dj expriment Bordeaux depuis 2009 et Toulon depuis fvrier 2010. Enfin, les cartes de paiement sans contact Visa Pay Wave et MasterCard PayPass ont galement t lances en test dans les villes de Caen et Strasbourg depuis septembre 2009. Ces cartes ne connaissent toutefois pour linstant quun dploiement limit (1 000 cartes mises). Paiement sans contact par tlphone mobile Le paiement sans contact par tlphone mobile est encore davantage, en 2010, au stade de lexprimentation que de la commercialisation. Moneo teste des solutions de paiement par porte-monnaie lectronique sur tlphone mobile. Le projet Nice Futur Campus prvoit ainsi le dploiement de 300 mobiles quips de la technologie NFC en 2010 qui feront office de carte tudiante virtuelle multiservices et qui permettront, notamment, de payer de petits montants. Le projet Pegasus, lanc en 2007 a quant lui permis de dfinir des spcifications permettant le fonctionnement dune application de paiement sur la carte SIM dun tlphone mobile. Ce projet associait banques, oprateurs de tlphonie mobile, constructeurs de terminaux et systmes de cartes internationaux. Des tests ont t mens dans ce cadre Caen et Strasbourg en 2007 et 2008. La continuit de ce projet, une plus grande chelle, est dsormais assure par linitiative Nice, Territoire dInnovation (cf. infra). Linitiative Nice, Territoire dInnovation Cette initiative est conue comme un test grandeur nature pour le dveloppement futur de la technologie sans contact sur carte et tlphone mobile. Elle regroupe les principaux oprateurs de tlphonie mobile, les banques, des prestataires techniques, ainsi que des collectivits locales et des entreprises. Les quelques trois mille tlphones quips de la technologie NFC19 et dploys au deuxime trimestre 2010 sur le territoire de Nice Cte dAzur permettront la
19

Technologie de communication par ondes radio sur trs courtes distances (quelques cms). 31

Observatoire de la scurit des cartes de paiement Rapport 2009

fois de raliser des paiements de proximit et daccder dautres services (transport, billetterie, carte de fidlit, contrle daccs, information). Ce projet vise galement servir de tremplin au mode de paiement sans contact par carte et dployer un rseau dacceptation de terminaux de paiement sans contact auprs des commerants. Limpact des volutions technologiques rcentes Cartes sans contact La majorit des cartes dployes aujourdhui a fait lobjet de spcifications techniques qui nont que peu volu depuis les dernires recommandations de lObservatoire. On notera cependant quelques initiatives visant introduire un clavier sur les cartes elles-mmes ou signaler au porteur lactivation ou non de sa carte. Ces projets permettraient aux cartes de bnficier de fonctionnalits rserves jusqu prsent aux tlphones mobiles, mais se heurtent encore des obstacles techniques, principalement lis lalimentation et lautonomie des cartes. Paiement sans contact par tlphone mobile Lutilisation accrue des tlphones mobiles ainsi que le dveloppement des fonctionnalits des smartphones accroissent les risques dattaques sur ce segment. Diffrentes mesures peuvent toutefois limiter leur impact : la mise en place de signatures des logiciels mobiles20 permet de diffrencier strictement lapplication de paiement des autres applications sur le mobile ; le filtrage des communications peut tre effectu, afin disoler celles destines lapplication de paiement ; des tudes sont galement en cours sur la mise en uvre de modes scuriss qui seraient dclenchs lors dun paiement sur mobile. Ces modes permettraient de protger linteraction du porteur avec lapplication de paiement, en sassurant notamment de lintgrit des donnes entres sur le clavier et affiches sur lcran du tlphone. Par ailleurs, ce mode de paiement introduit de nouveaux acteurs, les Trusted Service Managers (TSM), ce qui accrot dautant les flux dinformations et la ncessit de mettre en place des mesures de scurit propres assurer lintgrit et la confidentialit des donnes changes. Les TSM assurent en effet le lien entre les metteurs et les tlphones mobiles lors des oprations de personnalisation de lapplication de paiement (cycle de vie) ou de rinitialisation des compteurs. Ils se placent en tiers de confiance et se doivent donc de garantir le maintien dun haut niveau de scurit tout au long de ces oprations. Plus gnralement, les projets ou exprimentations en cours visent, avant tout dploiement de masse sur le territoire franais, affiner les spcifications techniques propres au paiement par tlphone mobile sans contact, notamment concernant la partie scuritaire. Dans cette optique, une convergence des travaux mens dune part par lAEPM21, dautre part par les rseaux internationaux (Visa, Mastercard) est actuellement en cours.

20

Il sagit des Cardlets pour les applications de paiement et des Midlets pour les interfaces entre le tlphone et lutilisateur. Les premires sont stockes dans le secure element , les secondes dans le tlphone mobile. Association Europenne Payez Mobile, cre en octobre 2008 et regroupant des banques et oprateurs de tlcommunications lorigine du paiement sans contact sur mobile en France. LAEPM assure la continuit du projet Pegasus. Rapport 2009 Observatoire de la scurit des cartes de paiement

21

32

Recommandations additionnelles formules par lObservatoire


En 2007, lObservatoire avait conclu que les risques spcifiques au paiement sans contact taient lis dune part lchange des donnes de la transaction par ondes radio, et dautre part, labsence de validation de la transaction en dessous de certains montants qui ne permet pas dauthentifier le porteur. Par consquent, lObservatoire avait mis deux axes de recommandations propos du paiement sans contact, savoir la possibilit dune part de mettre en place des mesures permettant de sassurer du consentement du porteur, et dautre part de garantir un niveau de scurit lev des composants et applications utiliss. En ce qui concerne les cartes sans contact, les recommandations de 2007 de lObservatoire ont t suivies par les metteurs. Pour les paiements sans contact par tlphone mobile, les projets et pilotes actuels prvoient daffiner les mcanismes scuritaires ncessaires au dploiement en masse. Il conviendra de sassurer que lensemble de ces mesures est galement mis en uvre lors de la commercialisation grande chelle de modes de paiement innovants sans contact. LObservatoire recommande en outre de poursuivre les tudes et la mise en uvre de pratiques scuritaires sur les cartes et les tlphones mobiles sans contact propres garantir un niveau de confiance lev dans ces instruments de paiement. Lutilisation dun PAN ddi au mode sans contact (distinct du PAN de la carte de paiement lorsque celle-ci est utilise en mode contact ou en vente distance) entre notamment dans ce cadre. Elle permettrait en effet de limiter les impacts potentiels dune rutilisation de cet identifiant sur dautres environnements en cas de compromission. Dans le cas des tlphones mobiles, lObservatoire prconise : la fourniture d'un code personnel de paiement diffrent du code PIN d'activation de la carte SIM, ainsi que du code confidentiel des cartes de paiement de l'utilisateur. Lorsque ce code personnel est modifiable par l'utilisateur, l'metteur bancaire doit lui recommander den utiliser un diffrent des autres codes en sa possession ; lutilisation de composants dont le niveau de scurit est au moins gal celui des puces utilises dans les cartes en mode contact ; que les acteurs concerns tudient la possibilit de renforcer la protection de linteraction du porteur avec lapplication de paiement sur le tlphone mobile ; que les acteurs impliqus dans lensemble des oprations lies au paiement sans contact par tlphone mobile (paiement lui-mme, mais galement personnalisation/mise jour des applications et remise zro des compteurs de transactions distance) mettent en uvre des mesures de protection cryptographiques garantissant lintgrit et la confidentialit des donnes changes entre les systmes. Concernant les cartes sans contact, il conviendra pour les metteurs de poursuivre ltude de solutions simples permettant dactiver et dsactiver le mode de paiement sans contact, limage des tuis protecteurs existants.

Observatoire de la scurit des cartes de paiement Rapport 2009

33

LObservatoire continuera exercer une veille technologique sur ces solutions de paiement innovantes afin de tenir compte de la finalisation de leurs spcifications et de leurs dveloppements par les professionnels.

32 Scurit du paiement distance par courrier et tlphone


La forte croissance de la vente distance ces dernires annes saccompagne dun net accroissement des paiements par carte distance. Toutefois, lobservation des flux tant du commerce lectronique sur Internet, que de la vente par correspondance ou par tlphone22 montre des volutions contrastes. En 2008, la croissance des paiements par carte sur Internet se poursuivait tandis que les paiements par carte par courrier ou tlphone ( Mail order/Telephone order - MO/TO) taient en diminution sensible, sans doute en raison de lusage croissant dInternet pour la vente par correspondance. Ainsi, 109 millions de paiements par carte reus par courrier ou par tlphone ont t enregistrs en 2008, reprsentant prs de 10 milliards deuros (environ 2 % de la valeur des transactions nationales). Le paiement distance par courrier et tlphone rpond certains besoins prcis des consommateurs et des commerants. Les coupons de vente distance par courrier sont en particulier utiliss pour des abonnements des journaux et pour la vente par correspondance, notamment par des porteurs ne disposant pas dun accs Internet. Le paiement distance par tlphone correspond souvent des transactions urgentes, comme la rservation de chambres dhtel, de spectacles ou de taxis. LObservatoire a constat ces dernires annes un taux de fraude bien plus lev sur les paiements distance que sur les paiements de proximit et sur automate. Le rapport de 2008 a permis de faire le point des mesures de scurit mises en uvre pour les paiements par carte raliss par Internet. Lobjet de la prsente fiche est danalyser les questions de scurit des paiements distance par courrier et tlphone.

Les mesures de scurit appliques au paiement distance par courrier et tlphone


Dans lanalyse des questions de scurit du paiement distance, il convient de distinguer : dune part, la protection des donnes de carte (numro, date dexpiration, cryptogramme visuel) reues au travers du canal de communication et qui sont ensuite utilises dans lenvironnement du commerant, puis de sa banque, voire dans celui de tout prestataire technique auquel lun ou lautre pourrait avoir recours. Ces donnes, si elles venaient tre rcupres par un fraudeur23, pourraient tre rutilises en vue de raliser un paiement frauduleux. Cest la raison pour laquelle la protection de ces donnes, tant lors de leur transmission sur les canaux servant leur change (informatique, courrier, Internet), que lors de leur utilisation et de leur ventuelle conservation, est cruciale. Il existe un certain nombre de prconisations rglementaires, poses par la CNIL en France, ou professionnelles notamment les standards PCI DSS des rseaux de carte internationaux Visa et MasterCard. Cette question fait lobjet dans le prsent rapport dune tude particulire au titre du suivi des politiques de scurit des metteurs et des accepteurs. En consquence, la prsente fiche ne traite pas de ce sujet ; dautre part, la lutte contre la ralisation de paiements frauduleux distance avec des donnes de carte usurpes, quel que soit le moyen ayant permis cette usurpation (vol de la
22

Le paiement par tlphone qui est vis ici sentend comme celui qui est effectu par simple appel tlphonique et non par change de donnes comme cela commence apparatre avec des solutions innovantes (paiement mobile). On parle dans ce cas de compromission des donnes. Rapport 2009 Observatoire de la scurit des cartes de paiement

23

34

carte, copie des donnes, moulinage, etc.). Cest ce phnomne quillustrent les chiffres de fraude calculs par lObservatoire. Pour 2008, il a t relev un accroissement du taux de fraude pour les paiements par carte par courrier et tlphone : celui-ci tait en effet de 0,280 % contre 0,201 % lanne prcdente. Pour la premire fois en 2008, le taux de fraude national pour le canal MO/TO dpassait le taux de fraude sur Internet. La ralisation de la fraude en paiement par courrier et par tlphone pose la question de la dtection des transactions suspectes et de la vrification que lacheteur est bien le porteur lgitime de la carte. La prsente fiche vise dcrire lensemble des mesures mises en uvre en la matire. Les diffrentes tapes du paiement distance par courrier et tlphone sont prsentes dans lencadr ci-dessous : Encadr 7 Principes du paiement distance par courrier et tlphone

Canal

Porteur

Le porteur remplit et poste un coupon dachat. Celui-ci inclut notamment le nom du porteur, le numro de la carte, sa date dexpiration et le code CVx2. La Poste transmet le courrier, gnralement un prestataire, qui assure la saisie de la commande et des donnes du paiement et transmet ces dernires lacqureur. Certaines de ces donnes sont galement conserves.

Le porteur appelle le numro fourni par le commerant, et paye en indiquant un oprateur ou un serveur vocal les mmes informations. Un oprateur ou un serveur vocal, gnralement fourni par un prestataire du commerant, reoit les donnes du paiement et les transmet lacqureur. Certaines de ces donnes sont galement conserves.

Commerant (ou prestataire)

Acqureur

Lacqureur reoit lordre lectronique de paiement et le transmet la banque mettrice. La banque mettrice reoit lordre de paiement, fait les vrifications ncessaires puis autorise la transaction.

