• Home

  • Documents

  • II - Sécurité des paiements et protection du consommateur · lancé un vaste plan de lutte contre...
5

Click here to load reader

II - Sécurité des paiements et protection du consommateur · lancé un vaste plan de lutte contre la cybercriminalité visant à renforcer les pouvoirs des autorités policières

Embed Size (px)

Citation preview

Page 1: II - Sécurité des paiements et protection du consommateur · lancé un vaste plan de lutte contre la cybercriminalité visant à renforcer les pouvoirs des autorités policières

Le contexte

1) Sécurité des paiements et protection du consommateur

La sécurité du système Cartes Bancaires a fait l’objet en 2000 et en 2001 d’une concertation au seind’un groupe de travail du Conseil National de la Consommation et d’un groupe technique restreintdirigé par la Mission Commerce Électronique et la DiGITIP, ainsi que d’un groupe de travailadministratif sur les aspects juridiques conduit par la DT. Ces travaux ont donné lieu à une série derecommandations et d’engagements de la part des banques visant à accroître la sécurité des cartes depaiement et les droits des consommateurs. Les dispositions introduites dans la loi n° 2001-1062 du 15Novembre 2001 sur la sécurité quotidienne1 ont concrétisé ces recommandations.

1a. Les chiffres de la fraude

La vente à distance, principal secteur concerné par la recrudescence de la fraude par cartes bancairesdurant l’année 2000, a donné lieu à des comportements délictueux affectant ses différentescomposantes (notamment vente par correspondance, téléphonie mobile et commerce électronique).Cette fraude résulte essentiellement du vol de numéros de cartes (facturettes, commerçants) ou de lagénération frauduleuse de numéros via des logiciels de "carding", et non de l'attaque des protocolesutilisés pour le paiement en ligne, comme SSL, beaucoup plus difficiles à réaliser.

Par ailleurs, il apparaît que la fraude sur la vente à distance recensée en 2000 porte principalement surles opérations de rechargement des cartes prépayées de téléphonie mobile et que, suite à des mesuresprises par les opérateurs de télécommunication, cette fraude semble avoir été considérablement réduiteen 20012.

S’agissant de la fraude recensée par les banques, elle oscille pour l’ensemble de la vente à distanceentre 0,04 et 0,15% du chiffre d’affaires. Ces chiffres sont supérieurs au taux de fraude constaté pourles transactions de proximité, de l’ordre de 0,026%, mais demeurent supportables selon le GIE CartesBancaires.

De manière plus détaillée, le taux de fraude relatif au commerce électronique est compris entre 0,05 et0,35%, alors que le ratio de fraude pour les rechargements de cartes prépayées oscille entre 0,2 et 2%,après avoir culminé au-delà de 10% au début de l’année 2000.

1b. La loi sur la sécurité quotidienne et les initiatives internationalesLes principales dispositions de la loi sur la sécurité quotidienne en matière de protection des porteursde cartes bancaires sont les suivantes :

- l'élargissement des possibilités de faire opposition : non plus simplement en cas de perteou vol de la carte, mais aussi lorsqu’il y a utilisation frauduleuse du numéro de carte (envente à distance par exemple) ;

- l’instauration d’une franchise laissée à la charge du porteur lorsque la fraude a lieu avantla déclaration de perte ou de vol ou d’utilisation frauduleuse : 400 euros jusqu'au 31décembre 2001, 275 euros aujourd'hui et 150 euros à compter du 1er janvier 2003 ;

- dégagement de la responsabilité du porteur d’une carte victime d’une fraude liée à unecontrefaçon de sa carte ou à une transaction à distance sans utilisation physique de la carte(remboursement dans un délai maximum d'un mois après la réception de la plainte)3.

1 Cf. Extrait de la LSQ en pièce jointe2 Cf. Fiche chiffres sur la fraude en pièce jointe3 Dispositif de type rétro-facturation ou "charge-back" mais limité aux achats en vente à distance.

Page 2: II - Sécurité des paiements et protection du consommateur · lancé un vaste plan de lutte contre la cybercriminalité visant à renforcer les pouvoirs des autorités policières

La Commission européenne est quant à elle favorable à la mise en œuvre de systèmes de rétro-facturation ou "charge back", ainsi que l'OCDE qui a produit en 2001 un rapport sur la protection desporteurs de cartes de paiement.

