A la Une Geoffroy de Lavenne: Les grands principes de l’hébergement à valeur ajoutée
Abonnez vous à la mailing-list de La Lettre
Le dossier : Rapport accablant sur la réalité de la fraude à la carte bancaire sur l'internet en France et en Europe.
Rapport accablant sur la réalité de la fraude à la carte bancaire sur l'internet en France et en Europe.
17/06/03 - "Le service de contrôle des paiements électroniques SSL EPAY SECURITY est un observatoire idéal de la fraude à la carte bancaire sur l'internet, puisqu'il représente une solution de gestion électronique intégrale préventive et active du risque client et de recouvrement pour des marchands électroniques sur l'internet (des entreprises qui vendent des services ou des biens matériels ou immatériels et qui sont clientes de SSL EPAY SECURITY)."
"Cette publication est une initiative privée, ni contrôlée, ni supervisée, ni engendrée par une quelconque administration publique ou privée autre que la société GLOBAL INTERNET SOLUTIONS par qui elle a été réalisée. Elle vise à sensibiliser les pouvoirs publics, les acteurs du e-business et les entreprises du risque que constitue le commerce électronique en général, et particulièrement le risque côté marchand concernant les transactions bancaires et les paiements électroniques par l'internet. Ce rapport est une photographie fidèle du risque lié au commerce électronique, vécu et observé quotidiennement par le service de sécurisation des paiements SSL EPAY SECURITY pour le compte de ses clients marchands sur l'internet et demandeurs d'une sécurisation maximale pour leurs flux financiers.
Cet audit a été réalisé sur un échantillon de 9064 transactions bancaires par l'internet sur la période du 1/1/2000 au 31/3/2003 sélectionnées aléatoirement en volume, en position et uniformément dans le temps de manière à s'assurer au maximum de la légitimité des statistiques obtenues. Les transactions bancaires sont issues de ventes réalisées en ligne exclusivement via l'interface de paiement du service SSL EPAY SECURITY sur un panel de 100 sites marchands européens aléatoirement sélectionnés et clients de SSL EPAY SECURITY, ne se confondant pas sur les mêmes marchés et dans les mêmes activités de distribution en ligne.
L'objectivité, la réalité et la certification des informations traitées et analysées ont été scrupuleusement et rigoureusement respectées de manière à ce que la loyauté des informations communiquées ne soit pas remise en question.
Ce rapport communique des statistiques précises sur le nombre de transactions réalisées sur une période donnée (années 2000, 2001, 2002 et premier trimestre 2003), le nombre de fraudes et de refus de paiement enregistrés sur les périodes respectives (et déjouées par le service de sécurisation SSL EPAY SECURITY). Ce nombre de transactions déjouées correspond précisemment à des transactions bancaires frauduleuses (refus de paiment, tentatives de fraudes, ou fraudes avérées) réalisées par des individus quelconques, des hackers, des lamers, ou des déliquants de petite ou grande envergure qui auraient abouties à des impayés par ""cartes bancaires inexistantes"", ""opposition de paiement"", ""contestation du porteur"" ou ""facture contestée"" s'ils n'avaient pas été détectés préventivement par le service de contrôle et de certification du paiement SSL EPAY SECURITY.
Une partie des transactions interdites résulte de l'usurpation de numéros de cartes bancaires existantes, propriétés de tiers victimes, une autre partie résulte de l'utilisation de ""yescards"" ou ""cartes blanches"" qui sont des copies ou des cartes frauduleuses reconstituées. Les Centres d'Autorisation des différentes banques associés à des services de paiements sécurisés traditionnels ne pourraient pas détecter les fraudes dans l'immense majorité des cas, alors que SSL EPAY SECURITY, utilisant d'autres technologies, et d'autres moyens d'expertise, d'analyse comportementale et de renseignement déjoue la tentative de fraude dans 99,9999% des cas (pour ne pas dire 100%).
Les répudiations enregistré par SSL EPAY SECURITY (transactions effectivement redébitées par les banques suite à une opposition directement auprès de SSL EPAY SECURITY) ne concernent que moins d'une transaction douteuse sur 10000 (soit moins de 0,0001%) ce qui est nettement insignifiant, ces répudiations ne concernent pas les marchands, puisque SSL EPAY SECURITY leur reverse le montant encaissé quoi qu'il arrive en cas d'acceptation initiale du paiement (notion d'irrévocabilité) et elles ne concernent que des transactions douteuses, qui ne déclenchent pas un droit au reversement, et donc le risque financier est nul pour les deux parties.