Banque mettrice

La protection des donnes de paiement par le commerant fait lobjet de prescriptions des standards PCI DSS24 et est hors du champ de cette tude.

24

Ces standards sont tablis par conjointement par American Express, Discover Financial Services, JCB International, MasterCard Worldwide, et Visa, Inc. 35

Observatoire de la scurit des cartes de paiement Rapport 2009

Les solutions de scurit


Le groupe Veille technologique a examin les diffrentes solutions qui permettent de sassurer de lauthenticit du paiement distance par courrier et tlphone. Les procdures de dtection de transactions suspectes mises en uvre par les commerants consistent croiser un certain nombre dindications et de paramtres relatifs au bien ou au service achet, lacheteur, ses donnes de paiement ou encore ladresse de livraison. Elles permettent par la technique du faisceau dindices, de donner au commerant une assurance plus ou moins grande que la transaction ne prsente pas le risque dtre paye de faon frauduleuse. De telles procdures existent pour les paiements par Internet ; elles sont adaptes au canal de communication utilis dans le cas des paiements par carte effectus par courrier ou par tlphone. Certains acteurs traditionnels de la vente par correspondance disposent dune expertise reconnue dans la mise en uvre de ce type de procdure et peuvent ainsi russir faire chec des tentatives de fraude. Toutefois, tous les commerants ne disposent pas de telles procdures, notamment parce que celles-ci supposent gnralement des moyens humains ou techniques relativement coteux. Les commerants peuvent recourir des services dassurance pour se protger de la fraude. Sauf sappuyer sur des procdures de dtection de transactions suspectes, de tels services ne sont pas couverts ici. La vrification du cryptogramme visuel, qui a t introduit pour les cartes de type interbancaire il y a plusieurs annes25, permet de donner une meilleure assurance que lacheteur tait normalement en possession de la carte dont le numro et la date dexpiration sont utiliss pour payer. La vrification de ce cryptogramme est impose par les systmes de paiement par carte lensemble des commerants acceptant en France des paiements distance. Tout en ayant prouv son utilit, cette protection na pas limin tout risque de fraude dans la mesure o certains fraudeurs peuvent avoir dtourn cette information en mme temps que les autres donnes de la carte (par exemple lorsque la carte a t perdue ou vole). La gnration alatoire dun code usage unique, comme cela commence tre utilis pour le paiement par carte sur Internet, a galement t examine par le groupe Veille technologique. Le code usage unique sert au porteur sauthentifier comme le porteur lgitime auprs du commerant. Contrairement au canal Internet qui permet des vrifications informatiques, il peut tre difficile dutiliser de tels codes pour les canaux MO/TO. Il conviendrait en effet dempcher lutilisation abusive de ce code usage unique, par exemple par un employ indlicat. A ce stade, il est difficile dimaginer pouvoir lemployer pour le paiement par carte envoy par courrier. Les paiements par tlphone sur un serveur vocal, tant excuts dans un environnement informatis, pourraient offrir une meilleure garantie de protection. Le groupe Veille technologique marque nanmoins ses rserves quant la possibilit de mettre en place ce type de solution de manire correctement scurise. Le groupe Veille technologique note que les solutions en place permettent au commerant dviter un certain nombre de tentatives de fraude, mais quelles ne peuvent en tant que telles permettre dauthentifier lacheteur comme porteur lgitime dune carte. Lexposition la fraude risque donc de rester leve et le groupe Veille technologique suggre que ce type de paiement soit employ avec prcaution. Il propose de formuler un certain nombre de conseils et de bonnes pratiques pour les porteurs et pour les commerants utilisant ce type de paiement.

25

Voir rapport annuel 2004 de lObservatoire de la scurit des cartes de paiement. Rapport 2009 Observatoire de la scurit des cartes de paiement

36

Conclusion et propositions de recommandations


Pour la scurit des paiements par carte, par courrier, ou par tlphone, le groupe Veille technologique note limportance dun comportement prudent tant de la part des commerants que de la part des porteurs. Pour les commerants, lObservatoire recommande en particulier les bonnes pratiques suivantes : chaque fois que cela est possible pour la vente distance, le commerant devrait privilgier la ralisation du paiement au travers dun canal informatis comme lInternet plutt que par courrier ou par tlphone, afin de mieux pouvoir authentifier le porteur de la carte ; le commerant recueillant des paiements par courrier ou tlphone est appel tre vigilant quant aux mesures de scurit quil applique, notamment sil vend des biens ou des services particulirement priss par les fraudeurs. Il peut par exemple tre attentif la cohrence des informations fournies par lacheteur (contrle de ladresse de livraison par exemple). Il est invit se rapprocher de son prestataire de services de paiement et de sa fdration professionnelle pour disposer des conseils les plus jour ; lattention des commerants est rappele sur le caractre obligatoire du recueil et de la vrification du cryptogramme visuel lorsque celui-ci existe et que le systme de paiement par carte le requiert ; avant de conclure la vente, notamment pour les transactions de montant lev, il est conseill au commerant de procder auprs du porteur quelques vrifications destines sassurer quil est bien linitiateur du paiement, par exemple en lappelant pour confirmation de sa commande. Au moment de la livraison ou du retrait, il peut veiller ce que la personne qui prend possession du bien ou du service y est bien habilite ; les commerants sont incits ne pas conserver de donnes sensibles ds lors que celles-ci ne leur sont plus utiles. Pour les porteurs, lObservatoire recommande en particulier les bonnes pratiques suivantes : avant de transmettre leurs donnes de carte par courrier ou par tlphone, les porteurs de carte doivent sassurer quils sont en relation avec un commerant lgitime. Il convient en particulier dtre vigilant lencontre de tentatives descroqueries, menes par des fraudeurs qui tenteraient dobtenir les donnes de la carte contre promesse par exemple dun bien ou dun service qui ne serait jamais livr ; avant de choisir de transmettre leurs donnes de carte par courrier ou par tlphone, les porteurs de carte doivent sassurer davoir correctement pris connaissance des conditions contractuelles prvues pour le paiement. En particulier, il convient avant dautoriser le paiement de vrifier si le contrat prvoit que des dbits pourront tre effectus de faon rcurrente par le commerant ; aprs leur paiement, les porteurs de cartes sont invits vrifier sur leur relev de compte que le montant des dbits correspond bien aux achats autoriss. Il est rappel que la loi protge le porteur en cas dutilisation frauduleuse de sa carte ou des donnes de celle-ci ; les porteurs doivent veiller ne jamais transmettre leur code confidentiel (PIN) par courrier ou tlphone.

Observatoire de la scurit des cartes de paiement Rapport 2009

37

33 Scurit des nouveaux terminaux de paiement lgers


Les terminaux de paiement qui sont aujourdhui dploys sont des matriels sophistiqus permettant de raliser de nombreux contrles montiques afin de vrifier lauthenticit de la carte et du porteur. Lorsquils interagissent avec la puce dune carte de paiement, ils mettent en jeu des mcanismes de contrles cryptographiques complexes, et indiquent si la carte est valide et si le porteur est bien le titulaire de celle-ci. Historiquement, le dveloppement de ces fonctions de contrle sur les terminaux placs en magasin sexplique par le cot autrefois lev des communications tlphoniques quil aurait fallu raliser entre le terminal et les sites informatiques des banques. Le dveloppement considrable des rseaux tlphoniques depuis plus de dix ans modifie petit petit cet quilibre. Le haut dbit Internet stant gnralis, il devient concevable de ne plus effectuer en local , cest--dire sur le terminal lui-mme, certains des contrles, mais de raliser ceux-ci par tlcommunication, de manire dporte, sur un serveur distant. Ce concept nouveau vise simplifier les fonctions de scurit du terminal, do le nom de terminal lger qui lui est donn, de manire en rduire les cots et contraintes de fabrication puis de dploiement, voire de maintenance. Ce concept rcent ne connat pas encore dapplication concrte mme sil fait lobjet de travaux dtude, voire de premiers pilotes26. Dans le contexte de louverture du march des services de paiement de nouveaux oprateurs susceptibles doffrir des services dacquisition de transactions de paiement par carte, lObservatoire a souhait analyser le fonctionnement dun terminal lger , afin de mesurer dans quelles conditions de scurit celui-ci pourrait tre mis en uvre.

Les caractristiques scuritaires des terminaux de paiement lgers


Le concept de terminal de paiement lger consiste faire excuter la majeure partie des fonctions de scurit, non plus sur le terminal lui-mme, mais sur un serveur distant auquel il est connect en permanence. Par rapport au mode de fonctionnement dun terminal classique, lui aussi connect pour la collecte, le plus souvent journalire, des transactions acceptes et pour lenvoi des demandes dautorisation, le changement principal consiste faire raliser distance des contrles cryptographiques destins vrifier lauthenticit de la carte et du porteur. Ceci permet dallger certains composants du terminal afin de diminuer les cots. Cela offre galement lavantage de faciliter la gestion des changements applicatifs qui peuvent tre effectus de manire centralise, soit par une mise jour sur le serveur, soit par la mise jour des terminaux commande en une fois depuis le serveur. Cette rpartition des lments applicatifs permet aussi une administration distance avec une gestion de paramtres diffrencis selon les points dacceptation ou les pays dans lesquels ils se situent.

26

Lors des travaux conduits par le groupe Veille technologique, plusieurs annonces ont galement t faites pour ajouter un lecteur de cartes de paiement sur des tlphones quips dun clavier et disposant dune connexion Internet ( smartphones ), afin de leur faire jouer le rle dun terminal de paiement. Ce type dquipement pourrait tre ds lors apparent un terminal lger . Rapport 2009 Observatoire de la scurit des cartes de paiement

38

Encadr 8 Principes du paiement distance par courrier et tlphone

Systme de paiement par carte X

Terminal de paiement lger connect

Serveur de contrle montique Serveurs dacquisition des autorisations et des tlcollectes

Un terminal de paiement lger , install chez un commerant, est raccord via un rseau de communication, un serveur de contrle montique (situ chez le commerant ou lextrieur, chez un prestataire par exemple), gnralement gr par le fournisseur du terminal lger . Cest ce serveur qui reoit les donnes correspondant au paiement effectu et lauthentification du porteur. Aprs validation du paiement, il assure la suite de la liaison avec les habituels quipements dacquisition, dautorisation des participants aux systmes de paiement par carte. Le terminal de paiement lger est donc en permanence en communication avec le serveur de contrle montique.

Les solutions de scurit


Les terminaux de paiement classiques dploys aujourdhui assurent plusieurs fonctions de scurit. Il peut sagir de contrles raliss en local par le terminal lui-mme, ou distance , en connexion avec les serveurs dautorisation des banques27. Lexcution de ces contrles est guide par des rgles de gestion de risques dpendant du type de carte et de limportance de la transaction : en local, un terminal classique vrifie, par des dialogues cryptographiques, les lments scuriss inscrits sur la puce de la carte. A linsertion de la carte, une premire srie de contrles permet de sassurer de lauthenticit de celle-ci. Ensuite, la saisie du code confidentiel (PIN) sur le clavier du terminal entrane une srie de vrifications, et notamment celle de ce code, par confrontation avec celui inscrit de manire scurise dans la puce de la carte. Le terminal contient galement des fichiers de numros de cartes en opposition afin de les rejeter ; connect au serveur dautorisation, le terminal peut effectuer une demande dautorisation visant obtenir la validation de la transaction par la banque mettrice. Les donnes transmises sont celles de la transaction (montant, numro de la carte, date dexpiration, CVX, numro didentification du commerant). La validation de la transaction se fonde sur un contrle de la validit de la carte et sur la vrification ventuelle de lexistence dune provision au compte. Pour les transactions valides, le terminal ralise le fichier de tlcollecte de manire scelle, ce qui permet de sassurer de son intgrit lorsque celui-ci est transmis en fin de journe au serveur acqureur. En comparaison, un terminal lger a, par principe, vocation effectuer un minimum de contrles, les autres tant alors pris en charge par le serveur. Parmi les contrles habituellement effectus en local par un terminal classique, il est envisageable que soient raliss sur le serveur de contrle montique : lapplication des rgles de gestion de risque gouvernant les contrles raliser pour une carte ;
27

