La musique est une histoire sans fin

Ayant eu une longue discussion avec mon banquier qui a unilatéralement décidé de supprimer ma possibilité d’acheter sur Internet sans être obligé d’utiliser leur carte virtuelle de paiement (Virtualis en l’occurrence) parce que j’avais signalé 2 débits frauduleux (qui en fait étaient 3, 1 chaque mois), et ce sans même me demander mon avis au préalable, je me suis dit qu’il serait bien de faire le point sur les contre-vérités qu’on nous assène “pour notre sécurité”, comme il m’a dit à plusieurs reprises… A la décharge de votre conseiller bancaire (pour parler comme eux et ne pas dire le mot tabou commercial), il peut souvent le faire de bonne foi, tellement des années de formatage, et une formation qui se focalise plus sur la vente de services que sur le services clients lui-même, ont fait leur oeuvre. Sauf que c’est ignorer les obligations du banquier qui vend la moindre carte bleue, Visa ou Mastercard à son client. Comme tout le monde n’est pas averti sur ce sujet (et que les banquiers continuent à faire passer des messages arrangés selon leurs soins), j’ai décidé de faire ce post hors musique exceptionnel parce qu’il concerne tout un chacun, et notamment ceux qui consomment de la musique sous forme de micropaiement (moins de 1 Euro sur Internet). Vous lirez dans mon dernier paragraphe pourquoi la carte virtuelle sur Internet est même moins sécurisée que la carte réelle !!!

J’ai un débit litigieux sur mon relevé bancaire, la source de la fraude vient-elle d’Internet ?
La probabilité est très faible. Si le débit a été fait vers un service Internet, c’est tout simplement qu’un service Internet, comme tout service par correspondance, ne demande pas le code PIN ou d’accès à la puce (quand il/elle existe, il faut savoir que c’est encore inexistant dans de très nombreux pays, même certains avancés économiquement comme les USA), et donc celui qui aura obtenu le numéro facial de la carte pourra librement faire ses emplettes sur Internet (ou par correspondance, mais aujurd’hui 80% des achats par correspondance se font sur Internet). Dans la plupart des cas de fraude, l’accès au numéro de carte ne se fait pas de manière informatique, mais de manière physique. A chaque fois que vous payez dans un bar, dans un supermarché, ou commerce quelconque, votre carte est visible de plusieurs personnes, voires de caméras indiscrètes, il est alors facile pour la personne qui a votre numéro (voire votre nom) d’acheter des produits ou services par correspondance (Internet ou autre)

Pourquoi alors les banques focalisent sur Internet ?
Parce qu’historiquement, elles ont toujours focalisées sur les ventes à distance parce que l’identité du fraudeur est plus difficile à obtenir. Hors, dans le cas où le fraudeur n’est pas identifié, cela n’exonère pas la banque (ou le groupe interbancaire voire distinction plus loin) de rembourser le fraudé… mais cela déporte leur propre remboursement. Moins il y aura de transactions sur la vente à distance, moins il y aura de fraude longue à identifier… Le banquier vous fera croire que la fraude la plus probable sur votre carte bleue est celle de “man-in-the-middle attack”, soit quelqu’un qui se connecte à votre machine ou à celle du commerçant pendant la transaction, alors que dans les faits, c’est de loin (très loin) la moins probable puisque ces communications sont faites de manière encryptées, et que même si quelqu’un savait qu’à telle minute, tel utilisateur procéderait à un achat sur tel site, il faudrait être un pirate chevronné et des milliers de PC pour pouvoir cracker 1 seul numéro de carte bleue. Alors qu’il est beaucoup plus facile par exemple:
- sans connaissance informatique aucune pour un commerçant de ramener le sabot pour l’autorisation bancaire dans un coin discret pour noter le numéro de carte bleue du client
- d’avoir accès à un numéro de carte bleue dans un service de porte-à-porte ou de vente par correspondance par téléphone
- de poser une caméra chez un commerçant ou sur un distributeur de billets
- de voler un portefeuille
- de pirater un terminal de paiement électronique commerçant.

