Les fraudes sur cartes bancaires sont un fléau moderne auquel des millions de Français ont déjà été confrontés. La législation protège en principe les consommateurs contre ces fraudes, en obligeant les banques à rembourser les montants débités frauduleusement dans les meilleurs délais, mais toutes les banques ne respectent pas ces lois. Pourtant, ces fraudes sont d’une banalité inquiétante, comme on peut le constater à la lecture du dernier rapport de l’Observatoire de la sécurité des moyens de paiement.

Selon les dernières données disponibles, concernant les transactions effectuées en 2018 (le rapport ayant été publié en juillet 2019 le prochain est attendu cet été), les fraudes sont en hausses.

Les statistiques calculées par l’Observatoire pour l’année 2018 portent ainsi sur 683,7 milliards d’euros de transactions réalisées en France et à l’étranger au moyen de 79 millions de cartes « interbancaires » émises en France (dont 58 millions de cartes sans contact).

439 millions d’euros fraudés sur les CB françaises

Après un recul en 2017, la fraude sur les paiements et retraits effectués en France et à l’étranger avec des cartes françaises est en augmentation en 2018 (+ 13,4 % par rapport à 2017) et s’élève à 439 millions d’euros pour un montant total de transactions de 704,4 milliards d’euros, en augmentation de 5,9 % par rapport à 2017.

En conséquence, le taux de fraude sur les cartes de paiement françaises se dégrade très légèrement et s’établit désormais à 0,062 %, contre 0,058 % en 2017. En clair, on ne déplore que 62 fraudes sur 100 000 transactions par CB. C’est plus que l’année d’avant, mais tout de même très rare. Parmi toutes ces fraudes, très peu concernent les paiements réalisées en France sur des terminaux de paiement électroniques (TPE), ou des retraits aux distributeurs français.

Si le nombre de fraudes rapporté au nombre de transaction est minime, la proportion de victimes de fraudes est plus inquiétante.

1,4 million de CB victimes de fraudes chaque année

Comme le note le rapport : « le nombre de cartes françaises pour lesquelles au moins une transaction frauduleuse a été enregistrée au cours de l’année 2018 s’élève à 1 358 819, ce qui représente une progression de 12 % par rapport à 2017 ». Ainsi, près de 1,4 million de CB sont victimes d’une fraude chaque année. A ce rythme, une large partie de la population a déjà été confrontée à ce fléau.

Le cœur du problème des fraudes CB ne porte pas tant sur les paiements par CB chez des commerçants en France, mais bien plus sur des paiements à distance à l’étranger, en particulier sur Internet, où les arnaques pullulent.

La fraude sur les paiements internationaux par CB a augmenté de 9,2% en 2018, pour atteindre 291,2 millions d’euros. Les fraudes sur les paiements internationaux représentent ainsi les deux tiers des fraudes (291,2 sur 439 millions de fraudes totales = 66,3%).

4,3 fois plus de fraudes sur les paiements CB internationaux

Certes, les autorités se félicitent que le taux de fraudes sur les paiements par CB internationaux diminue. Il est vrai que la hausse de ces fraudes (+9,2%) est inférieure à la progression des transactions internationales par CB (+13,4% en 2018). Résultat, le taux de fraude sur les paiements CB internationaux a diminué, passant de 0,281% à 0,27% en 2018. On déplore tout de même 270 fraudes pour 100 000 paiements CB internationaux, soit 4,3 fois plus que sur l’ensemble des transactions par CB.

En montant, l’Observatoire constate « que ce taux de fraude demeure toujours élevé au regard du montant des opérations concernées puisque les transactions internationales représentent 54 % du montant total de la fraude alors qu’elles ne comptent que pour 14 % de la valeur totale des transactions ».

Surtout, les CB françaises sont davantage victimes de fraudes sur des paiements à l’étranger, que des CB étrangères ne sont victimes de fraudes sur des paiements en France. En effet, la catégorie « fraudes sur transactions CB internationales » inclut les deux catégories. Mais en regardant dans le détail, les taux de fraudes sur les paiements à l’étranger sont encore plus élevés.