La loi renforce également les moyens de lutte contre les contrevenants informatiques en instaurant dessanctions pénales renforcées pour l'utilisation à des fins délictueuses de moyens informatiquespermettant de contrefaire un moyen de paiement. Au niveau européen, la Commission européenne alancé un vaste plan de lutte contre la cybercriminalité visant à renforcer les pouvoirs des autoritéspolicières et judiciaires.

Enfin, la Banque de France se voit confié par cette loi la surveillance de la sécurité des moyens depaiement non fiduciaires et, pour ce faire, un Observatoire de la sécurité des cartes de paiement,chargé du suivi des statistiques de la fraude et des moyens engagés par les Banques pour accroître lasécurité des cartes de paiements, a été mis en place.

Suite à la pression des pouvoirs publics, une série de mesures techniques tendant à prévenir le risquede fraude ont d'ores et déjà été prises : suppression des numéros de cartes sur les facturettes,modernisation des distributeurs automatiques de billet et des cartes, incitation des sites marchands à nepas conserver des bases de données de numéros de cartes eu égard aux risques de cybercriminalité, et àsupprimer la circulation des numéros de carte sur Internet.

1c. Vers un cadre de confiance pour le commerce électronique

Le problème de la sécurité des paiements en ligne doit être posé dans un contexte plus large. Laproblématique de fond du commerce en ligne est celle du développement de la confiance desconsommateurs, qui exige pour les acteurs économiques, au-delà du problème de la sécurisation dupaiement, une réflexion sur une meilleure lisibilité de l’identité et de la notoriété des sites marchandspar les consommateurs, leur engagement à suivre des règlements et des règles déontologiques, l’apportd’une valeur ajoutée par rapport à la vente de proximité, l’offre de services de qualité (livraison rapideet non coûteuse) et la mise en œuvre d’un mode de résolution des litiges efficace, rapide et équitable.

La Commission européenne a bien pris en compte l'importance de ces aspects au travers de la directiveeuropéenne n° 2000/31/CE sur le commerce électronique du 8 juin 2000, qui fixe le cadre général dudroit applicable aux transactions électroniques et à la dématérialisation des contrats électroniques. Satransposition en droit français a fait l'objet d'un vaste chantier législatif en cours de finalisation enFrance, dans le cadre de l'avant projet de loi sur l'économie numérique. L’identification des parties etla transparence des informations échangées sur l’Internet sont privilégiés comme une condition de laconfiance et du développement des échanges électroniques, ainsi que la reconnaissance juridique de lasignature électronique, déjà actée par la loi n° 2000-230 du 13 mars 2000, et celle du contratélectronique.

2) Sécurité des systèmes de paiements en ligne

Si les mesures prises par les pouvoirs publics en matière de protection du consommateur et de luttecontre la cybercriminalité sont indispensables, elles ne garantissent pas les paiements auxcommerçants. Il paraît donc nécessaire d'inciter les commerçants, les banques et les industriels àproposer des systèmes sécurisés garantissant les paiements4.

4 Il faut noter pour la France que la loi sur la sécurité quotidienne exclue le remboursement intégral de la fraudelorsque le paiement est effectué avec un dispositif de paiement sécurisé.

Page 3: II - Sécurité des paiements et protection du consommateur · lancé un vaste plan de lutte contre la cybercriminalité visant à renforcer les pouvoirs des autorités policières

2a. Les différents modèles de paiement à distanceOn peut distinguer deux modèles de paiement à distance. :

- Le modèle assurantiel tend à promouvoir, en l’absence de solution technique fiable, desassurances couvrant le risque de fraude. Le « charge back » constitue la solution la plusaboutie de ce système en posant le principe de la recréditation automatique en casd’opération contestée. Cependant, ce modèle ne permet pas aux commerçants de seprémunir contre les achats frauduleux : les commerçants doivent alors mettre en œuvreindividuellement des outils de gestions des risques et des litiges et des techniques de"profiling" de leurs clients, ou alors souscrire eux-mêmes à des assurances souventcoûteuses.