En anglais les premiers sont appels off-line et les seconds on-line . 39

Observatoire de la scurit des cartes de paiement Rapport 2009

le contrle de la validit de la cl dauthentification de la carte. Dans cette hypothse, il serait ncessaire de protger les donnes transmises sur le rseau de communication entre le terminal et le serveur de contrle montique ; le contrle de linscription de la carte sur des fichiers dopposition ; la confection des demandes dautorisation et des fichiers de transactions qui sont transmis aux serveurs dacquisition. En revanche, la vrification du code PIN na pas vocation tre dporte sur le serveur de contrle montique. Le terminal lger garde une sensibilit face aux risques de dtournements (captation du code PIN ou prise de contrle du flux, voire risque dentre dans le rseau). Mais la sensibilit des autres quipements est galement modifie. Le serveur de contrle montique devient un lment sensible dans la chane de transmission et de traitement des donnes. Il devient, par ailleurs, un quipement impliqu directement dans les oprations de gestion et de maintenance distance des terminaux puisquil centralise les mises jour de programmes effectuer. De plus, la protection des flux de donnes qui sont changs, dans un premier temps, entre le terminal lger et le serveur de contrle montique, puis entre ce mme serveur de contrle montique et le serveur dacquisition, devient cruciale. En consquence, un certain nombre de mesures de scurit sont requises pour assurer la confidentialit, lintgrit et la disponibilit des donnes : le serveur de contrle montique et le terminal lger doivent tre protgs de faon viter la compromission de donnes ou la prise de contrle du flux. Il est pour cela ncessaire de sassurer de lauthenticit et de lintgrit physique et logique de ces dispositifs ; les systmes dexploitation des quipements ainsi que les applications installes doivent tre maintenus ltat de lart afin de garantir leur scurit, et notamment leur intgrit ; les flux de donnes entre le terminal lger et le serveur de contrle montique doivent tre protgs pour garantir lauthenticit et la confidentialit des donnes changes. Les mesures dployes doivent tre adaptes selon que le serveur de contrle montique est situ chez le commerant ou chez son prestataire. Dans ce dernier cas, et notamment en raison de lusage de rseaux le plus souvent ouverts28, une scurisation accrue des flux changs est souhaitable. Par ailleurs, le terminal lger devant tre en permanence en communication avec le serveur de contrle montique, il convient de sassurer que les rseaux employs sont configurs afin de garantir la disponibilit des donnes changes ; il en va de mme pour les changes de donnes entre le serveur de contrle montique et le serveur dacquisition. A titre dexemple, ceux-ci peuvent tre raliss par le chiffrement des donnes et par lutilisation de rseaux privs virtuels (VPN Virtual private Network) ou dun protocole de scurisation de type SSLv3 ou quivalent29. Par ailleurs, les exigences scuritaires des systmes de paiement par carte doivent tre adaptes larchitecture des terminaux lgers afin de ne pas dgrader le niveau de protection actuel du dialogue entre la puce et le terminal et des donnes traites par les dispositifs.

28

Cf. Rapport annuel 2006 de lObservatoire, Utilisation de rseaux ouverts dans lenvironnement des cartes de paiement, pp. 25 30. Cf. Rapport annuel 2006 de lObservatoire, Utilisation de rseaux ouverts dans lenvironnement des cartes de paiement. Rapport 2009 Observatoire de la scurit des cartes de paiement

29

40

Les changements applicatifs pouvant tre raliss de manire centralise, il devient possible de les mettre jour dans un dlai trs bref, ce qui permettrait, en cas de dfaillance de la scurit, dintervenir au plus vite.

Conclusion et propositions de recommandations


Les terminaux lgers sont encore au stade dtude, ce qui ne permet pas de dcrire les fonctionnalits exactes dont ils disposeront. Toutefois, les pilotes en cours de prparation et lintrt existant autour de la gestion distance de parcs de terminaux laissent penser que ces nouveaux dispositifs seront amens se dvelopper dans les prochaines annes. Dans ce contexte, lObservatoire sest attach analyser le fonctionnement qui pourrait tre celui dun terminal lger , et examiner les mesures de scurit qui pourraient tre mises en uvre. LObservatoire note ainsi quil est envisageable que la majorit des contrles raliss par un terminal classique lors du paiement par carte puissent tre dports sur un serveur de contrle montique distant, la vrification du PIN ayant toutefois vocation seffectuer au niveau du terminal lger . Celui-ci demeure donc un lment sensible de la chane de paiement, mais le serveur de contrle montique en devient galement un. De plus, la protection des flux de donnes changs entre le terminal lger et ce serveur devient cruciale. LObservatoire a en consquence identifi un certain nombre de mesures de scurit pour assurer la confidentialit, lintgrit et la disponibilit des donnes sensibles du paiement par carte. Ces mesures concernent notamment la protection du serveur de contrle montique et celle du terminal lger , ainsi que les flux changs entre ces diffrents quipements. LObservatoire recommande aux acteurs qui mettraient en uvre des architectures montiques utilisant des terminaux lgers de veiller appliquer de telles mesures. Il recommande par ailleurs que les exigences scuritaires des systmes de paiement par carte soient adaptes larchitecture des terminaux lgers afin de conserver le niveau de protection actuel du dialogue entre la puce et le terminal et des donnes traites par les dispositifs.

34 tat davancement de la migration EMV


La mise en uvre en Europe des spcifications EMV ( Europay, Mastercard, Visa ) pour carte puce reprsente un enjeu majeur dans la lutte contre la fraude transfrontalire. Elle concerne non seulement les cartes elles-mmes, mais aussi leurs dispositifs dacceptation (terminaux, automates de paiement et de retrait) quil convient de migrer aux nouvelles spcifications pour pouvoir bnficier dun niveau de protection gal partout en Europe. Comme il le fait depuis cinq ans de faon mesurer lavancement de la migration EMV, lObservatoire a de nouveau recueilli auprs du Groupement des Cartes Bancaires CB et de lEPC des statistiques relatives cette migration en France et en Europe. Ces chiffres montrent que la migration est en cours partout en Europe, avec une progression correcte dans la plupart des pays, globalement en ligne avec lengagement des banques europennes au sein de lEPC davoir achev cette migration dici fin dcembre 2010. LObservatoire sinquite cependant des disparits persistantes dans la progression de la migration, qui sont susceptibles de laisser perdurer une fraude transfrontalire europenne significative.

tat de la migration en France


En France, la migration au standard EMV est quasiment termine. Fin mars 2010, selon les statistiques tablies par le Groupement des Cartes Bancaires CB , 100 % des cartes CB , 99,8 % des terminaux et automates, et 100 % des distributeurs automatiques de billets taient
Observatoire de la scurit des cartes de paiement Rapport 2009 41

conformes aux spcifications EMV. Le 0,2 % restant de terminaux et automates, peu utiliss, seront migrs lors de leur remplacement normal.

tat de la migration en Europe


Au niveau europen, selon les chiffres fournis par lEPC et arrts fin mars 2010, 69,8 % des cartes interbancaires circulant au sein des 27 tats membres de lUnion europenne sont maintenant conformes la spcification EMV (+ 2,3 points par rapport mars 2009). Pays par pays, la situation reste contraste (voir Encadr 9). Alors que la mise en conformit aux rgles dinteroprabilit de SEPA a commenc depuis dbut 2008, la migration EMV de plusieurs pays est soit peine dbute (Bulgarie), soit reste peu avance (Espagne, Hongrie). Encadr 9 Dploiement des cartes EMV en Europe

97% 92% 86% 100% 100% 100% 100% 78% 88% 100% 65% 92% 72% 26% 31% 85% 31%
Source : European Payments Council mars 2010

84%

90% 91% 82%

65% 31% 36% 2%

100%

Par rapport lan dernier, on constate une progression gnrale de la migration des cartes au standard EMV. Toutefois, plusieurs pays dbutent peine leur migration, comme la Bulgarie et la Pologne, ou sont peu avancs, comme lEspagne, et la Hongrie. Le dploiement des cartes EMV reste plus lev dans les pays du Nord de lEurope.

42

Rapport 2009 Observatoire de la scurit des cartes de paiement

Concernant lacquisition, la migration vers EMV progresse sensiblement : fin mars 2010 80,0 % des terminaux de paiement (voir Encadr 10) et 94,4 % des distributeurs automatiques de billets (voir Encadr 11) sont conformes EMV (soit une progression de 4 points pour les terminaux de paiement et de 2,4 points pour les distributeurs automatiques de billets par rapport mars 2009). La situation reste trs contraste pays par pays, tant en taux dquipement quen progression dune anne sur lautre. Encadr 10 Dploiement des terminaux et automates EMV en Europe

56%

49%

93% 89% 45%

100% 96% 100% 100% 100% 65% 10% 100% 99,8% 85% 86% 92% 87% 63% 80%

99% 85% 82% 43%

61% 80% 99%


Source : European Payments Council mars 2010

La tendance observe pour les terminaux et les automates est linverse de celle constate pour le dploiement des cartes : la migration des terminaux est globalement plus rapide dans les pays du Sud de lEurope, qui sont les rgions les plus touristiques et donc les plus susceptibles denregistrer des volumes levs de transactions transfrontalires. La situation volue toujours peu en Allemagne par rapport mars 2008, ce pays restant un faible niveau dquipement. La migration a en revanche progress en Sude et aux Pays-Bas. Les pays en fin de migration peuvent rencontrer des difficults remplacer une dernire frange de systmes dacceptation, qui sont peu ou trs ponctuellement utiliss.

Observatoire de la scurit des cartes de paiement Rapport 2009

43

Encadr 11 Dploiement des distributeurs de billets EMV en Europe

100%

100% 100% 90% 100% 100% 100% 100% 90% 44%

100% 52% 39%

100% 77% 100% 98%

100% 100% % 98% 91%

98% 93%

98% 97%

67% 57%
Source : European Payments Council mars 2010

La progression de la migration des distributeurs de billets est plus homogne dans les diffrents pays europens et les taux de migration sont globalement plus levs que pour les cartes et les terminaux. Il subsiste toutefois quelques disparits. Les pays en cours de migration de leur parc de distributeurs automatiques de billets au standard EMV ont probablement choisi de migrer en priorit les automates utiliss par les touristes et les visiteurs trangers. LItalie reste lgrement en de des niveaux de dploiement des autres grands pays mais son niveau dquipement sest encore amlior depuis mars 2009.

44

Rapport 2009 Observatoire de la scurit des cartes de paiement

4 PERCEPTION PAR LES PORTEURS DE LA SCURIT DES CARTES DE PAIEMENT


Dans la continuit du sondage effectu en 2007, lObservatoire a souhait actualiser les donnes collectes relatives la perception de la scurit des cartes de paiement par les porteurs. Dans la ligne des recommandations effectues par la Banque de France quant la scurisation des oprations sensibles en ligne, ltude mene cette anne porte une attention plus particulire la perception de la scurit des paiements en ligne et aux ractions lies lutilisation de dispositifs de scurisation. Dans cette perspective, lObservatoire a fait procder deux tudes, lune quantitative et lautre qualitative, menes respectivement par linstitut CSA et linstitut LH2. La premire a t conduite auprs dun chantillon reprsentatif de 1 010 personnes ges de 18 74 ans rsidant en France mtropolitaine, contactes par tlphone du 8 au 15 fvrier 201030. La seconde, qui a port plus particulirement sur la perception de la scurit des paiements en ligne et laccueil port cinq dispositifs dauthentification non rejouable31, tait constitue dentretiens individuels semi-directifs raliss avec 40 personnes ges de 18 65 ans32.

41 Les rsultats de ltude sur la perception de la scurit des cartes de paiement par les porteurs confirment les tendances observes en 2007
Un quipement stabilis mais des usages qui sintensifient, notamment pour les paiements sur Internet
Une trs large majorit des personnes interroges, 9 personnes sur 10, dtient aujourdhui au moins une carte de paiement ou de retrait. La raison principale qui motive le fait de ne pas dtenir de carte est labsence de besoin, exprime par 5 % des Franais. Mais seul 1,5 % de la population dclare ne pas possder de carte pour des raisons de scurit. Lusage de la carte en France est totalement banalis puisque 8 porteurs sur 10 lutilisent chaque fois que cela est possible ou presque. Par rapport 2007, lusage de la carte en France est en lgre progression pour les paiements sur automates et chez les commerants.

30

Lchantillon a t construit selon la mthode des quotas qui portaient sur le sexe, lge, le statut professionnel et la profession des personnes interroges, ainsi que sur la taille dagglomration et la rgion dhabitation. Le sondage a t prcd dune phase qualitative qui a consist runir, Paris et en province, plusieurs groupes de porteurs prsentant chacun des comportements similaires en termes dusages de leurs cartes. Un dispositif dauthentification non rejouable associ un moyen de paiement repose sur lutilisation de codes usage unique, cest--dire utilisables pour la protection dune seule transaction, permettant dauthentifier de manire renforce un porteur ou usager lgitime de ce moyen de paiement. Les critres principaux qui ont servi structurer lchantillon sont : la frquence des pratiques de paiement en ligne, le fait dutiliser ou non un dispositif de scurisation, ainsi que des paramtres assurant une bonne reprsentativit dans le cadre dune tude qualitative (rpartition hommes/femmes, tranches dge concernes, statut professionnel, usage dInternet, localisation Paris/province). La dure de chaque entretien a t denviron 1h15 1h30. 45

31

32

Observatoire de la scurit des cartes de paiement Rapport 2009

En revanche, on constate une assez forte progression de lutilisation de la carte pour les paiements sur Internet par rapport la prcdente tude. En effet, en 2010 un Franais sur deux effectue des achats en ligne avec sa carte bancaire contre 38 % en 2007. Comme en 2007, des rticences dans lutilisation de la carte de paiement subsistent toutefois pour les paiements ltranger : 34 % des voyageurs en Europe et 41 % des voyageurs hors Europe neffectuent jamais de retrait ltranger. Ainsi, 13 % des porteurs de cartes voyageant ltranger ne lutilisent jamais (ni pour un retrait, ni pour un paiement).

