• Aucun résultat trouvé

Le contexte. 1) Sécurité des paiements et protection du consommateur

N/A
N/A
Protected

Academic year: 2022

Partager "Le contexte. 1) Sécurité des paiements et protection du consommateur"

Copied!
5
0
0

Texte intégral

(1)

Le contexte

1) Sécurité des paiements et protection du consommateur

La sécurité du système Cartes Bancaires a fait l’objet en 2000 et en 2001 d’une concertation au sein d’un groupe de travail du Conseil National de la Consommation et d’un groupe technique restreint dirigé par la Mission Commerce Électronique et la DiGITIP, ainsi que d’un groupe de travail administratif sur les aspects juridiques conduit par la DT. Ces travaux ont donné lieu à une série de recommandations et d’engagements de la part des banques visant à accroître la sécurité des cartes de paiement et les droits des consommateurs. Les dispositions introduites dans la loi n° 2001-1062 du 15 Novembre 2001 sur la sécurité quotidienne1 ont concrétisé ces recommandations.

1a. Les chiffres de la fraude

La vente à distance, principal secteur concerné par la recrudescence de la fraude par cartes bancaires durant l’année 2000, a donné lieu à des comportements délictueux affectant ses différentes composantes (notamment vente par correspondance, téléphonie mobile et commerce électronique).

Cette fraude résulte essentiellement du vol de numéros de cartes (facturettes, commerçants) ou de la génération frauduleuse de numéros via des logiciels de "carding", et non de l'attaque des protocoles utilisés pour le paiement en ligne, comme SSL, beaucoup plus difficiles à réaliser.

Par ailleurs, il apparaît que la fraude sur la vente à distance recensée en 2000 porte principalement sur les opérations de rechargement des cartes prépayées de téléphonie mobile et que, suite à des mesures prises par les opérateurs de télécommunication, cette fraude semble avoir été considérablement réduite en 20012.

S’agissant de la fraude recensée par les banques, elle oscille pour l’ensemble de la vente à distance entre 0,04 et 0,15% du chiffre d’affaires. Ces chiffres sont supérieurs au taux de fraude constaté pour les transactions de proximité, de l’ordre de 0,026%, mais demeurent supportables selon le GIE Cartes Bancaires.

De manière plus détaillée, le taux de fraude relatif au commerce électronique est compris entre 0,05 et 0,35%, alors que le ratio de fraude pour les rechargements de cartes prépayées oscille entre 0,2 et 2%, après avoir culminé au-delà de 10% au début de l’année 2000.

1b. La loi sur la sécurité quotidienne et les initiatives internationales

Les principales dispositions de la loi sur la sécurité quotidienne en matière de protection des porteurs de cartes bancaires sont les suivantes :

- l'élargissement des possibilités de faire opposition : non plus simplement en cas de perte ou vol de la carte, mais aussi lorsqu’il y a utilisation frauduleuse du numéro de carte (en vente à distance par exemple) ;

- l’instauration d’une franchise laissée à la charge du porteur lorsque la fraude a lieu avant la déclaration de perte ou de vol ou d’utilisation frauduleuse : 400 euros jusqu'au 31 décembre 2001, 275 euros aujourd'hui et 150 euros à compter du 1er janvier 2003 ;

- dégagement de la responsabilité du porteur d’une carte victime d’une fraude liée à une contrefaçon de sa carte ou à une transaction à distance sans utilisation physique de la carte (remboursement dans un délai maximum d'un mois après la réception de la plainte)3.

1 Cf. Extrait de la LSQ en pièce jointe

2 Cf. Fiche chiffres sur la fraude en pièce jointe

3 Dispositif de type rétro-facturation ou "charge-back" mais limité aux achats en vente à distance.

(2)

La Commission européenne est quant à elle favorable à la mise en œuvre de systèmes de rétro- facturation ou "charge back", ainsi que l'OCDE qui a produit en 2001 un rapport sur la protection des porteurs de cartes de paiement.

La loi renforce également les moyens de lutte contre les contrevenants informatiques en instaurant des sanctions pénales renforcées pour l'utilisation à des fins délictueuses de moyens informatiques permettant de contrefaire un moyen de paiement. Au niveau européen, la Commission européenne a lancé un vaste plan de lutte contre la cybercriminalité visant à renforcer les pouvoirs des autorités policières et judiciaires.