Tout cela est faisable en masse très rapidement avec des moyens très limités (papier, crayon, webcam, ou talent de pickpocket)

Dans quels cas le piratage se fait-il le plus souvent sur Internet ?
Il y a plusieurs cas, dans tous les cas, il faut comprendre que le piratage est intéressant pour le pirate que s’il est massif. En utilisant une seule carte bleue avec des gros débits espacés dans le temps, il se fera vite repérer, et ses transactions seront scrutées avec plus de soin par les sites d’e-commerce. En revanche, en obtenant un maximum de données sur lesquels il prélèvera de petites sommes à la même date T, il évitera à coup sûr les vérifications faites par les sites d’e-commerce (quand le site ne lui appartient tout simplement pas), mais aura également le temps de transférer son argent vers un paradis fiscal avant que les banques – qui sont incapables de détecter des transactions similaires sur des comptes au sein d’un même établissement (en tout cas votre banque, et la mienne, et ce même quand vous vous trouvez des cas multiples en faisant une recherche sur Google avec l’intitulé du prélèvement) – ou les utilisateurs, ne déclenchent l’alerte. C’est aussi pour cette raison que l’attaque au moment de la transaction est peu probable, elle demande beaucoup de ressources, d’information
- le premier est le phishing: des envois massifs d’email demandent à des utilisateurs de se connecter sur le site de leur banque pour modifier leur mot de passe. Dans ce cas-là, le fraudeur récupère juste les identifiants pour ensuite effectuer des transactions sur votre compte. La banque pourrait mettre en place un dispositif très simple pour éliminer une grande partie de ce phishing. Demander un code supplémentaire lorsque connexion depuis un autre pays que le sien, code envoyé par email ou SMS sur les contacts du possesseurs du compte. Mais les banques (à ma connaissance) ne le font pas. Alors qu’elles demandent par ailleurs parfois des codes inutiles sur des virement réguliers entre proches (voire entre soi-même). Comme souvent, sur le plan du phishing, elle font poser la responsabilité sur l’utilisateur, qui doit faire attention sur quel site il se connecte (alors que lui a difficilement accès aux adresses IP de sa banque, sa banque a facilement accès à celles de ceux qui se connectent pourtant)
- le deuxième est la mauvaise protection d’une base de données qui conservent ces informations. Le cas est rare voire quasi impossible en France, sur des sites qui utilisent in fine (même sans le savoir car chaque banque affirme avoir son propre paiement de sécurisé, quand bien même 95% n’en utilisent que 2 différents qui sont Atos et Paybox) des systèmes très sécurisés où les données sont stockées dans des datacenters (centre de données) où l’entrée se fait à la détection de la rétine, ou les salariés doivent avoir un casier judiciaire vierge, et où tout accès physique (à un disque dur) ou logique lève une alarme. Sur mon cas personnel de fraude, j’hésite entre ceci, et un accès physique durant mon séjour aux Etats-Unis (qui serait également fort probable puisque le premier débit a eu lieu quelques semaines après)
- le troisième est le spyware ou logiciel-espion de type key-logging, c’est à dire qu’il envoie sur Internet à une adresse précise tout ce que vous tapez sur l’écran. C’est possible sur PC Windows, mais n’importe quel firewall ou antivirus intègre aujourd’hui une protection contre cet usage.

En cas de fraude sur Internet, ma banque doit-elle me rembourser dans tous les cas ?
OUI, LA BANQUE DOIT VOUS REMBOURSER DANS TOUS LES CAS DE FRAUDE SUR VOTRE CARTE BANCAIRE. Quel que soit l’usage frauduleux de votre carte bancaire (sur Internet ou autre), votre banque doit vous rembourser, à partir du moment où vous disposez des preuves suffisantes (Un engagement sur l’honneur est souvent suffisant pour des transactions qui dépassent les frontières européennes, une validation du commerçant qu’aucun produit ou service ne vous a été livré à votre adresse ou à celle d’un proche pour le reste).

Même si vous êtes encore en possession de votre carte et que vous n’avez donc pas fait opposition, votre responsabilité est totalement dégagée (sans limites aucunes) en cas d’utilisation frauduleuse de votre numéro de carte (achat par correspondance) ou de contrefaçon.
Il vous suffit de notifier par écrit votre contestation à l’établissement émetteur.