Lutilisation des cartes est perue comme sre par la grande majorit des porteurs
Plus des trois quarts des porteurs de cartes de paiement (77 %) considrent que lutilisation de la carte reste sre, mme si ce pourcentage est lgrement en baisse depuis 2007 (3 points). Un tiers des personnes interroges considre que les cartes de paiement permettent de raliser des achats avec le moins de risques. Les personnes qui peroivent la carte comme tant le moyen de paiement le plus sr sont principalement les personnes ges de plus de 65 ans, les retraits, les personnes ayant au moins un niveau dtudes secondaires ainsi que celles vivant en couple ou voyageant en Europe. Malgr tout, il subsiste un dcalage entre lopinion globale que les porteurs expriment au sujet de la scurit des cartes et le sentiment ressenti en situation dutilisation. En effet, prs de 46 % des Franais dclarent avoir limpression de prendre tout de mme un risque lors dun paiement par carte.

Des paiements par carte perus comme plus srs chez les commerants en France que sur Internet ou ltranger
Les oprations ralises en France sont perues comme tant les plus sres. En particulier, le paiement chez un commerant en France est lopration juge comme tant la plus sre, avec 94 % dopinions en ce sens. Les craintes concernant les paiements par courrier ou tlphone sont plus importantes en 2010 quen 2007 puisque seuls 25 % des porteurs, contre 32 % en 2007, pensent que payer par courrier ou tlphone est sr. De mme, la perception du risque sest accentue pour les paiements chez les commerants ltranger : 51% des porteurs, contre 57 % en 2007, considrent que payer chez un commerant ltranger est une opration sre. Les paiements sur Internet sont, eux, perus comme risqus, en France comme ltranger. Lorsque le site est franais, seule la moiti des porteurs de carte juge les paiements sur un tel site comme tant srs. Cette perception du risque est nettement plus importante lorsque le site est tranger ou en langue trangre puisque seul un dtenteur de carte sur 10 peroit ces paiements comme tant scuriss. De mme quen 2007, 44 % des utilisateurs de carte ont dj utilis un autre moyen de paiement que la carte en raison de leur perception du risque. Pour 37 % de ces personnes, il sagissait de paiements sur Internet.

46

Rapport 2009 Observatoire de la scurit des cartes de paiement

Les rflexes de scurit sont bien intgrs mais linformation des porteurs sur les actions mener en cas de fraude reste amliorer
Mme si les trois quarts des utilisateurs de cartes, contre 66 % en 2007, considrent que les tablissements financiers sont les mieux placs pour amliorer la scurit des cartes, 76 % dentre eux pensent avoir galement un rle jouer pour viter les fraudes. Cette proportion tend progresser depuis 2007 (72 %), ce qui tmoigne de lavance de lappropriation des rflexes de scurit. La majorit des porteurs de cartes prend systmatiquement des prcautions pour viter les risques lis lutilisation de la carte. Les pratiques les plus rpandues consistent en la vrification de la scurisation du site sur Internet33, ladoption dune attitude de discrtion lors de lentre du code PIN chez un commerant ou la vrification du montant affich avant de valider le paiement. Toutefois, cette vigilance pourrait tre accrue si les consommateurs taient mieux informs sur les risques et les mesures adopter en cas de fraude. En effet, 4 utilisateurs de carte sur 10 prtent encore leur carte leur entourage, mme si ce comportement sest attnu depuis 2007 (5 sur 10). Mme si la proportion de personnes qui pensent tre responsables en cas dutilisation frauduleuse de leur carte si celle-ci est encore en leur possession a baiss (19 % en 2010 contre 25 % en 2007), le dlai pendant lequel il est possible deffectuer une opposition reste encore largement mconnu. 59 % des utilisateurs lestiment 10 jours ou moins et seuls 4 % ont t informs de lallongement de ce dlai sous certaines conditions, conformment aux dispositions prvues par la Directive europenne sur les services de paiement.

Lexposition directe ou indirecte la fraude na pas dinfluence significative sur les comportements des utilisateurs
Lexposition la fraude des porteurs de carte reste du mme ordre quen 2007 : 13 % dclarent avoir dj t eux-mmes victimes de fraude et 18 % ont t exposs la fraude de manire indirecte. La principale source de fraude rapporte est lie au paiement sur Internet (27 % des cas rapports). Limpact de lexposition la fraude est assez limit quoique plus important quen 2007 puisque presque la moiti des victimes de fraude (45 % contre 37 % en 2007) dclarent avoir diminu lutilisation de leur carte suite la fraude. Aprs une fraude, les utilisateurs restent tout de mme confiants vis--vis de leur carte : 63 % des personnes exposes directement la fraude disent que lutilisation de leur carte est sre, contre 77 % de manire gnrale. En revanche, lexposition indirecte la fraude na pas dimpact sur la perception de la scurit des cartes.

33

En vrifiant notamment la prsence de pages chiffres lors dun paiement (prsence du cadenas de scurit cet effet). 47

Observatoire de la scurit des cartes de paiement Rapport 2009

Encadr 12 Types dattitude en matire de scurit des cartes Lenqute ralise permet didentifier plusieurs types de comportement et dattitude chez les utilisateurs de carte* :
Les inquiets vigilants (15 %) Ils paient le moins souvent possible avec leur carte quel que soit le canal. Ils peroivent les cartes en gnral, comme tant risques, voire trs risques, quel que soit le canal et ont limpression de prendre des risques en lutilisant. Ils nont pas un niveau de connaissance lev de leur carte. Les confiants (9 %) Ils paient avec leur carte chaque fois que cela est possible. Ils peroivent lutilisation de la carte comme tant trs sre et nont pas du tout limpression de prendre de risques en lutilisant. Ils ne prennent pas beaucoup de prcautions. Un groupe qui est rest stable par rapport 2007

Les rsigns (36 %) Ils utilisent moins leur carte que les autres mme sils jugent globalement lutilisation de la carte assez sre. Par contre, ils ont limpression de prendre des risques chaque utilisation. Ils prennent moins de prcautions quen 2007.

Les avertis (39 %) Ils paient avec leur carte chaque fois que cela est possible et jugent lutilisation des cartes assez sre. Ils ne ressentent pas de risques en utilisant leur carte. Pour eux, la scurit des cartes progresse et ils prennent systmatiquement un certain nombre de prcautions pour viter les fraudes.

Ils reprsentent 36 % des utilisateurs


de cartes contre 28 % en 2007.

Les avertis taient 28 % en 2007, ils


sont maintenant plus nombreux : 39 %.
* Cette typologie des utilisateurs de cartes a t ralise selon la mme mthode quen 2007. tant donn les changements du questionnaire, seuls quatre groupes au lieu de cinq en 2007 ont pu tre dtects. Trois groupes sont directement comparables ceux obtenus en 2007 : les confiants, les avertis et les rsigns. Le groupe des mfiants sest rparti entre les deux derniers et les inquiets sont devenus plus vigilants.

48

Rapport 2009 Observatoire de la scurit des cartes de paiement

42 Les utilisateurs des paiements en ligne prsentent une sensibilit relle au risque de fraude et accueillent de manire favorable limplication de leur banque dans la diffusion de dispositifs de scurisation
Ltude qualitative conduite par linstitut LH2 a permis de mettre en avant une sensibilit relle des acheteurs aux risques de fraude et une raction positive face limplication de leur banque dans leur scurisation.

La perception de la scurit des transactions effectues lors des achats en ligne


Un risque de fraude peru comme immatriel Le risque de fraude associ au paiement sur Internet napparat pas tout dabord comme un frein majeur au dveloppement des achats en ligne. Des considrations lies au principe mme de lachat sur Internet ou limage du site Internet sur lequel se fait lachat sont des obstacles beaucoup plus puissants au paiement en ligne. En effet, ce sont davantage des craintes de ne pas tre livr, de recevoir une marchandise dtriore ou bien rsultant du peu de confiance quinspire le site du commerant qui constituent les principaux obstacles lachat en ligne. Si la fraude lie au paiement en ligne ne fait pas lobjet dune intuition immdiate, cest principalement parce que le risque de fraude est peru comme immatriel. Le fait de ne pas savoir comment prcisment peut advenir la fraude conduit soit une mfiance gnralise envers linformatique et Internet ( Jai limpression quon peut accder facilement tous les ordinateurs , on peut tout faire par Internet ) soit loubli du risque. Le cadenas et la mention https sur lcran lors de lachat sont souvent les seuls symboles qui rappellent la matrialit du risque de fraude encouru lors du paiement en ligne. Une sensibilit relle mais diffrencie face au risque de fraude Malgr tout, il existe une sensibilit relle au risque de fraude pour tous, mme si le vcu de la perception du risque est diffrent en fonction de lexprience et de la personnalit des individus. Trois profils se dgagent cet gard : les craintifs , qui se rpartissent sur toutes les classes dge de 25 65 ans, prsentent une sensibilit forte au risque de piratage sur Internet du fait dune approche intellectualise de ce risque, mme sans exprience positive ou ngative. Pour eux, le fait de donner ses coordonnes de carte bancaire lors du paiement sur Internet constitue un vritable blocage au paiement en ligne ; les prudents voquent la fraude sur Internet et pensent quil existe toujours un risque, mais ils procdent tout de mme des achats en ligne, de manire plus ou moins rgulire, y compris pour de gros montants. Il sagit en majorit des personnes ges de 35 60 ans qui effectuent des paiements en ligne de chez eux ; les vigilants sont conscients du risque de fraude mais il sagit davantage pour eux dune tape franchir que dune proccupation permanente. Une fois la confiance venue avec la pratique et lexprience de lentourage, le risque de fraude nest plus un obstacle aux achats rcurrents sur Internet. Il sagit dune majorit de personnes de 20-25 ans, effectuant des paiements sur Internet de chez eux ou bien en mobilit hors du foyer.

Observatoire de la scurit des cartes de paiement Rapport 2009

49

Les comportements de scurisation adopts par les utilisateurs La perception de lexistence dun risque quant la scurit des transactions en ligne conduit les acheteurs adopter eux-mmes des mesures de scurisation. Elles sont de plusieurs sortes : une attention porte la rputation du site Internet et au fait que celui-ci soit scuris, la vrification de lexistence du cadenas et de la mention https , la lecture des dispositions de scurit du site, le fait de ne pas sauvegarder ses coordonnes bancaires sur son ordinateur, le fait de ne pas acheter en rpondant un mail reu mais en passant par le site officiel du marchand, ou la vrification de la dconnexion de la page de paiement aprs que celui-ci ait t effectu. Toutefois, les comportements adopts par les acheteurs en ligne lgard de la fraude sont parfois incohrents, notamment lorsque ceux-ci nappliquent pas de manire systmatique les mesures de scurisation quils adoptent. Ainsi, ces mesures seront appliques pour des achats de gros montant et non pour de petits achats. Si le prix est trs intressant, ils feront un achat sur un site non scuris. A cet gard, il semble que la sensibilit au risque de fraude en ligne smousse parfois avec le temps et labsence dexprience ngative. En effet, la confiance dans le site du commerant ou lexprience antrieure positive sur tel site prime sur les mesures de scurit affiches.

Lutilisation dun dispositif de scurisation : un enjeu relationnel fort avec la banque


Un accueil positif de lengagement et de laccompagnement des banques Les dispositifs de scurisation des paiements en ligne proposs par les banques sont toujours bien accueillis par les acheteurs, quils pratiquent beaucoup ou peu les paiements sur Internet. En particulier, limplication des banques dans la diffusion de ces dispositifs est perue comme un gage de lefficacit et de la scurit des solutions proposes. Plus prcisment, les acheteurs sont particulirement rceptifs une dmarche globale, massive des banques, dmarche qui vhicule alors plusieurs consquences : au plan symbolique : en simpliquant, les banques contribuent une moralisation du commerce en ligne. En effet, les utilisateurs nimaginent pas quelles mettent en place un dispositif de scurisation auprs de sites peu fiables ; au plan psychologique : la mise en place de dispositifs de scurisation entre dans le cadre dune relation privilgie entre linternaute et sa banque. Le fait que cette dernire sengage offrir plus de tranquillit desprit et agisse dans lintrt de ses clients renforce le lien qui existe entre lutilisateur du paiement en ligne et sa banque ; au plan financier : le dploiement de dispositifs techniques de scurisation a priori et de mcanismes dassurance a posteriori garantit une tranquillit desprit quenvisage positivement lacheteur en ligne. Les facteurs de russite dune diffusion des dispositifs de scurisation Ltude a permis de relever que la russite de la gnralisation de dispositifs de scurisation des transactions en ligne dpend dun certain nombre de conditions.