On observe désormais qu'une part non négligeable de paiements ""potentiellement à risques"", ou ""potentiellement frauduleux"" déjoués préventivement résulte de ce que SSL EPAY SECURITY qualifie de ""reflexe facile d'opposition de la part du porteur"" (le propriétaire de la carte bancaire utilisée est le véritable acheteur, et il connaît la possibilité légale qu'il a de réclamer à sa banque le remboursement d'une transaction à distance dans un délai de 120 jours, sans avoir à apporter la moindre preuve de sa bonne foi, en pretextant qu'il n'est pas à l'origine de l'opération en question ou qu'il y a un litige commercial, il est alors recrédité du montant, et le marchand subi directement les dommages souvent avec des recours très limités qu'il n'exploite pas généralement dû au faible montant de l'enjeu en face du coût de la procédure judiciaire à mettre en œuvre pour le recouvrement).
Les transactions de paiement non abouties ou abandonnées en cours de saisie ne sont pas comptabilisées dans les résultats présentés dans ce rapport, les informations recceuillies ne permettant pas de définir avec exactitude s'il s'agissait de paiements réalisés de bonne ou mauvaise foi par l'internaute, avec l'intention ou non de nuire.
L'année 2000 a été retenue comme année de référence.
428 transactions de paiement ont été analysées, représentant un montant de 39377 €.
Sur l'année 2000, SSL EPAY SECURITY a déjoué 10 tentatives de fraudes sur un total de 428 transactions étudiées proportionnellement au volume total de transactions de l'année étudiée, soit 2,34 % de fraude par rapport au nombre de transactions.
En 2001,
507 transactions de paiement ont été analysées, représentant un montant de 51690 €.
Sur l'année 2001, SSL EPAY SECURITY a déjoué 29 tentatives de fraudes sur un total de 507 transactions étudiées proportionnellement au volume total de transactions de l'année étudiée, soit 5,72 % de fraude par rapport au nombre de transactions (en augmentation de près de 144% par rapport à 2000).
En 2002,
4881 transactions de paiement ont été analysées, représentant un montant de 576803 €.
Sur l'année 2002, SSL EPAY SECURITY a déjoué 660 tentatives de fraudes sur un total de 4881 transactions étudiées proportionnellement au volume total de transactions de l'année étudiée, soit 13,52 % de fraude par rapport au nombre de transactions (en augmentation de près de 136 % par rapport à 2001).
En 2002, le GIE CARTES BANCAIRES martèle que le taux de fraude en France n'est que de 0,02% du montant total des transactions, alors qu'il serait partout ailleurs de 0,5%.
Paradoxalement, l'année 2002 a été la pire enregistrée depuis 2000 selon la propre expérience de SSL EPAY SECURITY avec un taux record de 13,52% de refus des transactions.
En 2003, jusqu'au 31/3/2003,
3248 transactions de paiement ont été analysées, représentant un montant de 252099 € sur 3 mois.
SSL EPAY SECURITY a déjoué 255 tentatives de fraudes sur un total de 3248 transactions étudiées proportionnellement au volume total de transactions de la pédiode étudiée, soit 7,85 % de fraude par rapport au nombre de transactions.
Profil de l'internaute potentiellement à risque
Entre janvier 2000 et mars 2003, il en ressort une certaine évolution sensible du profil du fraudeur. SSL EPAY SECURITY a clairement observé une acquisition et une maîtrise de la technique de fraude, une professionnalisation de la fraude, voire une certaine organisation de la fraude sur l'internet dans certaines activités de distribution. Les hackers et les lamers ne sont plus les seuls à user de la fraude par carte bancaire. Les différentes techniques de fraudes et les moyens de contourner les systèmes de paiements sécurisés traditionnels (systèmes bancaires) sont connus plus largement. Les modes opératoires et les processus sont techniquement très simples à mettre en œuvre et intéressent les organisations criminelles, les mafias.
Les fraudeurs ne sont plus simplement des petits déliquants sans antécédents, ou des mineurs au moment des faits. Certes, il subsiste toujours cette population de ""fraudeurs curieux"" qui tentent leur chance, assurés d'être anonymes sur l'internet (ce qui n'est bien entendu pas le cas), mais il est incontestable que la fraude s'organise, se prépare, et découle d'une réflexion et d'une stratégie d'escroquerie facile et peu risquée.
Par ailleurs, le recel d'objets achetés par l'internet avec des numéros de cartes bancaires usurpés, ou le blanchiment d'argent constituent des sources évidentes de financement du terrorisme.