Celui-ci doit alors vous recréditer les sommes litigieuses dans le délai d’un mois qui suit la réception de votre lettre recommandée (Code mon. et fin. art. L 132-4)

Pourquoi alors les banques conseillent-elles l’utilisation de cartes virtuelles si on est protégé dans tous les cas ?
Si le discours marketing des banques (quasiment toutes sans exception) sur les cartes virtuelles est de vous protéger, il n’en est rien. Elles n’améliorent que peu cette protection quand elles ne l’empirent pas (cf dernier paragraphe). Au mieux, elle évite la redondance de la fraude (que votre carte soit utilisée par le même individu plusieurs fois sur plusieurs services différents à des moments différents), et donc diminue vos démarches administratives (et surtout celles de la banque). Au pire, elle introduit un nouveau maillon de vulnérabilité, le lieu où est stockée la correspondance entre les codes temporaires et les codes réels. Les cartes virtuelles ont été imaginées d’abord, pour conforter l’utilisateur dans sa crainte d’utiliser Internet, ensuite, comme un argument commercial supplémentaire pour garder ses clients (voyez chez nous vous êtes en sécurité), enfin dans la volonté de diminuer les charges administratives liées à la recherche de fraude (il y a moins de fraude récurrente donc moins de charges pour les banques). Pire aujourd’hui, elle deviennent caduques via l’utilisation du 3DSecure qui demande une information personnelle (depuis 2 ans, des informations personnelles sont associées à votre numéro de carte bleue) au moment de la transaction.
Pour moi, il n’y a aucune raison valable, pour un utilisateur de carte bancaire d’utiliser une carte virtuelle, car c’est un écran de fumée, qui a un seul objectif psychologique, et de réduction des coûts côté bancaire (qu’ils ne réimputent pourtant pas dans une baisse du coûts des cartes côté utilisateur). Côté utilisateur, elle n’apporte rien de plus dans la résolution des fraudes, ni dans leur remboursement. Elle apporte la contrainte de devoir saisir un code différent, pour un plancher défini (et à réévaluer si nécessaire avec la banque pour chaque transaction). Pire dans certains cas (Amazon, SNCF et retrait en borne, iTunes et tous les sites de paiement ou on ne rentre qu’une fois ses données bancaires), elle est inutilisable, sauf à accepter un code valable plus longtemps (auquel cas non seulement on perd son intérêt, mais on introduit un point de faille supplémentaire, qui est l’endroit où sont stockées les tables de correspondance entre le code virtuel et le code réel… parce qu’il faut bien les stocker quelque part). Le cas typique où son usage est idiot, c’est celui du micropaiement, soit de la transaction à moins de 1 Euro. Ce n’est pas compliqué d’obtenir un code, c’est vrai, mais c’est une procédure fastidieuse pour obtenir un fichier MP3 que de passer 5′ sur le processus de paiement. Bizarrement, aucun des systèmes de ventes dématérialisées n’utilise ces cartes virtuelles (leur préférant des Paypal ou autre solutions de micro-paiement plus simples, et généralement plus sécurisées), maintenant, je ne pense pas que la longueur du processus d’achat intéresse énormément les banques (même si cela signifie plus de commissions pour elles), quand un utilisateur télécharge un MP3 pirate sur sa connexion ADSL, la banque encaisse quand même sa commission sur le prélèvement automatiquement de l’abonnement…

Après plus d’une heure de discussion, j’ai eu le privilège d’avoir de nouveau le droit d’utiliser ma carte bleue dans les conditions prévues lors de sa souscription (donc en continuant à avoir le droit d’être remboursé contre les fraudes mêmes sans Virtualis). Tout ce qu’aura gagné le banquier dans son entêtement (certes j’étais aussi entêté), c’est de me rendre encore moins satisfait de cette banque sur le plan de l’expérience clients.

LA CARTE VIRTUELLE LARGEMENT MOINS SURE QUE LA REELLE !
Dans ma banque, pour obtenir un une carte virtuelle que faut-il faire ? Eh bien c’est très simple, vous vous connectez sur le site web de la banque avec vos identifiants, vous définissez le montant maximum et vous obtenez votre code. Très simple, non ? Pas trop simple selon vous ? Cela veut dire qu’il suffit d’avoir vos identifiants webs pour faire des paiements sur Internet avec un numéro de carte bleue qui marche. Pas besoin d’intercepter un vrai numéro de carte bleue de quelque façon que ce soit, on vous en fournit un juste avec un numéro de compte et un mot de passe… Hum. Cela veut dire que n’importe qui connaissant un numéro de compte pourra tester des mots de passe usuels et obtenir un numéro de carte… ou encore en mettant en place un système de phishing/hameçonnage/filetage pourra se servir sur votre compte pour des paiements sur Internet (beaucoup moins traçables que des virements). Et ma banque ose appeler ça un moyen plus sûr de payer sur Internet !!!

[MISE A JOUR 03/04] Il semblerait qu’ils m’aient de nouveau bloqué ma carte pour paiements sur Internet, sans m’en informer

5 réponses à to “Paiement sécurisé sur Internet, cartes virtuelles, et autres contre-vérités par nos banquiers”