50

Rapport 2009 Observatoire de la scurit des cartes de paiement

Tout dabord, les dispositifs doivent tre adapts et compatibles avec les diffrents types de comportement ou dusage. Si de tels dispositifs devraient encourager les craintifs passer lacte et accompagner les prudents dans leur appropriation du paiement en ligne, il faudrait encore quils soient adapts pour que les vigilants , qui sont davantage familiariss au paiement en ligne, les utilisent frquemment. Les dispositifs proposs devraient par consquent tre adapts chaque type dutilisateur de manire que chacun puisse se lapproprier et en retirer le bnfice attendu de son utilisation. Ensuite, le dploiement de dispositifs de scurisation des transactions en ligne doit tre accompagn dune communication approprie de la part des banques. Les dmarches des banques dans ce domaine sont perues positivement et trs largement apprcies, condition que les utilisateurs bnficient dun accompagnement lors de la diffusion des dispositifs de scurisation.

43 Les ractions face lutilisation de dispositifs de scurisation des paiements en ligne sont toujours positives
Des ractions positives
Les dispositifs dauthentification non rejouable Cinq dispositifs34 dauthentification non rejouable utilisables sur un site Internet marchand ont t ports lapprciation des sujets de ltude qualitative. Quatre dispositifs ont pour objet de gnrer un code usage unique devant tre renseign sur Internet lors du paiement : la carte matricielle avec chemin secret : le code usage unique est produit partir de la saisie de codes obtenus sur la carte selon un chemin connu seulement de lutilisateur ; le Token : le code usage unique est gnr par un algorithme plac dans un petit appareil lectronique suite une pression sur un bouton ; le code usage unique reu par SMS ; le mini lecteur de carte puce : le code usage unique saffiche sur lcran du lecteur aprs insertion de la carte bancaire du porteur et saisie de son code PIN. Le cinquime dispositif dauthentification non rejouable prsent est la cl USB avec certificat lectronique que linternaute doit connecter son ordinateur lors du paiement avant entre du code PIN de la cl, ncessaire lauthentification.

34

Dispositifs fournis pour les besoins de lenqute par les socits Elca, Vasco et Xiring (maintenant Gemalto). 51

Observatoire de la scurit des cartes de paiement Rapport 2009

Encadr 13 - Dispositifs dauthentification non rejouable

Carte matricielle avec chemin secret

Token

Mini lecteur de carte puce

Code usage unique reu par sms

Cl USB avec certificat lectronique

Un accueil positif des dispositifs de scurisation La diffusion de dispositifs de scurisation des transactions en ligne est perue comme le vecteur dune tranquillit desprit trs apprciable. Les utilisateurs du paiement en ligne font confiance aux banques pour mettre en place des dispositifs fiables dans la mesure o cela relve de leur comptence et que cela parat lgitime. En particulier, le fait de devoir passer par le site de la banque lors de lauthentification est toujours trs bien vcu. Lallongement du temps de ralisation de la transaction sur Internet, du fait de ltape supplmentaire impose par lauthentification du paiement, ne semble pas poser de problme en soi. Les critres des ractions Les ractions positives des utilisateurs varient en fonction de trois types de caractristiques des dispositifs prsents : ladquation avec le mode de vie de lutilisateur et les pratiques de paiement en ligne actuelles : le dispositif (lecteur, carte, cl) va incarner, matrialiser un risque de fraude gnralement peru comme immatriel. Il sera dautant mieux reu quil sera en accord avec le mode de vie et les sensibilits de son dtenteur (mobilit ou pas) et sa perception du paiement en ligne (trs ou peu risqu) ; la familiarit et la facilit dusage : l'utilisation du dispositif n'est pas pense par rapport un temps supplmentaire de mise en uvre mais par rapport la plus ou moins grande facilit d'usage, au risque d'erreur qui pourrait lui tre associ et la facilit de conservation hors des actes dachat ; la fiabilit et la scurit : une attention toute particulire est porte par les utilisateurs au risque de panne, de dysfonctionnement, de perte ou de vol du dispositif.

52

Rapport 2009 Observatoire de la scurit des cartes de paiement

Des prfrences diffrentes selon les profils


Si aucun dispositif nest rejet en soi, les ractions varient en fonction de lexprience en matire de paiements en ligne. Les choix varient en fonction du profil de lacheteur, les plus gros acheteurs privilgiant la simplicit et la facilit dutilisation en mobilit, tandis que les petits acheteurs privilgient limage de scurit mise en scne et le rappel de lacte de paiement par carte en magasin. La carte matricielle avec chemin secret trouve des adeptes dans tous les profils, sans une dominance particulire. Les utilisateurs peroivent un double avantage concernant ce dispositif : la fiabilit de par la nature du support et la scurisation du fait de lapplication dun chemin secret. En revanche, la carte matricielle nest souvent pas perue comme assez moderne pour que les utilisateurs se lapproprient conformment leur mode de vie. Les craintifs Les craintifs , dont la sensibilit leve au risque de fraude en ligne constitue un obstacle au paiement sur Internet, marquent une prfrence relative pour le lecteur de cartes puce qui rappelle la situation de paiement en magasin. Il est associ aux TPE des commerants, ce qui explique une attention focalise sur le plus gros des deux modles prsents. Cet objet familier inspire confiance du fait de sa simplicit dutilisation et des gages de scurit quil apporte avec la saisie du code PIN. Loin dtre li la carte bancaire, ce dispositif possde un aspect familial et on limagine ancr dans le foyer, la maison, proximit de lordinateur. Ce type de dispositif est le plus proche des pratiques de paiement envisages par cette catgorie dutilisateurs. Les prudents Les prudents quant eux, qui prsentent une sensibilit importante au risque de fraude, sans pour autant que cela soit un obstacle la pratique de paiements plus ou moins rguliers en ligne, avouent une prfrence pour le Token et lenvoi de codes usage unique par SMS, la fois pour leur simplicit dutilisation et en tant que signe du passage une utilisation en mobilit. Le code usage unique ( One Time Password OTP) reu par SMS est un dispositif souvent dj connu et expriment par les sujets de ltude. Laisance dans lutilisation manifeste par ceux-ci rsulte du fait que le tlphone portable est un objet familier, que lon possde toujours avec soi et donc que la gnration du code usage unique ne ncessite pas un objet supplmentaire. Le sentiment de scurit associ lutilisation de ce dispositif lors du paiement est important du fait, dune part de lexistence du code usage unique et, dautre part, du caractre personnel de lobjet utilis. Les vigilants Les vigilants enfin, pour lesquels la pratique courante du paiement en ligne de chez soi ou en mobilit a attnu le sentiment de risque de fraude lors du paiement, affichent une

Observatoire de la scurit des cartes de paiement Rapport 2009

53

prfrence pour le Token et la cl USB avec certificat lectronique, tout en exprimant parfois des attentes dune dmatrialisation du dispositif. Du fait de labsence de code secret mmoriser, le Token est un dispositif prsentant une grande simplicit dutilisation. Le code usage unique est en effet gnr uniquement en pressant un bouton prsent sur le dispositif. De plus, le Token est associ spontanment par les utilisateurs la mobilit, ce qui caractrise les pratiques de paiement des vigilants . Le fait que lobjet puisse tre port dans la poche ou en porte-cls rend effectivement son transport ais. Enfin, lexistence dun code usage unique utilisable lors du paiement apparat comme une garantie suffisante de la scurisation des transactions en ligne. La cl USB, quant elle, est perue comme un objet la fois familier et moderne. Lhabitude de sa manipulation dans la vie quotidienne engendre une appropriation immdiate par les internautes et une utilisation intuitive de loutil de scurisation des transactions en ligne. De plus, elle est associe aux instruments de nouvelle technologie, comme la cl de communication 3G. Cet outil procure un sentiment de scurisation fort manant, dune part de lensemble du dispositif (certificat lectronique, caractre personnel de la cl USB) et, dautre part, de lentre dun code PIN spcifique la cl USB pour gnrer le code usage unique utilis lors du paiement sur Internet. Le fait que cet objet puisse tre utilis la fois chez soi et en mobilit explique quil soit le plus en conformit avec les pratiques de paiement en ligne des vigilants .

Des impacts nuancs sur les comportements de paiement


La diffusion de dispositifs de scurisation des paiements en ligne aurait un impact sur les comportements de paiement de lensemble des porteurs mais celui-ci serait diffrenci selon les profils dacheteurs. Les craintifs devraient passer lacte de paiement sur Internet Les craintifs , qui se caractrisent par le fait que leur sensibilit leve au risque de fraude constitue un obstacle au paiement sur Internet, dclarent le plus souvent que la mise en place de dispositifs de scurisation des transactions en ligne devrait les conduire passer lacte. Toutefois cette raction doit tre nuance. Certains vont passer immdiatement lacte en raison dun sentiment de protection de leur banque et dune commodit accrue du paiement par carte par rapport dautres moyens (envoi de chque). Dautres paraissent encore hsitants : ils seraient videmment rassurs du fait de lexistence dune garantie de scurit lors du paiement sur Internet mais cela ne se manifesterait par une pratique effective du paiement en ligne que quelques mois ou annes plus tard selon leurs propres dclarations. Les prudents sont les plus sensibles lengagement des banques Les prudents , qui pratiquent le paiement sur Internet tout en ayant une sensibilit leve au risque de fraude, apparaissent comme les plus sensibles lengagement des banques leurs cts et approuvent cette dmarche daccompagnement et dengagement auprs des clients.

54

Rapport 2009 Observatoire de la scurit des cartes de paiement

Si les effets concrets restent difficilement quantifiables, certains expriment clairement qu'ils pourraient augmenter le nombre d'achats, de sites frquents ou le montant de leurs achats, du fait de la tranquillit d'esprit renforce par lutilisation de dispositifs de scurisation des transactions en ligne. Dautres restent prudents et ne pensent pas se prcipiter, leur comportement restant conditionn par la confiance quils ont en Internet ou par limage des sites marchands. Malgr tout, ils nenvisagent en aucun cas de diminuer leur pratique actuelle de paiement en ligne. Les vigilants anticipent plus de srnit mais aussi plus de contraintes Les vigilants , tout en pratiquant dj beaucoup les achats sur Internet, apprcient la dmarche des banques qui devrait leur apporter plus de srnit quant aux proccupations de scurit des transactions. Pour certains dentre eux, cela napporterait pas de changements significatifs dans leur comportement dachat sur Internet. Ceci peut sexpliquer par le fait quils ralisent dj beaucoup dachats actuellement. Pour dautres en revanche, une meilleure scurit des transactions en ligne aurait pour consquence une frquentation plus large de sites marchands et potentiellement un accroissement des achats sur Internet. Une prfrence gnrale pour lefficacit perue plutt que pour la facilit dutilisation Les rsultats de ltude quantitative permettent de mieux prciser et de chiffrer les ractions dans la perception et dans le comportement des utilisateurs face lintroduction de mesures de scurisation des transactions en ligne. Si le primtre de cette tude est lgrement diffrent de celui de ltude qualitative (seuls quatre dispositifs sont tudis : le mini lecteur de carte, le code usage unique envoy par SMS, la saisie de la date de naissance lors du paiement et la rponse une question), il permet nanmoins de quantifier les tendances perues lors des entretiens.

Observatoire de la scurit des cartes de paiement Rapport 2009

55

Facilit dutilisation Saisie de la date de naissance Rponse une question Saisie dun code unique reu sur le tlphone mobile Saisie dun code unique gnr par un mini-lecteur 90 % 85 % 71 % 60 %

Efficacit perue 35 % 54 % 70 % 76 %

Souhait dutilisation 45 % 54 % 64 % 69 %

Tableau 9 Les solutions dauthentification proposes par les banques : des perceptions contrastes (en pourcentage des payeurs par carte sur Internet) Les chiffres ci-dessus mettent en vidence une prfrence gnrale pour lefficacit perue des dispositifs en termes de scurit plutt que pour leur facilit dutilisation. En effet, le souhait dutilisation dune des quatre solutions de scurisation augmente mesure que lefficacit perue des dispositifs saccrot elle aussi. Les Franais semblent prts supporter quelques contraintes dutilisation condition que le dispositif quils utilisent lors du paiement en ligne leur paraisse efficace.