Depuis plusieurs années, et plus significativement depuis le 11 septembre 2001, les tentatives de fraudes visant les intérêts d'entreprises européennes et françaises depuis les pays d'Afrique du Nord, du Moyen-Orient, et d'une partie de l'Asie (Indonésie notamment) est en très forte augmentation sans qu'on puisse rien y faire pour la freiner ou la stopper évidemment.
La fraude intra-européenne, et notamment en France est en augmentation constante également, elle trouve sa source dans toutes les catégories de population, urbaines et rurales, pratiquée majoritairement par des hommes (95%), majoritairement jeunes (80% sont des 15-30 ans), et au contact de la délinquance traditionnelle (habitant dans des zones géographiques à risques élevés, ou fréquentant des milieux où la délinquance est plus forte que la moyenne, notamment des ZUP).
La fraude visant les intérêts européens et français trouvant son origine en Amérique du Sud, en Europe de l'Est (Russie notamment) et depuis les Etats-Unis n'est pas significative, mais n'est pas inexistante.
De manière anecdotique, les tensions transatlantiques consécutives à la guerre en Irak dans le premier trimestre 2003, au refus de la France de s'engager aux côtés des Américains, et à l'incompréhension de la position française aux Etats-Unis par une partie de la population ont généré des tentatives de fraudes massives depuis les USA contre des sites marchands d'entreprises françaises sur l'internet au mois de Mars 2003. Les nuisances provoquées par de telles initiatives délibérées (même si elles étaient facilement déjouées puisque la plupart des commandes douteuses de clients américains comportaient à ce moment là des commentaires aux noms d'oiseaux contre la France, les numéros de cartes bancaires étaient truqués, et étaient donc d'office identifiées et détruites) ne sont pas sans conséquence sur l'activité économique de l'entreprise victime, surtout si elle ne dispose pas d'outils et d'une solution pour lutter contre la fraude. Les recours sont quasiment inexistants. La capacité de nuire est réelle. La menace existe.
Par ailleurs, il est incontestable que des fichiers de cartes bancaires circulent sur le marché, on observe par exemple que de très nombreux fraudeurs asiatiques utilisent des numéros de cartes bancaires de clients d'Amérique du Nord, il est effectivement peu probable compte tenu de la situation géopolitique des deux continents et de la réccurrence de ce phénomène (qui tend par ailleurs à se développer sur le même modèle avec les fraudeurs d'Afrique et du Moyen-Orient) que ces informations bancaires leurs soient tombées par hasard entre les mains. Le recel de fichiers de cartes bancaires avec nom du propriétaire et numéro complet associé à la date d'expiration de la carte, incluant parfois le code cryptogramme visuel (numéro au dos de la carte) doit être un business en plein essor.
Activités à risque sur l'internet
Les produits les plus visés par la fraude restent toujours le high-tech (informatique, logiciels, téléphonie mobile...), le voyage (réservations de vols, d'hôtels), les bijoux, les produits culturels (DVD, CD, jeux vidéos...) mais désormais également des domaines qui étaient généralement épargnés comme l'alimentation (alimentation spécialisée, alimentation générale, confiserie...), l'habillement, la décoration, mais surtout les services aux particuliers (services de rencontre, services de connectivité, services de jeux en ligne et services de jeux de hasard...), et les services aux entreprises (services de marketing, d'hébergement...). De plus en plus de sociétés de services sont victimes de paiements frauduleux ou d'impayés suite à des oppositions de paiement par carte bancaire, et ont énormément de mal à prouver leur bonne foi quant à la réalisation de la prestation compte tenu du caractère immatériel de cette dernière.
Seuls quelques domaines sont épargnés, généralement quand le bien vendu, qu'il soit matériel ou immatériel nécessite un préalable de négociation entre le marchand et son client, et où une relation de confiance s'est installée avant la concrêtisation de la transaction de paiement, ce qui ne peut hélas pas être le cas dans tous les modèles de sites marchands et dans toutes les activités commerciales sur l'internet.
Synthèse de l'audit
De ce rapport il ressort essentiellement que la fraude sur l'internet est en augmentation soutenue, que le nombre de transactions frauduleuses ou interdites augmente fortement (entre 2000 et 2003, la proportion d'interdictions sur le nombre de transactions traitées a été plus que triplé), que les moyens mis en œuvre par les pouvoirs publics pour lutter contre (ou prévenir) la fraude sont nettement insuffisants, voire sans effet, que les institutions judiciaires ne sont ni correctement dimensionnées ni formées ni même financées pour répondre à cette nouvelle problématique, que les solutions technologiques traditionnelles de paiements sécurisés proposées par les institutions bancaires ne vont pas dans le sens de la prise en compte du risque côté marchand.