- Le modèle technique consiste à développer les solutions matérielles ou logicielles propresà sécuriser les transactions. C’est la voie privilégiée en France par les acteurs bancaires etindustriels.

2b. La solution SSLActuellement, les opérateurs de vente par correspondance et de téléphonie mobile, lorsque leconsommateur choisit de régler sa transaction par carte bancaire, se font communiquer le numéro et ladate de validité de la carte du consommateur. La transaction ne donne donc pas lieu, comme dans unachat de proximité, à la tabulation du code confidentiel et à l’utilisation de la puce.

Lors d’un achat en ligne, le consommateur doit également communiquer le numéro et la date devalidité de sa carte mais ces données font l’objet d’un envoi crypté. Les sites ont recours dans la quasi-totalité des cas au protocole dit SSL (Secure Sockets Layer) qui permet de chiffrer le message transmis(dont le numéro de carte de paiement). Ce protocole se révèle simple et peu coûteux et peut être, deplus, perfectionné lorsqu’il est mis en œuvre par des établissements de crédit qui par leur rôled’intermédiation permettent de ne transmettre au commerçant que les informations relatives à lacommande (le numéro de carte n’étant dès lors connu que par le serveur de télé-paiement).

Néanmoins, ce dispositif ne garantit pas l’authentification de l’acheteur et du commerçant, nil’intégrité des données transmises au commerçant et les banques refusent d’assurer la garantie despaiements, contrairement aux transactions de proximité qui bénéficient d’une telle garantie.

2c. Les nouvelles solutions de paiementCompte tenu de l'absence de garantie dans la mise en œuvre de la solution SSL, la sécurisation despaiements en ligne fait l’objet de nombreuses expérimentations, qui se déploient principalement dansdeux directions :

- La recherche d’une alternative à l’utilisation des cartes de paiement

Cette catégorie repose sur des solutions ayant pour effet de substituer aux cartes de paiement unnouveau moyen de paiement. Les principales expériences sont les suivantes :

- la carte virtuelle dynamique, commercialisée par AMEX aux États-Unis ou le groupement CartesBleues en France. L’acheteur désirant régler un achat en ligne reçoit de sa banque un numéro depaiement valable pour un seul achat. Bien que dénommée carte, cette solution constitue en réalitéun nouveau moyen de paiement qui n’offre cependant pas la garantie de paiement auxcommerçants ;

- le porte-monnaie électronique. Il vise à répondre aux paiements de petit montant pour lesquels lescartes de paiement sont mal adaptées, compte tenu des coûts de traitement. Il est commercialisépar de nombreux émetteurs et prend la forme soit de cartes prépayées, soit de points de fidélité ;

Page 4: II - Sécurité des paiements et protection du consommateur · lancé un vaste plan de lutte contre la cybercriminalité visant à renforcer les pouvoirs des autorités policières

- les paiements de personne à personne. Le paiement P to P permet à un internaute d’envoyer et derecevoir de l’argent par courrier électronique. Il doit pour cela s’inscrire sur un site de « paiementpar courrier » en fournissant un numéro de compte bancaire ou de carte. Il indique ensuite l’e-melde la personne à qui il veut envoyer de l’argent (particuliers, commerçants, etc.) et le montant duvirement. Le bénéficiaire reçoit un e-mel le guidant vers le site sécurisé où il ouvrira à son tour uncompte en indiquant son compte bancaire habituel afin de percevoir de l’argent. Cette solutionrencontre un réel succès aux États-Unis mais demeure à un stade embryonnaire en France ;

- la banque à domicile. Les banques offrent maintenant à leurs clients des services de consultation etd’utilisation de leur compte en ligne. Cette solution permet d’effectuer des virements mais nesemble pas en mesure de se développer rapidement compte tenu de la lourdeur et du coût de laprocédure (nécessité de disposer du RIB du bénéficiaire du paiement, coût du virement parfoisélevé).

- Les solutions d’authentification des transactions

Ces solutions ont pour objet d’assurer la non-répudiation comme dans une transaction de proximité.