56

Rapport 2009 Observatoire de la scurit des cartes de paiement

Encadr 14 Conseils de prudence lusage des porteurs


Votre comportement concourt directement la scurit de lutilisation de votre carte. Veillez respecter les conseils lmentaires de prudence qui suivent afin de protger vos transactions. Soyez responsables Votre carte est strictement personnelle : ne la prtez personne, mme pas vos proches. Vrifiez rgulirement quelle est en votre possession. Si votre carte comporte un code confidentiel, gardez-le secret. Ne le communiquez personne. Apprenez-le par cur, vitez de le noter et surtout ne le rangez jamais avec votre carte. Lorsque vous composez votre code confidentiel, veillez le faire labri des regards indiscrets. Nhsitez pas en particulier cacher le clavier du terminal ou du distributeur de votre autre main. Vrifiez rgulirement et attentivement vos relevs de compte. Soyez attentifs Lors des paiements chez un commerant : Vrifiez lutilisation qui est faite de votre carte par le commerant. Ne la quittez pas des yeux. Pensez vrifier le montant affich par le terminal avant de valider la transaction. Vrifiez laspect extrieur du distributeur, vitez si possible ceux qui vous paratraient avoir t altrs. Suivez exclusivement les consignes indiques lcran du distributeur : ne vous laissez pas distraire par des inconnus, mme proposant leur aide. Mettez immdiatement en opposition votre carte si elle a t avale par lautomate et que vous ne pouvez pas la rcuprer immdiatement au guichet de lagence. Protgez votre numro de carte : ne le stockez pas sur votre ordinateur, ne lenvoyez pas par simple courriel et vrifiez la scurisation du site du commerant (cadenas en bas de la fentre, adresse commenant par https , etc.). Assurez-vous du srieux du commerant, vrifiez que vous tes bien sur le bon site, lisez attentivement les conditions gnrales de vente. Protgez votre ordinateur, en activant les mises jour de scurit proposes par les diteurs de logiciel (en rgle gnrale gratuites) et en lquipant dun antivirus et dun pare-feu. Renseignez-vous sur les prcautions prendre et contactez ltablissement metteur de votre carte avant votre dpart, afin notamment de connatre les mcanismes de protection des cartes qui peuvent tre mis en uvre.

Lors des retraits sur les distributeurs de billets :

Lors des paiements sur Internet :

Lors de vos dplacements ltranger :

Pensez vous munir des numros internationaux de mise en opposition de votre carte. Sachez ragir Vous avez perdu ou on vous a vol votre carte : Faites immdiatement opposition en appelant le numro que vous a communiqu ltablissement metteur de la carte. Pensez le faire pour toutes vos cartes perdues ou voles. En cas de vol, dposez galement plainte auprs de la police ou de la gendarmerie au plus vite.

En faisant opposition sans tarder, vous bnficierez des dispositions plafonnant les dbits frauduleux, au pire des cas, 150 euros. Si vous ne ragissez pas rapidement, vous risquez de supporter lintgralit des dbits frauduleux prcdant la mise en opposition. A partir de la mise en opposition, votre responsabilit ne peut plus tre engage. Vous constatez des anomalies sur votre relev de compte, alors que votre carte est toujours en votre possession : Sauf en cas de ngligence grave de votre part (par exemple, vous avez laiss la vue dun tiers le numro et/ou le code confidentiel de votre carte et celui-ci en a fait usage sans vous prvenir) ou en cas de non-respect intentionnel de vos obligations contractuelles en matire de scurit (par exemple, vous avez commis limprudence de communiquer un proche le numro et/ou le code confidentiel de votre carte et celui-ci en a fait usage sans vous prvenir), il faut dposer une rclamation auprs de ltablissement metteur de la carte, ds que possible et dans un dlai fix par la loi, de 13 mois compter de la date de dbit de lopration conteste. Dans ces conditions, votre responsabilit ne peut tre engage. Les sommes contestes doivent alors vous tre immdiatement rembourses sans frais. Attention, lorsque le dtournement a lieu dans un pays non europen, le dlai de contestation est ramen 70 jours compter de la date de dbit de lopration conteste. Ce dlai peut ventuellement tre prolong par votre tablissement metteur sans pouvoir dpasser 120 jours. Bien entendu, en cas dagissement frauduleux de votre part, les dispositions protectrices de la loi ne trouveront pas sappliquer et vous resterez tenu des sommes dbites avant comme aprs lopposition ainsi que des ventuels autres frais engendrs par ces oprations (par exemple, en cas dinsuffisance de provision).

Observatoire de la scurit des cartes de paiement Rapport 2009

57

ANNEXE A PROTECTION DU TITULAIRE DUNE CARTE EN CAS DE PAIEMENT NON AUTORIS


Lordonnance de transposition de la directive concernant les services de paiement au sein du march intrieur, entre en vigueur le 1er novembre 2009, a modifi les rgles relatives la responsabilit du titulaire dune carte de paiement. La charge de la preuve incombe au prestataire de services de paiement. Ainsi, lorsquun client nie avoir autoris une opration, il incombe son prestataire de services de paiement de prouver que lopration en question a t authentifie, dment enregistre et comptabilise et quelle na pas t affecte par une dficience technique ou autre. La loi encadre dsormais strictement les conventions de preuve puisquelle prvoit que lutilisation de linstrument telle quenregistre par le prestataire de services de paiement ne suffit pas ncessairement en tant que telle prouver que lopration a t autorise par le payeur ou que celui-ci na pas satisfait par ngligence grave aux obligations lui incombant en la matire. Il convient toutefois de distinguer si lopration de paiement conteste est effectue ou non sur le territoire de la Rpublique franaise ou au sein de lEspace conomique europen afin de dterminer ltendue de la responsabilit du titulaire de la carte.

Oprations nationales ou intra-communautaires


Les oprations de paiement concernes sont les oprations effectues en euros ou en francs CFP sur le territoire de la Rpublique franaise1. Sont galement concernes les oprations effectues avec une carte de paiement dont lmetteur est situ en France mtropolitaine, dans les dpartements doutre-mer, Saint-Martin ou Saint-Barthlemy, au profit dun bnficiaire dont le prestataire de services de paiement est situ dans un autre tat partie laccord sur lEEE (UE + Lichtenstein, Norvge et Islande), en euros ou dans la devise nationale dun de ces tats. Concernant les oprations non autorises, cest--dire en pratique les cas de perte, vol ou dtournement (y compris par utilisation frauduleuse distance ou contrefaon) de linstrument de paiement, le titulaire de la carte devra contester, auprs de son prestataire dans un dlai de 13 mois suivant la date de dbit de son compte, avoir autoris lopration de paiement. Son prestataire devra alors rembourser immdiatement, au titulaire de la carte, lopration non autorise et, le cas chant, rtablir le compte dbit dans ltat dans lequel il se serait trouv si lopration non autorise navait pas eu lieu. Une indemnisation complmentaire pourra aussi ventuellement tre verse. Nonobstant lextension du dlai maximal de contestation 13 mois, le porteur devra, lorsquil a connaissance du vol, de la perte, du dtournement ou de toute utilisation non autorise de son instrument de paiement, en informer sans tarder son prestataire de services de paiement.

Lordonnance dextension la Nouvelle-Caldonie, la Polynsie franaise et aux les Wallis et Futuna des dispositions de lordonnance de transposition entre en vigueur le 8 juillet 2010. 59

Observatoire de la scurit des cartes de paiement Rapport 2009

Une drogation ces rgles de remboursement est cependant prvue pour les oprations de paiement ralises en utilisant un dispositif de scurit personnalis, par exemple la frappe dun code secret. Avant information aux fins de blocage de la carte Avant opposition 2, le payeur pourra supporter, concurrence de 150 euros, les pertes lies toute opration de paiement non autorise en cas de perte ou de vol de la carte si lopration est effectue avec lutilisation du dispositif personnalis de scurit. En revanche, si lopration est effectue sans lutilisation du dispositif personnalis de scurit, le titulaire de la carte ne voit pas sa responsabilit engage. La responsabilit du titulaire de la carte nest pas non plus engage si lopration de paiement non autorise a t effectue en dtournant son insu linstrument de paiement ou les donnes qui lui sont lies. Elle nest pas plus engage en cas de contrefaon de la carte si elle tait en possession de son titulaire au moment o lopration non autorise a t ralise. En revanche, le titulaire de la carte supporte toutes les pertes occasionnes par des oprations de paiement non autorises si ces pertes rsultent dun agissement frauduleux de sa part ou sil na pas satisfait intentionnellement ou par ngligence grave ses obligations de scurit, dutilisation ou de blocage de sa carte, convenues avec son prestataire de services de paiement. Enfin, si le prestataire de services de paiement metteur de la carte ne fournit pas de moyens appropris permettant la mise en opposition de la carte, le client ne supporte aucune consquence financire, sauf avoir agi de manire frauduleuse. Aprs information aux fins de blocage de la carte Aprs mise en opposition de la carte, le payeur ne supporte aucune consquence financire rsultant de lutilisation de la carte ou de lutilisation dtourne des donnes qui lui sont lies. L encore, les agissements frauduleux du titulaire de la carte le privent de toute protection et il demeure responsable des pertes lies lutilisation de sa carte. Linformation aux fins de blocage peut tre effectue auprs du prestataire de services de paiement ou auprs dune entit que ce dernier aura indique son client, suivant les cas, dans le contrat de services de paiement ou dans la convention de compte de dpt. Lorsque le titulaire de la carte a inform son prestataire de services de paiement de la perte, du vol, du dtournement ou de la contrefaon de sa carte, ce dernier lui fournit sur demande et pendant 18 mois, les lments lui permettant de prouver quil a procd cette information.

Oprations extra europennes


La directive sur les services de paiement nest applicable quaux oprations intra-communautaires. Cependant la lgislation franaise existant avant ladoption de cette directive protgeait les titulaires de cartes sans distinction de la localisation du bnficiaire de lopration non autorise. Il a t dcid de maintenir une protection quivalente celle
2

La loi utilise dsormais le terme information aux fins de blocage de linstrument de paiement . Rapport 2009 Observatoire de la scurit des cartes de paiement

60

laquelle le client avait auparavant droit. A cette fin, les rgles applicables aux oprations nationales ou intra-communautaires sont applicables avec des adaptations. Ainsi, les oprations de paiement concernes par ces adaptations sont les oprations effectues avec une carte de paiement dont lmetteur est situ en France mtropolitaine, dans les dpartements doutre-mer, Saint-Martin ou Saint-Barthlemy, au profit dun bnficiaire dont le prestataire de services de paiement est situ dans un tat non europen3, quelle que soit la devise dans laquelle lopration est ralise. Sont galement concernes les oprations effectues avec une carte dont lmetteur est situ Saint-Pierre-et-Miquelon, Mayotte, en Nouvelle-Caldonie, en Polynsie franaise ou Wallis et Futuna, au profit dun bnficiaire dont le prestataire est situ dans un tat autre que la Rpublique franaise, quelle que soit la devise utilise. Dans ces cas, le plafond de 150 euros trouve sappliquer pour les oprations non autorises en cas de perte ou de vol de la carte mme si lopration a t ralise sans utilisation du dispositif personnalis de scurit. Par ailleurs, le dlai maximal de contestation de lopration est ramen 70 jours et conventionnellement tendu 120 jours. En revanche, le remboursement immdiat de lopration non autorise est tendu.

qui nest pas partie laccord sur lEEE (UE + Lichtenstein, Norvge et Islande). 61

Observatoire de la scurit des cartes de paiement Rapport 2009

ANNEXE B MISSIONS ET ORGANISATION DE LOBSERVATOIRE


Le dcret n 2002-709 du 2 mai 2002 pris pour lapplication de larticle L. 141-4 du Code montaire et financier relatif lObservatoire de la scurit des cartes de paiement, modifi par le dcret n 2009-654 du 9 juin 2009, a prcis les missions, la composition et les modalits de fonctionnement de lObservatoire.1