L’Observatoire constate « pour les cartes françaises, une légère augmentation du taux de fraude sur les opérations réalisées au sein de la zone SEPA 3 qui passe de 0,308 % en 2017 à 0,352 % en 2018, mais qui reste toutefois en-deçà de celui des transactions réalisées hors de l’espace européen SEPA, en diminution en 2018, à 0,438 % (contre 0,511 % en 2017) ».

Les Français qui payent par CB à l’étranger sont donc victimes de 352 fraudes sur 100 000 transactions en cas de paiement en zone euro (SEPA) et de 438 fraudes pour 100 000 hors zone euro. Ces fraudes incluent celles réalisées lors de paiements à distance, ou sur place (en voyage ou déplacement dans les pays concernés).

Internet et paiements à distance internationaux risqués

Zoomons encore un peu, pour observer cette fois les seuls paiements par Internet, p.28-29 du rapport :

« pour les cartes françaises, la hausse de la fraude sur les transactions effectuées au sein de l’espace européen SEPA est imputable aux transactions sur Internet dont le montant de la fraude qui s’élevait à 74,4 millions d’euros passe à 118 millions d’euros en 2018 avec un taux de fraude s’établissant à 0,594 % (contre 0,527 % en 2017) soit à un niveau trois fois et demie supérieur à celui pour ce type transaction au niveau national. À l’inverse, on observe une amélioration de la fraude sur les transactions réalisées en dehors de l’espace européen SEPA (50,3 millions d’euros, contre 60,3 millions d’euros en 2017) avec un taux de fraude à 0,438 % (contre 0,511 % en 2017) mais la fraude sur les paiements à distance, quant à elle, a progressé avec un niveau de fraude relativement élevé (1,168 %) ».

La fraude sur les paiements à distance hors zone euro atteint donc 1 168 fraudes pour 100 000 paiements, c’est presque vint fois plus que sur l’ensemble des transactions par carte (1168 sur 62 = 18,8).

Usurpation de CB

Concernant les types de fraudes, les escrocs procèdent principalement par usurpation des données de CB pour dépouiller leurs titulaires :

« L’usurpation de numéros de cartes pour réaliser des paiements frauduleux reste toujours la principale origine de la fraude (66 % en montant). Les techniques de fraude les plus utilisées en 2018 pour usurper les numéros de cartes demeurent celles de l’hameçonnage (phishing), et des logiciels malveillants (malwares). »

L’Observatoire livre quelques détails précieux sur le mode opératoire des pilleurs de CB :

« L’hameçonnage ou phishing repose généralement sur l’envoi de courriels usurpant des chartes visuelles et logos connus de leurs destinataires (par exemple un établissement de crédit) et invitant les victimes à se connecter à un site qui s’avère frauduleux. L’objectif est de collecter des données de la carte. »

« Les logiciels malveillants (malware) visent tant les serveurs des grandes entreprises que les ordinateurs personnels des particuliers, et, de manière croissante, les téléphones mobiles qui sont de plus en plus utilisés dans le cadre de transactions de paiement. L’un des « malwares » les plus répandus, connu sous le nom de « keylogger », permet ainsi d’enregistrer les touches frappées au clavier par la victime. Ces logiciels malveillants son généralement inoculés, à l’insu de l’utilisateur, au travers de sources apparemment de confiance. »

L’authentification 3D Secure avec code SMS n’empêche pas les fraudes

Une source constante de litiges entre les clients victimes de fraudes sur leur CB et leur banque concerne les débits frauduleux avec validation par un code d’authentification renforcé, adressé en principe au titulaire de la CB par SMS. En principe. Car en réalité, il arrive que des transactions frauduleuses soient effectuées avec utilisation d’un code d’authentification, sans que la victime du débit frauduleux n’ait jamais reçu le fameux code par SMS.