Par exemple, de même qu’un paiement chez un commerçant donne lieu à la tabulation du code dans leterminal de paiement, certaines de ces solutions visent à installer un lecteur de carte à puce surl’ordinateur de l’internaute, son téléphone mobile ou son décodeur de télévision.

Toutefois, les solutions basées sur un lecteur de carte à puce se révèlent coûteuses pour lesconsommateurs (acquisition d'un matériel dédié), mais aussi dans une moindre mesure pour lescommerçants.

D'autres solutions, par exemple celle développée par la société Magicaxess et promue par les Caissesd’Épargne, visent au contraire à s’appuyer sur une authentification du consommateur par un codesecret et par un code aléatoire qui lui est transmis par SMS sur son téléphone mobile. Ce type desolution évite au consommateur l’acquisition et l’utilisation de matériels dédiés.

Au total, un grand nombre de solutions sont en cours d’expérimentation, mais aucune n’a réussi às’imposer comme le protocole SSL. Il demeure difficile actuellement d’entrevoir quelle formules’imposera définitivement en matière de sécurisation des paiements en ligne.

2d. Les conditions de déploiement de solutions de paiement sécuriséesLe déploiement de ces nouvelles solutions se heurte d'abord à un problème de masse critique. En effet,les travaux d'intégration de ces solutions au sein des sites marchands ne se justifient que si un nombresuffisant de clients du commerçant a déjà adhéré à la solution. Par ailleurs, ces solutions doivent êtreinter-opérables avec le système bancaire, sans modification substantielle de celui-ci.

C'est pourquoi les grandes marques de cartes de paiement comme Visa, Mastercard etc. ont mis enplace des modèles ou standards d'inter-opérabilité pour le paiement par carte en ligne. Après l'insuccèsdu protocole SET, du à la lourdeur de sa mise en œuvre, Visa propose aujourd'hui le modèle appelé 3DSecure qui consiste à définir la chaîne de responsabilité entre la banque émettrice de la carte, la banquedu commerçant et Visa. Dans ce schéma, la banque émetteur doit inscrire le porteur au service 3DSecure et authentifie le porteur au moment de l’achat. La banque acquéreur propose au commerçantd’être affilié au programme 3D Secure et lui fournit un logiciel. Enfin, Visa facilite les échanges entreles deux domaines acquéreur et émetteur, en s’appuyant sur un protocole commun, et met en place unhistorique des authentifications. Visa entend imposer ce modèle aux banques émettrices, par untransfert de responsabilité de la banque acquéreur vers la banque émetteur (qui devient responsablequant à l'authentification, quelque soit le moyen assurantiel ou/et technique qu'elle choisit).

Ce modèle ne règle pas la question de l'authentification de l'acheteur et d'autres initiatives destandardisation s'avèrent nécessaires pour régler cette question. Ainsi, les banques promeuvent, avec le

Page 5: II - Sécurité des paiements et protection du consommateur · lancé un vaste plan de lutte contre la cybercriminalité visant à renforcer les pouvoirs des autorités policières

soutien de la Commission européenne, un standard européen, appelé Finread5, pour une solutiond'authentification par carte de paiement basée sur un lecteur de carte à puce sécurisé. Cependant, cetype de solution suppose que les Banques s'engagent à fournir à leurs clients ce type de lecteur à uncoût réduit. Aujourd'hui, ces lecteurs demeurent encore trop coûteux, mais des efforts de recherche etdéveloppement sont engagés par les industriels pour y remédier, notamment au travers de l'appel àprojet OPPIDUM.

L'autre axe de standardisation susceptible d'aboutir à des solutions de paiement sécurisé inter-opérables concerne les travaux sur la signature électronique, à l'IETF (Internet Engineering TaskForce), à l'ISO au sein des groupes bancaires, ou dans les instances de standardisation européennes(CEN - Comité Européen de Normalisation, ETSI - Institut Européen de Normalisation enTélécommunications). L'utilisation de la signature électronique présente l'avantage, comme SSL, quec'est une technologie déjà plus ou moins intégrée dans les navigateurs et serveurs Web. Encombinaison avec l'envoi du numéro de carte bancaire par SSL, la signature électronique permettraitde manifester l'engagement de l'acheteur et garantirait l'achat.