Cartes concernes
Il est gnralement admis que constitue une carte de paiement toute carte mise par un prestataire de services de paiement permettant son titulaire de retirer ou de transfrer des fonds2. En consquence, les comptences de lObservatoire concernent les cartes mises par les tablissements de crdit ou par les institutions assimiles et dont les fonctions sont le retrait ou le transfert de fonds. Elles ne couvrent pas les cartes monoprestataires bnficiant dune drogation au monopole bancaire par larticle L. 511-7 I. 5 du Code montaire et financier. Ces cartes, parfois appeles cartes purement privatives , sont mises par une seule entreprise et acceptes en paiement par elle-mme ou par un nombre limit daccepteurs ayant nou avec elle un accord de franchise commerciale. Le march franais compte de nombreuses offres en matire de cartes de paiement qui relvent des comptences de lObservatoire. Parmi celles-ci, on distingue gnralement les cartes dont le schma dacceptation des paiements et des retraits repose sur : un nombre rduit dtablissements de crdit metteurs et acqureurs (cartes gnralement qualifies de privatives ) ; un nombre lev dtablissements de crdit metteurs et acqureurs (cartes gnralement qualifies d interbancaires ). Ces cartes peuvent offrir des fonctions diverses qui conduisent la typologie fonctionnelle suivante en matire de cartes de paiement : les cartes de dbit sont des cartes associes un compte de dpt de fonds permettant son titulaire deffectuer des retraits ou des paiements qui seront dbits selon un dlai fix par le contrat de dlivrance de la carte. Ce dbit peut tre immdiat (retrait ou paiement) ou diffr (paiement) ; les cartes de crdit sont adosses une ligne de crdit, avec un taux et un plafond ngocis avec le client, et permettent deffectuer des paiements et/ou des retraits despces. Elles permettent leur titulaire de rgler lmetteur lissue dun certain dlai (suprieur 40 jours en France). Laccepteur est rgl directement par lmetteur sans dlai particulier li au crdit ; les cartes nationales permettent exclusivement deffectuer des paiements ou des retraits auprs daccepteurs tablis sur le territoire franais ;
1

Les dispositions rglementaires relatives lObservatoire figurent aux articles R. 141-1, R. 141-2 et R. 142-22 R. 142-27 du Code montaire et financier. Daprs larticle L. 132-1 du Code montaire et financier dans sa rdaction antrieure au 1 novembre 2009. 63
er

Observatoire de la scurit des cartes de paiement Rapport 2009

les cartes internationales permettent deffectuer des paiements et des retraits dans tous les points dacceptation, nationaux ou internationaux, de la marque ou dmetteurs partenaires avec lesquels le systme de carte a sign des accords ; les porte-monnaie lectroniques sont des cartes sur lesquelles sont stockes des units de monnaie lectronique. Aux termes de larticle 1 du rglement CRBF n 2002-13, une unit de monnaie lectronique constitue un titre de crance incorpor dans un instrument lectronique et accept comme moyen de paiement, au sens de larticle L. 311-3 du Code montaire et financier, par des tiers autres que lmetteur. La monnaie lectronique est mise contre la remise de fonds. Elle ne peut tre mise pour une valeur suprieure celle des fonds reus en contrepartie .

Attributions
Conformment aux articles L. 141-4 et R. 141-1 du Code montaire et financier, les attributions de lObservatoire de la scurit des cartes de paiement sont de trois ordres : il suit la mise en uvre des mesures adoptes par les metteurs et les commerants pour renforcer la scurit des cartes de paiement. Il se tient inform des principes adopts en matire de scurit ainsi que des principales volutions ; il est charg dtablir des statistiques en matire de fraude. A cette fin, les metteurs de cartes de paiement adressent au secrtariat de lObservatoire les informations ncessaires ltablissement de ces statistiques. LObservatoire met des recommandations afin dharmoniser les modalits de calcul de la fraude sur les diffrents types de carte de paiement ; il assure une veille technologique en matire de cartes de paiement, avec pour objet de proposer des moyens de lutter contre les atteintes dordre technologique la scurit des cartes de paiement. A cette fin, il collecte les informations disponibles de nature renforcer la scurit des cartes de paiement et les met la disposition de ses membres. Il organise un change dinformations entre ses membres dans le respect de la confidentialit de certaines informations. En outre, le ministre charg de lconomie et des finances peut, aux termes de larticle R. 141-2 du Code montaire et financier, saisir pour avis lObservatoire en lui impartissant un dlai de rponse. Les avis peuvent tre rendus publics par le ministre.

Composition
Larticle R. 142-22 du Code montaire et financier dtermine la composition de lObservatoire. Conformment ce texte, lObservatoire comprend : un dput et un snateur ; huit reprsentants des administrations ; le gouverneur de la Banque de France ou son reprsentant ; le secrtaire gnral de lAutorit de contrle prudentiel ou son reprsentant ; dix reprsentants des metteurs de cartes de paiement, notamment de cartes bancaires, de cartes privatives et de porte-monnaie lectroniques ; cinq reprsentants du collge consommateurs du Conseil National de la Consommation ; cinq reprsentants des commerants issus notamment du commerce de dtail, de la grande distribution, de la vente distance et du commerce lectronique ;

64

Rapport 2009 Observatoire de la scurit des cartes de paiement

trois personnalits qualifies en raison de leurs comptences. La liste nominative des membres de lObservatoire figure en annexe C. Les membres de lObservatoire autres que ceux reprsentant ltat, le gouverneur de la Banque de France et le secrtaire gnral de lAutorit de contrle prudentiel sont nomms pour trois ans. Leur mandat est renouvelable. Le prsident est dsign parmi ces membres par le ministre charg de lconomie et des finances. Son mandat est de trois ans, renouvelable. Monsieur Christian NOYER, Gouverneur de la Banque de France, assure cette fonction depuis le 17 novembre 2003.

Modalits de fonctionnement
Conformment au dcret du 2 mai 2002 modifi par le dcret n 2009-654 du 9 juin 20093, lObservatoire se runit sur convocation de son prsident, au moins deux fois par an. Les sances ne sont pas publiques. Les mesures proposes au sein de lObservatoire sont adoptes si une majorit absolue est constitue. Chaque membre dispose dune voix ; en cas de partage des votes, le prsident dispose dune voix prpondrante. LObservatoire a adopt en 2003 un rglement intrieur qui prcise les conditions de son fonctionnement. Le secrtariat de lObservatoire, assur par la Banque de France, est charg de lorganisation et du suivi des sances, de la centralisation des informations ncessaires ltablissement des statistiques de la fraude sur les cartes de paiement, de la collecte et de la mise disposition des membres des informations ncessaires au suivi des mesures de scurit adoptes et la veille technologique en matire de cartes de paiement. Le secrtariat prpare galement le rapport annuel de lObservatoire, remis au dbut de chaque anne au ministre charg de lconomie et des finances et transmis au Parlement. Des groupes de travail ou dtude peuvent tre constitus par lObservatoire, notamment lorsque le ministre charg de lconomie et des finances le saisit pour avis. LObservatoire fixe la majorit absolue de ses membres le mandat et la composition de ces groupes de travail qui doivent rendre compte de leurs travaux chaque sance. Les groupes de travail ou dtude peuvent entendre toute personne susceptible de leur apporter des prcisions utiles laccomplissement de leur mandat. Dans ce cadre, lObservatoire a constitu deux groupes de travail chargs, lun dharmoniser et dtablir des statistiques en matire de fraude, lautre dassurer une veille technologique relative aux cartes de paiement. tant donn la sensibilit des donnes changes, les membres de lObservatoire et son secrtariat sont tenus de conserver confidentielles les informations qui sont portes leur connaissance dans le cadre de leurs fonctions. A cette fin, lObservatoire a inscrit dans son rglement intrieur lobligation incombant aux membres de sengager auprs du prsident veiller strictement au caractre confidentiel des documents de travail.

Les dispositions rglementaires relatives lObservatoire figurent aux articles R. 144-1, R. 144-2 et R.142-22 R. 142-27 du Code montaire et financier. 65

Observatoire de la scurit des cartes de paiement Rapport 2009

ANNEXE C LISTE NOMINATIVE DES MEMBRES DE LOBSERVATOIRE


La composition de lObservatoire a t dfinie par un arrt du ministre de lconomie, des finances et de lindustrie du 20 avril 2006, complt par un arrt du 22 juin 2006. Elle a t modifie en 2007 par deux arrts en date du 27 juin et du 25 octobre 2007, ainsi quen 2009 par un arrt en date du 29 juin 2009.

Liste des membres depuis le 29 juin 2009 Prsident


Christian NOYER Gouverneur de la Banque de France

Reprsentants des assembles


Jean-Pierre BRARD
Dput

Sur proposition du ministre charg de la consommation :


Le directeur de la direction gnrale de la concurrence, de la consommation et de la rpression des fraudes ou son reprsentant : Jean-Pierre GERSKOUREZ Serge DORE

Nicole BRICQ
Snatrice

Reprsentants du secrtaire gnral de lAutorit de contrle prudentiel


Jean-Luc MENDA
Direction de la surveillance gnrale du systme bancaire

Sur proposition du garde des sceaux, ministre de la justice :


Le directeur des affaires criminelles et des grces ou son reprsentant : Alexandra VAILLANT Cdric SAUNIER

Philippe RICHARD
Secrtariat gnral

Reprsentants des administrations


Sur proposition du secrtariat gnral de la dfense nationale :
Le directeur central de la scurit des systmes dinformation ou son reprsentant : Patrick PAILLOUX

Sur proposition du ministre de lintrieur :


Le chef de loffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication ou son reprsentant : Christian AGHROUM Adeline CHAMPAGNAT

Sur proposition du ministre de lconomie, de lindustrie et de lemploi :


Le haut fonctionnaire de dfense : Emmanuel SARTORIUS Le directeur gnral du Trsor ou son reprsentant : Henri JOHANET Alexis ZAJDENWEBER Marianne CARRUBBA

Sur proposition du ministre de la dfense :


Le directeur gnral de la gendarmerie nationale ou son reprsentant : ric FREYSSINET

Sur proposition du ministre dlgu de lindustrie :


Le directeur gnral des entreprises ou son reprsentant : Mireille CAMPANA

Observatoire de la scurit des cartes de paiement Rapport 2009

67

Reprsentants des metteurs de cartes de paiement


Yves BLAVET
Directeur des Instruments de Paiement Socit Gnrale

Christian HUARD
Secrtaire gnral Association de dfense dducation et dinformation du consommateur (ADEIC)

Jean-Pierre JANIS
Association Lo Lagrange pour la dfense des consommateurs (ALLDC)

Jean-Marc BORNET
Administrateur Groupement des Cartes Bancaires

Jean-Franois DUMAS
Vice Prsident American Express France

Reprsentants des organisations professionnelles de commerants


Philippe JOGUET
Chef du service rglementation et dveloppement durable Fdration des entreprises du commerce et de la distribution (FCD)

Bernard DUTREUIL
Directeur Fdration bancaire franaise

Bernard GOURAUD
Directeur des technologies Banque Populaire Caisse dEpargne

Franois LANGLOIS
Directeur des Relations institutionnelles BNP Paribas Personal Finance

Marc LOLIVIER
Dlgu gnral Fdration du e-commerce et de la vente distance (Fevad)

Frdric MAZURIER
Directeur administratif et financier Socit des Paiements Pass (S2P)

Jean-Jacques MELI
Chambre de commerce et dindustrie du Val dOise

Grard NEBOUY
Directeur Gnral Visa Europe France

Jean-Marc MOSCONI
Dlgu gnral Mercatel

Emmanuel PETIT
Prsident Directeur Gnral Mastercard France

Philippe SOLIGNAC
Vice-prsident Chambre de commerce et dindustrie de Paris/ACFCI

Narinda VIGUIER
Directeur Stratgie et pilotage interbancaire Crdit Agricole SA

Reprsentants du collge consommateurs du Conseil national de la consommation


Rgis CREPY
Confdration nationale Associations familiales catholiques (CNAFC)

Personnalits qualifies en raison de leurs comptences


Philippe CAMBRIEL
Executive Vice-President Gemalto

David NACCACHE
Professeur Ecole normale suprieure

Sophie NERBONNE
Directeur adjoint la direction des affaires juridiques, internationales et de lexpertise Commission nationale de linformatique et des liberts (CNIL)

Valrie GERVAIS
Secrtaire gnrale Association FO Consommateurs (AFOC)

68

Rapport 2009 Observatoire de la scurit des cartes de paiement

ANNEXE D DOSSIER STATISTIQUE


Le dossier statistique qui suit a t ralis partir des donnes fournies lObservatoire de la scurit des cartes de paiement par : les 136 membres du Groupement des Cartes Bancaires CB par lintermdiaire de celui-ci, ainsi que de MasterCard et de Visa Europe France pour les donnes internationales ; dix metteurs de cartes privatives : American Express, Banque Accord, BNP Paribas Personal Finance, Cofidis, Cofinoga, Diners Club, Finaref, Franfinance, S2P et Sofinco ; les metteurs du porte-monnaie lectronique Moneo. LObservatoire a galement reu des statistiques recueillies par la Fevad auprs dun chantillon reprsentatif de ses membres. Total des cartes en circulation en 2009 : 90,6 millions dont 62,4 millions de cartes de type interbancaire ( CB , MasterCard et Moneo) ; et 28,2 millions de cartes de type privatif . Cartes mises en opposition en 2009 : environ 605 000 Les transactions nationales sont celles qui mettent en jeu un metteur franais et un commerant accepteur franais. Les transactions internationales sont de deux types : metteur franais / accepteur tranger et metteur tranger / accepteur franais.