Enfin, la Banque de France se voit confié par cette loi la surveillance de la sécurité des moyens de paiement non fiduciaires et, pour ce faire, un Observatoire de la sécurité des cartes de paiement, chargé du suivi des statistiques de la fraude et des moyens engagés par les Banques pour accroître la sécurité des cartes de paiements, a été mis en place.

Suite à la pression des pouvoirs publics, une série de mesures techniques tendant à prévenir le risque de fraude ont d'ores et déjà été prises : suppression des numéros de cartes sur les facturettes, modernisation des distributeurs automatiques de billet et des cartes, incitation des sites marchands à ne pas conserver des bases de données de numéros de cartes eu égard aux risques de cybercriminalité, et à supprimer la circulation des numéros de carte sur Internet.

1c. Vers un cadre de confiance pour le commerce électronique

Le problème de la sécurité des paiements en ligne doit être posé dans un contexte plus large. La problématique de fond du commerce en ligne est celle du développement de la confiance des consommateurs, qui exige pour les acteurs économiques, au-delà du problème de la sécurisation du paiement, une réflexion sur une meilleure lisibilité de l’identité et de la notoriété des sites marchands par les consommateurs, leur engagement à suivre des règlements et des règles déontologiques, l’apport d’une valeur ajoutée par rapport à la vente de proximité, l’offre de services de qualité (livraison rapide et non coûteuse) et la mise en œuvre d’un mode de résolution des litiges efficace, rapide et équitable.

La Commission européenne a bien pris en compte l'importance de ces aspects au travers de la directive européenne n° 2000/31/CEsur le commerce électronique du 8 juin 2000, qui fixe le cadre général du droit applicable aux transactions électroniques et à la dématérialisation des contrats électroniques. Sa transposition en droit français a fait l'objet d'un vaste chantier législatif en cours de finalisation en France, dans le cadre de l'avant projet de loi sur l'économie numérique. L’identification des parties et la transparence des informations échangées sur l’Internet sont privilégiés comme une condition de la confiance et du développement des échanges électroniques, ainsi que la reconnaissance juridique de la signature électronique, déjà actée par la loi n° 2000-230 du 13 mars 2000, et celle du contrat électronique.

2) Sécurité des systèmes de paiements en ligne

Si les mesures prises par les pouvoirs publics en matière de protection du consommateur et de lutte contre la cybercriminalité sont indispensables, elles ne garantissent pas les paiements aux commerçants. Il paraît donc nécessaire d'inciter les commerçants, les banques et les industriels à proposer des systèmes sécurisés garantissant les paiements4.

4 Il faut noter pour la France que la loi sur la sécurité quotidienne exclue le remboursement intégral de la fraude lorsque le paiement est effectué avec un dispositif de paiement sécurisé.

(3)

2a. Les différents modèles de paiement à distance On peut distinguer deux modèles de paiement à distance. :

- Le modèle assurantiel tend à promouvoir, en l’absence de solution technique fiable, des assurances couvrant le risque de fraude. Le « charge back » constitue la solution la plus aboutie de ce système en posant le principe de la recréditation automatique en cas d’opération contestée. Cependant, ce modèle ne permet pas aux commerçants de se prémunir contre les achats frauduleux : les commerçants doivent alors mettre en œuvre individuellement des outils de gestions des risques et des litiges et des techniques de

"profiling" de leurs clients, ou alors souscrire eux-mêmes à des assurances souvent coûteuses.

- Le modèle technique consiste à développer les solutions matérielles ou logicielles propres à sécuriser les transactions. C’est la voie privilégiée en France par les acteurs bancaires et industriels.

2b. La solution SSL

Actuellement, les opérateurs de vente par correspondance et de téléphonie mobile, lorsque le consommateur choisit de régler sa transaction par carte bancaire, se font communiquer le numéro et la date de validité de la carte du consommateur. La transaction ne donne donc pas lieu, comme dans un achat de proximité, à la tabulation du code confidentiel et à l’utilisation de la puce.

Lors d’un achat en ligne, le consommateur doit également communiquer le numéro et la date de validité de sa carte mais ces données font l’objet d’un envoi crypté. Les sites ont recours dans la quasi- totalité des cas au protocole dit SSL (Secure Sockets Layer) qui permet de chiffrer le message transmis (dont le numéro de carte de paiement). Ce protocole se révèle simple et peu coûteux et peut être, de plus, perfectionné lorsqu’il est mis en œuvre par des établissements de crédit qui par leur rôle d’intermédiation permettent de ne transmettre au commerçant que les informations relatives à la commande (le numéro de carte n’étant dès lors connu que par le serveur de télé-paiement).