Ces fraudes sont doublement pénalisantes et traumatisantes pour les clients qui en sont victimes, car en plus du refus de remboursement, les banques mettent en doute la version des victimes. Or, malgré le progrès des authentifications renforcées, ces fraudes perdurent toujours, comme le confirme l’Observatoire de sécurité des moyens de paiement, même si elles restent heureusement assez rares :

« Le taux de fraude sur les transactions nationales authentifiées par le protocole 3D-Secure ressort à 0,07 % pour l’année 2018, quasi identique à celui de 2017 (à 0,06 %). Ce niveau est plus proche du taux de fraude observé sur la totalité des transactions nationales y compris de proximité (0,038 %), que du taux de fraude sur l’ensemble des paiements à distance (0,173 %). »

Les fraudes au distributeur existent

Certains litiges opposent parfois des clients à leur banque au sujet de fraudes CB portant sur des retraits aux distributeurs. Le client est certain de ne pas avoir effectué le retrait qui lui est débité, alors que la banque refuse de le croire et considère que le retrait litigieux n’a pu être effectué que par le client. Il ne pourrait y avoir en aucun cas, selon la banque, de retrait « frauduleux ».

Or, les fraudes CB aux distributeurs existent bel et bien, comme le pointe le rapport de l’Observatoire, p.29 :

« Le nombre de piratages de distributeurs automatiques de billets (DAB) a augmenté en 2018 avec 125 cas recensés, contre 76 l’an passé, mais celui-ci reste à un niveau relativement modéré eu égard à ceux constatés avant 2017. En 2018, il est observé une intensification des compromissions de DAB par la technique du « jackpotting » ainsi qu’une diversification des modes opératoires utilisés. Le jackpotting consiste à prendre le contrôle d’un distributeur en y connectant un ordinateur portable soit pour accéder aux données du calculateur du DAB soit pour lui injecter un malware. »

L’Observatoire des moyens de paiement donne ensuite de précieuses explications sur ce que les clients victimes de fraudes savent, mais que les banques contestent, à savoir que les données des CB piratées aux distributeurs sont exploitées pour dépouiller leurs titulaires :

« Quel que soit le type d’automates de paiement ou de retrait compromis, les données de carte de paiement ainsi obtenues par les réseaux criminels sont ensuite exploitées, soit pour contrefaire des cartes à piste magnétique qui seront utilisées pour des paiements et des retraits à l’étranger, principalement dans les pays où la technologie de carte à puce EMV est peu déployée, soit pour usurper des numéros de carte en paiement à distance, qui sont réutilisés principalement sur les sites de e-commerce qui n’ont pas mis en oeuvre l’authentification du porteur de la carte. »

Persistance des fraudes aux chèques

Alors que les paiements par chèques diminuent, ce moyen de paiement fait aussi l’objet de fraudes récurrentes.

« Depuis trois années consécutives, le chèque connaît une hausse des montants fraudés, lesquels atteignent 450 millions d’euros en 2018, ce qui représente une progression annuelle de 52 %. Par conséquent, dans un contexte de diminution des flux de paiement par chèque, le taux de fraude enregistre une hausse significative : il est à 0,0505 %, contre 0,0296 % en 2017. Ces données placent le chèque comme premier moyen de paiement le plus fraudé avant la carte de paiement (respectivement 43,1 % et 42,0 % en montant), pour une utilisation pourtant beaucoup moins intensive. En effet, le chèque n’est que le quatrième moyen de paiement scriptural en nombre de paiements annuel, et est ainsi utilisé 8,5 fois moins souvent que la carte. Le montant moyen d’un chèque fraudé remis à l’encaissement est également en légère progression, soit à 2 704 euros, contre 2 577 euros en 2017. »

« La fraude au chèque se caractérise par une progression des montants unitaires, soit 8 483 euros pour les chèques falsifiés, 4 540 euros pour les chèques contrefaits, 1 827 euros pour les chèques volés ou perdus, et enfin 5 277 euros pour les chèques détournés ou rejoués. »

« Faux vir » : les arnaques aux faux virements

Parfois connue sous le nom d’arnaque au président, les fraudes aux faux virements consistent alors généralement à manipuler des salariés dans des entreprises pour leur faire effectuer des virements, « sur ordre du président » ou par usurpation d’un autre responsable décisionnaire, sous couvert de prétextes bidon (faux projets de rachat d’entreprise ou d’investissement, etc.) au profits d’escrocs.