Le groupe de travail n°5 de la Mission Économie Numérique, piloté par la Banque de France, doitremettre prochainement une série de recommandations sur les exigences d'ergonomie et de sécurité quidoivent être respectées par ce type de solutions. Ce groupe réfléchit également sur l'opportunité quepeut représenter la carte électronique d'identité, projet piloté par le ministère de l'Intérieur, pour lasécurisation des transactions financières.

5 Inspiré de la solution Cyber-comm qui est aujourd'hui abandonnée


Matinée Cybercriminalité

Matinée Cybercriminalité

Documents
Panorama de la cybercriminalité

Panorama de la cybercriminalité

Documents
Webschool du Jura - Cybercriminalité en entreprise

Webschool du Jura - Cybercriminalité en entreprise

Technology
TECHNIQUES POLICIÈRES (310.A0)

TECHNIQUES POLICIÈRES (310.A0)

Documents
Cybercriminalité (French)

Cybercriminalité (French)

Technology
FRAUDES BANCAIRES ET CYBERCRIMINALITÉ

FRAUDES BANCAIRES ET CYBERCRIMINALITÉ

Documents
Panorama de la cybercriminalité année 2015

Panorama de la cybercriminalité année 2015

Documents
La rapport de l'ACAT sur les violences policières

La rapport de l'ACAT sur les violences policières

Documents
LA CYBERCRIMINALITÉ: L’Algérie est-elle suffisamment

LA CYBERCRIMINALITÉ: L’Algérie est-elle suffisamment

Documents
La cybercriminalité: Enjeux et Pespectives

La cybercriminalité: Enjeux et Pespectives

Technology
LA CYBERCRIMINALITÉ epi AU CAMEROUN T Enjeux d’une ... · AU CAMEROUN LA CYBERCRIMINALITÉ AU CAMEROUN Samuel Tepi La cybercriminalité est l’une des formes de délinquance qui

LA CYBERCRIMINALITÉ epi AU CAMEROUN T Enjeux d’une ... · AU CAMEROUN LA CYBERCRIMINALITÉ AU CAMEROUN Samuel Tepi La cybercriminalité est l’une des formes de délinquance qui

Documents
Nouvelles policières fantastiques 4ème 4

Nouvelles policières fantastiques 4ème 4

Documents
Sections du Guide des pratiques policières portant sur les

Sections du Guide des pratiques policières portant sur les

Documents
Ministère pratiques policières prometteuses

Ministère pratiques policières prometteuses

Documents
Panorama 2010 de la cybercriminalité

Panorama 2010 de la cybercriminalité

Technology
TPE Cybercriminalité et Entreprises

TPE Cybercriminalité et Entreprises

Documents
La cybercriminalité au Maroc, 2010

La cybercriminalité au Maroc, 2010

Documents
Les marchés noirs de la cybercriminalité

Les marchés noirs de la cybercriminalité

Technology
Panorama de la cybercriminalité - Clusif

Panorama de la cybercriminalité - Clusif

Documents
Programme Forum 2012 Cybercriminalité

Programme Forum 2012 Cybercriminalité

Documents
Violences policières

Violences policières

News & Politics
Présentation pdf sur la cybercriminalité

Présentation pdf sur la cybercriminalité

Documents
Cybercriminalité et contrefaçon

Cybercriminalité et contrefaçon

Documents
Cybercriminalité – Retour sur les principales attaques

Cybercriminalité – Retour sur les principales attaques

Documents
ESSAI SUR LA NOTION DE CYBERCRIMINALITÉ

ESSAI SUR LA NOTION DE CYBERCRIMINALITÉ

Documents
Cybercriminalité et crypto-actifs

Cybercriminalité et crypto-actifs

Documents
Littératures policières pour la jeunesse

Littératures policières pour la jeunesse

Documents
TPE : Séries télévisées policières américaines

TPE : Séries télévisées policières américaines

Documents
La BILIPO: Bibliothéque des Littératures Policières

La BILIPO: Bibliothéque des Littératures Policières

Documents
Paiements électronique

Paiements électronique

Technology