Néanmoins, ce dispositif ne garantit pas l’authentification de l’acheteur et du commerçant, ni l’intégrité des données transmises au commerçant et les banques refusent d’assurer la garantie des paiements, contrairement aux transactions de proximité qui bénéficient d’une telle garantie.

2c. Les nouvelles solutions de paiement

Compte tenu de l'absence de garantie dans la mise en œuvre de la solution SSL, la sécurisation des paiements en ligne fait l’objet de nombreuses expérimentations, qui se déploient principalement dans deux directions :

- La recherche d’une alternative à l’utilisation des cartes de paiement

Cette catégorie repose sur des solutions ayant pour effet de substituer aux cartes de paiement un nouveau moyen de paiement. Les principales expériences sont les suivantes :

- la carte virtuelle dynamique, commercialisée par AMEX aux États-Unis ou le groupement Cartes Bleues en France. L’acheteur désirant régler un achat en ligne reçoit de sa banque un numéro de paiement valable pour un seul achat. Bien que dénommée carte, cette solution constitue en réalité un nouveau moyen de paiement qui n’offre cependant pas la garantie de paiement aux commerçants ;

- le porte-monnaie électronique. Il vise à répondre aux paiements de petit montant pour lesquels les cartes de paiement sont mal adaptées, compte tenu des coûts de traitement. Il est commercialisé par de nombreux émetteurs et prend la forme soit de cartes prépayées, soit de points de fidélité ;

(4)

- les paiements de personne à personne. Le paiement P to P permet à un internaute d’envoyer et de recevoir de l’argent par courrier électronique. Il doit pour cela s’inscrire sur un site de « paiement par courrier » en fournissant un numéro de compte bancaire ou de carte. Il indique ensuite l’e-mel de la personne à qui il veut envoyer de l’argent (particuliers, commerçants, etc.) et le montant du virement. Le bénéficiaire reçoit un e-mel le guidant vers le site sécurisé où il ouvrira à son tour un compte en indiquant son compte bancaire habituel afin de percevoir de l’argent. Cette solution rencontre un réel succès aux États-Unis mais demeure à un stade embryonnaire en France ;

- la banque à domicile. Les banques offrent maintenant à leurs clients des services de consultation et d’utilisation de leur compte en ligne. Cette solution permet d’effectuer des virements mais ne semble pas en mesure de se développer rapidement compte tenu de la lourdeur et du coût de la procédure (nécessité de disposer du RIB du bénéficiaire du paiement, coût du virement parfois élevé).

- Les solutions d’authentification des transactions

Ces solutions ont pour objet d’assurer la non-répudiation comme dans une transaction de proximité.

Par exemple, de même qu’un paiement chez un commerçant donne lieu à la tabulation du code dans le terminal de paiement, certaines de ces solutions visent à installer un lecteur de carte à puce sur l’ordinateur de l’internaute, son téléphone mobile ou son décodeur de télévision.

Toutefois, les solutions basées sur un lecteur de carte à puce se révèlent coûteuses pour les consommateurs (acquisition d'un matériel dédié), mais aussi dans une moindre mesure pour les commerçants.

D'autres solutions, par exemple celle développée par la société Magicaxess et promue par les Caisses d’Épargne, visent au contraire à s’appuyer sur une authentification du consommateur par un code secret et par un code aléatoire qui lui est transmis par SMS sur son téléphone mobile. Ce type de solution évite au consommateur l’acquisition et l’utilisation de matériels dédiés.

Au total, un grand nombre de solutions sont en cours d’expérimentation, mais aucune n’a réussi à s’imposer comme le protocole SSL. Il demeure difficile actuellement d’entrevoir quelle formule s’imposera définitivement en matière de sécurisation des paiements en ligne.

2d. Les conditions de déploiement de solutions de paiement sécurisées

Le déploiement de ces nouvelles solutions se heurte d'abord à un problème de masse critique. En effet, les travaux d'intégration de ces solutions au sein des sites marchands ne se justifient que si un nombre suffisant de clients du commerçant a déjà adhéré à la solution. Par ailleurs, ces solutions doivent être inter-opérables avec le système bancaire, sans modification substantielle de celui-ci.