Les faux virements peuvent aussi relever d’intrusions dans les systèmes d’information et de piratages des comptes bancaires, pour prendre la main sur le compte de la victime et effectuer des virements frauduleux à son insu. Les particuliers peuvent en être victimes.

« En 2018, le montant total de la fraude sur les virements émis depuis un compte tenu en France s’élève à près de 97 millions d’euros, soit une en hausse de 24 % par rapport à 2017.  Les virements transfrontaliers subissent en proportion une fraude plus importante que les virements nationaux, et représentent près de 68 % des montants fraudés alors que les transactions transfrontalières ne comptent que pour 23 % des virements émis en montant. »

« Le faux virement, c’est-à-dire l’émission d’un ordre de virement par le fraudeur au moyen d’attaques informatiques, reste le type de fraude prédominant (52 % du montant total de la fraude aux virements, contre 54 % en 2017), suivi par le détournement (41 %, contre 42 % en 2017). »

« L’initiation de virement depuis l’espace de banque en ligne (sur internet ou via une application mobile) reste le canal le plus touché (42 % des montants fraudés en valeur en 2018, contre 38 % en 2017) »

En 2018, la fraude de type détournement au moyen de techniques d’ingénierie sociale a revêtu essentiellement les formes exposées ci-après.

La fraude au président : le fraudeur usurpe l’identité d’un haut responsable de l’entreprise pour obtenir d’un collaborateur la réalisation d’un virement urgent et confidentiel à destination de l’étranger. Pour ce faire, le fraudeur utilise des informations recueillies sur l’entreprise et ses dirigeants sur internet ou directement auprès des services de l’entreprise.

La fraude aux coordonnées bancaires : le fraudeur usurpe l’identité d’un fournisseur, bailleur ou autre créancier, et prétexte auprès du client, locataire ou débiteur, un changement de coordonnées bancaires aux fins de détourner le paiement des factures ou loyers. Le fraudeur envoie les nouvelles coordonnées bancaires par courrier électronique ou avec un courrier en bonne et due forme du créancier.

La fraude au faux technicien : le fraudeur usurpe l’identité d’un technicien informatique (de la banque, par exemple) pour effectuer des faux tests dans le but de récupérer des identifiants de connexion, provoquer des virements frauduleux ou encore procéder à l’installation de logiciels malveillants.

La fraude au faux conseiller bancaire : le fraudeur usurpe le numéro de téléphone du conseiller bancaire, généralement en période d’absence de ce dernier, et contacte le client pour obtenir des informations.

Prélèvements frauduleux

Cette dernière catégorie de fraude est moins fréquente, mais peut aussi arriver.

Deux méthodes de fraudes aux prélèvements sont particulièrement pernicieuses.

« Émission illégitime d’ordres de prélèvement (faux prélèvement) : le créancier fraudeur s’enregistre en tant qu’émetteur de prélèvement auprès d’un prestataire de services de paiement et émet massivement des prélèvements vers des IBAN qu’il a obtenus illégalement et sans aucune autorisation. »

« Usurpation d’IBAN pour la souscription de services (détournement) : le débiteur fraudeur communique à son créancier les coordonnées bancaires d’un tiers lors de la signature du mandat de prélèvement et bénéficie ainsi du service, sans avoir à en honorer les règlements prévus. »

Pour en savoir plus, consultez le site de l’Observatoire de la sécurité des moyens de paiement www.observatoire-paiements.fr

Print Friendly, PDF & Email

Laisser un commentaire