Selon la propre expérience de SSL EPAY SECURITY, au premier trimestre 2003, près de 7,85% des transactions aboutissent à une interdiction suite à l'utilisation d'une carte bancaire usurpée (ou du numéro usurpé), à un fort risque d'opposition sur le paiement par le porteur pour des raisons non évidentes ou non logiques, à un risque de contestation complexe, ou tout simplement à un refus bancaire de la part de la banque du porteur (pour un motif non déterminé).
SSL EPAY SECURITY permet d'identifier très rapidement tous ces risques, ce qui n'aurait pas été le cas en utilisant des moyens traditionnels de sécurisation, en effet, une majorité des transactions refusées par SSL EPAY SECURITY se verraient acceptées par des automates de scoring ou des centres d'autorisations bancaires, malheureusement pour les marchands, mais à leur décharge, une partie serait effectivement refusée par ces mêmes centres (au motif d'interdiction de paiement, ou de refus de paiement).
Sécuriser une transaction bancaire ne peut plus seulement vouloir dire crypter des données entre un internaute client et un site marchand ou une banque (à l'aide du protocole SSL, ce que tous les prestataires de paiement se limitent à faire aujourd'hui la plupart du temps) mais aussi et surtout pouvoir contrôler, certifier et garantir à la fois que l'internaute qui paye est bien le porteur de la carte, ou qu'il agit bien avec l'accord du porteur, et surtout qu'il ne va pas ensuite s'opposer au paiement, une fois le bien matériel ou immatériel livré.
En 2003, contre toute attente, l'internaute européen, et français de surcroît n'a jamais été mieux sécurisé, autant techniquement que légalement. Le commerce électronique n'aura jamais été aussi sûr qu'en 2003 et les internautes européens peuvent faire leurs achats et leurs paiements sur l'internet en toute sécurité (de préférence sur un site internet européen). Le commerce électronique est donc, du côté client, ultra-sécurisé, le principal risque était l'usurpation de leur numéro de carte bancaire, ce risque est aujourd'hui connu, maîtrisé et extrêmement limité (probablement moins d'un cas pour 1000000 transactions sur l'internet et dans le commerce traditionnel confondus). C'est une toute autre histoire pour le marchand sur l'internet, car aujourd'hui, le risque est essentiellement, pour ne pas dire quasi-exclusivement du côté marchand."
Primobox lance l’e-bulletin de paie 09/11/09 (15:07) -
Primobox, fournisseur d’un hub documentaire en mode SaaS, complète sa gamme de produits en annonçant la mise sur le marché d’une solution innovante de dématérialisation à valeur probante des bulletins de paie. [business]
Microsoft vend trois fois plus de licences de Windows 7 que de Vista 09/11/09 (12:18) -
Microsoft a vendu trois fois plus de licences de Windows 7 durant sa première semaine de commercialisation au grand public que de copies de Vista à l'époque, en janvier 2007 [business]
Percée importante pour Doro aux Etats-Unis 20/10/09 (11:35) -
Doro signe un nouvel accord exclusif avec un important fournisseur américain de services téléphoniques pour seniors.
Un de ses mobiles obtient la certification pour le territoire américain. Un second est en passe de l’obtenir.
[telecoms]
Streamcore augmente ses performances 06/10/09 (00:04) -
Streamcore intègre à sa nouvelle version 5.3,
des indicateurs sur la visioconférence et la technologie Web 2.0
pour améliorer la visibilité et le contrôle des performances [technologie]
Selon Benchmark Group: L'e-commerce devrait progresser de 9 % en 2010 24/04/10 - En 2009, les sites d'e-commerce ont réalisé 15,5 milliards d'euros de chiffre d'affaires en France, en hausse de 11 % par rapport à 2008, selon l'étude annuelle de Benchmark Group sur le commerce électronique. Pour 2010, Benchmark Group table sur une croissance de 9 %, portant l'e-commerce à 16,9 milliards d'euros.
Etude concurrentielle des tarifs de détail mobile et Internet en Europe et aux Etats-Unis 05/04/10 - L’IDATE vient de publier une étude détaillée des tarifs et des modalités de facturation pratiqués par les opérateurs majeurs dans le secteur de l’accès Internet (accès fixe haut débit) et des services de téléphonie mobile, étude appelée « Tarifs Télécoms – Benchmark des offres Fixe haut débit & Mobile » (Market & Data, mars 2010).
Le libre-service toujours plébiscité par les consommateurs français 11/11/09 - Les résultats de la nouvelle étude menée par BuzzBack Market Research pour NCR,
démontrent que cette année encore, les consommateurs français sont favorables aux
technologies libre-service.
Tech infos