Observatoire de la scurit des cartes de paiement Rapport 2009

69

Le march des cartes de paiement en France


metteur franais, Acqureur franais Cartes de type interbancaire Paiements de proximit et sur automate Paiements distance hors Internet Paiements distance sur Internet Retraits Total Cartes de type privatif Paiements de proximit et sur automate Paiements distance hors Internet Paiements distance sur Internet Retraits Total Total gnral Volume (millions) 6 118,98 123,28 245,97 1 492,38 7 980,61 Volume (millions) 229,20 3,98 5,75 9,17 248,10 8 228,72 metteur franais, Acqureur tranger metteur tranger, Acqureur franais Valeur (Md) 12,14 2,40 1,63 5,04 21,21 Valeur (Md) 2,40 0,02 0,06 nd 2,49 23,70

Valeur Volume (Md) (millions) 271,57 11,19 19,08 108,73 410,56 130,92 9,06 66,56 41,87 248,42

Valeur Volume (Md) (millions) 9,41 0,94 3,48 4,97 18,80 149,19 7,11 12,84 29,72 198,85

Valeur Volume (Md) (millions) 20,76 0,31 0,63 0,86 22,55 433,11 8,78 0,15 0,32 nd 9,24 257,67

Valeur Volume (Md) (millions) 1,60 0,02 0,04 nd 1,66 20,46 13,09 0,22 0,47 nd 13,78 212,63

Source : Observatoire de la scurit des cartes de paiement

70

Rapport 2009 Observatoire de la scurit des cartes de paiement

Rpartition de la fraude selon le type de transaction, son origine et la zone gographique pour les cartes de type interbancaire
metteur franais, Acqureur franais Volume (milliers) Paiements de proximit et sur automate
Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres

metteur franais, Acqureur tranger Volume (milliers) 214,2 74,9 1,7 124,4 6,3 6,9 55,1 17,5 0,1 13,1 17,0 7,4 464,6 141,7 0,4 104,7 151,8 66,0 103,2 11,5 0,1 88,8 0,2 2,5 837,1 Valeur (k) 42 660,3 8 784,7 218,9 31 039,8 1 832,0 748,8 8 604,5 2 558,3 15,8 2 250,3 2 221,8 1 528,2 50 594,0 14 342,8 44,8 12 041,3 16 446,4 7 718,8 16 467,2 1933,6 24,6 14 069,3 24,8 414,9 118 326,0

metteur tranger, Acqureur franais Volume (milliers) 338,0 99,1 3,9 75,0 78,3 81,8 Nd Nd nd nd nd nd nd nd nd nd nd nd 9,1 3,0 0,1 5,8 0,1 0,1 347,2 Valeur (k) 68 778,1 10 236,2 525,3 25 947,3 16 192,4 15 849,8 Nd nd nd nd nd nd nd nd nd nd nd nd 2 754,5 691,4 29,1 2 002,1 14,7 17,2 71 532,6

Valeur (k) 35 642,0 33 116,3 581,8 1 937,4 6,6 0,0 27 345,9 31,1 1,1 1,0 27 312,5 0,2 51 576,1 109,3 0,1 2,3 51 463,9 0,5 19 838,3 19 367,1 172,8 298,3 0,0 0,0 134 402,3

462,2 379,5 9,6 37,1 0,0 0,0 376,6 0,4 0,0 0,0 397,1 0,0 365,9 0,6 0,0 0,0 365,3 0,0 85,5 82,2 1,3 2,0 0,0 0,0 1 275,2

Paiements distance hors Internet


Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres

Paiements distance sur Internet


Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres

Retraits
Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres

Total

Source : Observatoire de la scurit des cartes de paiement

Observatoire de la scurit des cartes de paiement Rapport 2009

71

Rpartition de la fraude selon le type de transaction, son origine et la zone gographique pour les cartes de type privatif
metteur franais, Acqureur franais Volume (milliers) Paiements de proximit et sur automate
Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres

metteur franais, Acqureur tranger Volume (milliers) 8,56 1,17 0,35 4,30 0,03 2,71 6,54 2,12 0,05 1,60 0,00 2,78 0,91 0,01 0,01 0,01 0,00 0,88 nd nd nd nd nd nd 16,01 Valeur (k) 2 023,30 192,97 139,63 911,98 13,69 765,03 1 089,87 112,56 13,18 378,97 0,00 585,17 197,98 1,31 2,10 7,46 0,60 168,50 Nd nd nd nd nd nd 3 295,15

metteur tranger, Acqureur franais Volume (milliers) 3,30 0,27 0,05 1,07 0,01 1,90 6,52 0,84 0,37 3,20 0,01 2,11 4,90 0,22 0,04 0,23 0,00 4,40 nd nd nd nd nd nd 14,72 Valeur (k) 1 013,51 54,72 17,57 272,51 14,36 654,35 3 585,02 384,43 146,35 1 682,84 1,66 1 369,74 686,67 48,01 4,00 35,94 0,57 598,14 nd nd nd nd nd nd 5 285,20

Valeur (k) 5 376,17 925,38 608,37 236,21 307,45 3 298,76 2 987,62 703,22 209,74 761,29 220,85 1 092,52 218,12 25,25 5,06 2,56 64,18 185,07 935,99 748,97 121,25 0,00 0,00 65,77 9 581,90

13,96 4,87 3,47 0,78 0,31 4,53 7,30 1,85 0,73 2,15 0,32 2,26 0,83 0,10 0,01 0,02 0,14 0,56 3,19 2,65 0,29 0,00 0,00 0,24 25,28

Paiements distance hors Internet


Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres

Paiements distance sur Internet


Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres

Retraits
Cartes perdues ou voles Cartes non parvenues Cartes altres ou contrefaites Numro de carte usurp Autres

Total

Source : Observatoire de la scurit des cartes de paiement

72

Rapport 2009 Observatoire de la scurit des cartes de paiement

ANNEXE E DFINITION ET TYPOLOGIE DE LA FRAUDE RELATIVE AUX CARTES DE PAIEMENT


Dfinition de la fraude
A des fins de recensement statistique, lObservatoire estime quil convient de considrer comme constitutif de fraude : Toute utilisation illgitime dune carte de paiement ou des donnes qui lui sont attaches, ainsi que tout acte concourant la prparation ou la ralisation dune telle utilisation : 1. ayant pour consquence un prjudice pour le banquier teneur de compte quil sagisse du banquier du porteur de la carte ou de celui de laccepteur (commerant, administration pour son propre compte ou au sein dun systme de paiement1), le porteur, laccepteur, lmetteur, un assureur, un tiers de confiance ou tout intervenant dans la chane de conception, de fabrication, de transport, de distribution de donnes physiques ou logiques, dont la responsabilit civile, commerciale ou pnale pourrait tre engage ; 2. quels que soient : les moyens employs pour rcuprer, sans motif lgitime, les donnes ou le support de la carte (vol, dtournement du support de la carte, des donnes physiques ou logiques, des donnes de personnalisation et/ou rcupration du code secret, et/ou du cryptogramme, piratage de la piste magntique et/ou de la puce) ; les modalits dutilisation de la carte ou des donnes qui lui sont attaches (paiement ou retrait, en paiement de proximit ou distance, par utilisation physique de la carte ou du numro de carte, sur automate) ; la zone gographique dmission ou dutilisation de la carte ou des donnes qui lui sont attaches : metteur franais et carte utilise en France, metteur tranger et carte utilise en France, metteur franais et carte utilise ltranger ;

le type de carte de paiement2, y compris les porte-monnaie lectroniques. 3. que le fraudeur soit un tiers, le banquier teneur de compte, le porteur de la carte lui-mme (dans le cas par exemple dune utilisation aprs dclaration de vol ou de perte, ou dune dnonciation abusive de transactions), laccepteur, lmetteur, un assureur, un tiers de confiance

Dans le cas dInternet, laccepteur peut tre diffrent du fournisseur de service, ou dun tiers de confiance (paiements, dons effectus par des internautes en soutien dun site, dune idologie). Tel que dfini larticle L. 132-1 du Code montaire et financier dans sa version antrieure au 1 novembre 2009. 73
er

Observatoire de la scurit des cartes de paiement Rapport 2009

Typologie de la fraude
LObservatoire a par ailleurs dfini une typologie de la fraude qui distingue les lments suivants. Les origines de fraude : carte perdue ou vole : le fraudeur utilise une carte de paiement obtenue linsu de son titulaire lgitime, suite une perte ou un vol ; carte non parvenue : la carte a t intercepte lors de son envoi son titulaire lgitime par lmetteur. Ce type dorigine se rapproche de la perte ou du vol. Cependant, il sen distingue, dans la mesure o le porteur peut moins facilement constater quun fraudeur est en possession dune carte lui appartenant et o il met en jeu des vulnrabilits spcifiques aux procdures denvoi des cartes ; carte falsifie ou contrefaite : une carte de paiement authentique est falsifie par modification des donnes magntiques, dembossage ou de programmation. La contrefaon dune carte suppose la cration dun support donnant lillusion dtre une carte de paiement authentique et/ou susceptible de tromper un automate ou une personne quant sa qualit substantielle. Pour les paiements effectus sur automate de paiement, une telle carte, fabrique par le fraudeur, supporte les donnes ncessaires tromper le systme. En commerce de proximit, une carte contrefaite est une carte fabrique par un fraudeur, qui prsente certaines scurits (dont laspect visuel) dune carte authentique, supporte les donnes dune carte authentique et est destine tromper la vigilance dun accepteur ; numro de carte usurp : le numro de carte dun porteur est relev son insu ou cr par moulinage (voir le paragraphe sur les techniques de fraude ci-dessous) et utilis en vente distance ; numro de carte non affect : utilisation dun PAN3 cohrent mais non attribu un porteur, puis gnralement utilis en vente distance ; fractionnement du paiement : action qui consiste scinder le paiement en vue de passer en dessous des plafonds fixs par lmetteur. Les techniques de fraude : skimming : technique qui consiste en la copie, dans un commerce de proximit ou dans des distributeurs automatiques, des pistes magntiques dune carte de paiement laide dun lecteur mmoire appel skimmer . ventuellement, le code confidentiel est galement captur de visu, laide dune camra ou encore par dtournement du clavier numrique. Ces donnes seront inscrites ultrieurement sur les pistes magntiques dune carte contrefaite ; ouverture frauduleuse de compte : ouverture dun compte de rfrence en fournissant de fausses donnes personnelles ; usurpation d'identit : actes frauduleux lis un paiement par carte et supposant lutilisation de lidentit dune autre personne ; rpudiation abusive : contestation par le porteur, de mauvaise foi, dun ordre de paiement valide dont il est linitiateur ; piratage d'automates de paiement ou de retrait : techniques qui consistent placer des dispositifs de duplication de cartes sur des automates de paiement ou des distributeurs automatiques de billets ;

Personal Account Number Rapport 2009 Observatoire de la scurit des cartes de paiement

74

piratage de systmes automatiss de donnes, de serveurs ou de rseaux : intrusion frauduleuse sur de tels systmes ; moulinage : technique de fraude consistant utiliser les rgles, propres un metteur, de cration de numros de cartes pour gnrer de tels numros et effectuer des paiements. Les types de paiement : paiement de proximit, ralis au point de vente ou sur automate ; paiement distance ralis sur Internet, par courrier, par fax/tlphone, ou par tout autre moyen ; retrait (retrait DAB ou autre type de retrait). La rpartition du prjudice entre : la banque du commerant, acqureur de la transaction ; la banque du porteur, mettrice de la carte ; le commerant ; le porteur ; les ventuelles assurances ; et les autres types dacteurs. La zone gographique dmission ou dutilisation de la carte ou des donnes qui lui sont attaches : lmetteur et lacqureur sont, tous deux, tablis en France. On dira galement, dans ce cas, que la transaction est nationale ; lmetteur est tabli en France et lacqureur est tabli ltranger ; lmetteur est tabli ltranger et lacqureur est tabli en France.

Observatoire de la scurit des cartes de paiement Rapport 2009

75

Directeur de la publication

Robert Ophle Directeur gnral des oprations Banque de France

Rdacteur en chef

Yvon Lucas Directeur des systmes de paiement et infrastructures de march Banque de France

Imprimerie Banque de France Ateliers SIMA er Document achev de rdiger le 1 juillet 2010 Dpt lgal 3me trimestre 2010 ISSN 1768-2991