C'est pourquoi les grandes marques de cartes de paiement comme Visa, Mastercard etc. ont mis en place des modèles ou standards d'inter-opérabilité pour le paiement par carte en ligne. Après l'insuccès du protocole SET, du à la lourdeur de sa mise en œuvre, Visa propose aujourd'hui le modèle appelé 3D Secure qui consiste à définir la chaîne de responsabilité entre la banque émettrice de la carte, la banque du commerçant et Visa. Dans ce schéma, la banque émetteur doit inscrire le porteur au service 3D Secure et authentifie le porteur au moment de l’achat. La banque acquéreur propose au commerçant d’être affilié au programme 3D Secure et lui fournit un logiciel. Enfin, Visa facilite les échanges entre les deux domaines acquéreur et émetteur, en s’appuyant sur un protocole commun, et met en place un historique des authentifications. Visa entend imposer ce modèle aux banques émettrices, par un transfert de responsabilité de la banque acquéreur vers la banque émetteur (qui devient responsable quant à l'authentification, quelque soit le moyen assurantiel ou/et technique qu'elle choisit).

Ce modèle ne règle pas la question de l'authentification de l'acheteur et d'autres initiatives de standardisation s'avèrent nécessaires pour régler cette question. Ainsi, les banques promeuvent, avec le

(5)

soutien de la Commission européenne, un standard européen, appelé Finread5, pour une solution d'authentification par carte de paiement basée sur un lecteur de carte à puce sécurisé. Cependant, ce type de solution suppose que les Banques s'engagent à fournir à leurs clients ce type de lecteur à un coût réduit. Aujourd'hui, ces lecteurs demeurent encore trop coûteux, mais des efforts de recherche et développement sont engagés par les industriels pour y remédier, notamment au travers de l'appel à projet OPPIDUM.

L'autre axe de standardisation susceptible d'aboutir à des solutions de paiement sécurisé inter- opérables concerne les travaux sur la signature électronique, à l'IETF (Internet Engineering Task Force), à l'ISO au sein des groupes bancaires, ou dans les instances de standardisation européennes (CEN - Comité Européen de Normalisation, ETSI - Institut Européen de Normalisation en Télécommunications). L'utilisation de la signature électronique présente l'avantage, comme SSL, que c'est une technologie déjà plus ou moins intégrée dans les navigateurs et serveurs Web. En combinaison avec l'envoi du numéro de carte bancaire par SSL, la signature électronique permettrait de manifester l'engagement de l'acheteur et garantirait l'achat.

Le groupe de travail n°5 de la Mission Économie Numérique, piloté par la Banque de France, doit remettre prochainement une série de recommandations sur les exigences d'ergonomie et de sécurité qui doivent être respectées par ce type de solutions. Ce groupe réfléchit également sur l'opportunité que peut représenter la carte électronique d'identité, projet piloté par le ministère de l'Intérieur, pour la sécurisation des transactions financières.

5 Inspiré de la solution Cyber-comm qui est aujourd'hui abandonnée

Références

Documents relatifs

La voiture intervient de plus en plus souvent dans les conflits (84,5 % contre 82,4 % entre 2009 et 2013), notamment les conflits entre voitures ou avec les modes

Le nombre de tués a augmenté dans les grandes agglomérations de plus de 5000 habitants (+25,7%) et diminué dans les petites agglomérations (-19,2%) même si la réduction du

Tout conducteur ou passager d'un cycle non- revêtu de ce gilet à compter de cette date sera passible d'une contravention de la deuxième classe d'un montant de 35 euros, amende

Par contre, les accidents sont plus graves en Vendée puisque le nombre d'accidents mortels et le nombre d'accidents graves* sont presque équivalents dans les deux départements

Rase cam pagn e petit es a gglos grandes agglos 82% des accidents impliquant un cyclomoteur sont recensés en milieu urbain, dont 72% dans les agglomérations de 5 000 habitants

- Pour la première fois depuis la publication de ces statistiques en 2004, le montant de la fraude sur les cartes de paiement émises en France s’est inscrit en baisse : 399

Les progrès réalisés s’illustrent d’abord par une baisse significative, à 744 millions d’euros en 2017, du montant annuel de la fraude sur les moyens de paiement émis

Le quatrième rapport annuel de l’Observatoire de la sécurité des moyens de paiement rend compte d’une fraude globalement maitrisée sur l’ensemble des instruments de paiement à