DSP2: tour d'horizon des enjeux sécuritaires
Domination de la fraude Magecart, effets de la montée en puissance de l'authentification forte, diversification des modes de règlement : les acteurs de la chaîne du paiement oeuvrent pour conjuguer sécurité et fluidité du parcours. Mi-juin, la pleine conformité doit être atteinte.
Je m'abonneLa crise sanitaire a-t-elle apporté un bouleversement dans l'univers de la fraude au paiement en ligne? Si le dernier rapport de l'Observatoire de la sécurité des paiements en ligne, rédigé par la Banque de France, n'est pas encore paru, les premières tendances communiquées par les cabinets d'études, les banques et les éditeurs antifraude divergent. Selon Neil Smith, Head of Partnership de Forter (propriétaire d'une solution antifraude) et 451 Research, "près de trois commerçants sur cinq ont signalé une augmentation du volume des transactions frauduleuses en ligne en l'espace d'un an. Un quart d'entre eux a constaté une augmentation significative". De plus, Forter a détecté une augmentation de 33% des attaques par bots en 2020. En 2019, la fraude touchait 0,04%(1) des transactions effectuées avec une carte bancaire domestique en France.
En parallèle, le calendrier de la DSP2, assoupli en raison de la crise, s'achève. À l'issue d'un processus progressif de "soft decline" (rejet de la banque émettrice, laquelle permet de présenter le paiement une deuxième fois après une authentification forte), depuis le 15 mai, les paiements en ligne de plus de 30 euros font l'objet d'une double authentification. Selon le groupe Lyra, spécialisé dans la sécurisation des paiements en e-commerce et en magasin, seulement 58% des transactions étaient conformes à la DSP2, au mois d'avril. En cause, selon Neil Smith: "une baisse sur les taux d'approbation en France d'environ 20%, soit 15% d'abandon de la part des clients et de 5% d'échec au 3DS." Une donnée non confirmée, pour l'heure, par l'Observatoire de la sécurité des moyens de paiement.
Les fraudes Magecart tiennent le haut du pavé
Parmi les types de fraude au paiement repérés, si rien de nouveau n'a émergé depuis le début de la crise sanitaire, "l'attaque Magecart, présente depuis 2019, prédomine désormais", met en garde Adrien Guinault, CTO et associé de XMCO, cabinet de conseil en cybersécurité. À la fin du tunnel de paiement, lorsque le site marchand bascule vers celui de la banque du client, cette technique permet à un groupe de pirates de rediriger la transaction vers une autre plateforme, leur appartenant. Via l'ajout d'un code spécifique, ils peuvent également copier les données bancaires du client au moment où celui-ci les saisit. Les données de cartes bancaires volées sont recensées sur des forums spécialisés, à l'instar de raidforums.com, et se vendent entre 10 et 30 euros l'unité. La compagnie aérienne British Airways et le site Ticketmaster y ont été confrontés.
"La certification PCI-DSS sécurise de bout en bout le système lorsque le client est redirigé vers le site du prestataire de paiement", ajoute Adrien Guinault. Toutefois, selon l'expert, il s'avère compliqué de coupler l'attaque Magecart avec le SIM Swap, technique bien connue permettant d'intercepter le SMS de confirmation. "Le SIM Swap est peu utilisé dans le secteur de l'e-commerce car il est plus simple pour un acteur malveillant d'utiliser des données bancaires pour réaliser des achats sur des sites non sécurisés, très nombreux aux États-Unis", précise-t-il. En matière de chargeback (demande de remboursement à l'issue d'une commande en invoquant une fraude), le plus risqué n'est pas l'iPhone dernier cri. Par souci de discrétion, les acheteurs malveillants lui préfèrent des disques durs, dont la valeur ne dépasse pas les 200 euros. De même, les codes de téléchargement de jeux vidéo ou de logiciels ont la cote: inutile de fournir une adresse de livraison et l'acceptation de la livraison est instantanée.
Comment optimiser ses souhaits d'exemption?
Si les e-commerçants ne peuvent décider eux-mêmes des exemptions (requête visant à ne pas passer par la case "authentification forte"), ils ont tout intérêt à formuler des souhaits d'exemption pertinents à l'intention de la banque émettrice. Cette dernière évalue alors la demande en fonction de sa capacité technique à la gérer, du risque de fraude, et des accords conclus avec le titulaire de la carte. "Les PSP (prestataires de paiement) peuvent aider les e-commerçants à comprendre l'impact total de la DSP2 pour chaque pays, en examinant les abandons, les échecs et le taux de conversion des transactions dont le challenge 3DS est réussi, précise Neil Smith. Les fournisseurs de solutions antifraude peuvent aider les commerçants à s'assurer que leur portefeuille reste en dessous des seuils requis pour les exemptions TRA (ou Transaction Risk Analysis)."
Toutefois, au sein des secteurs de l'électronique, particulièrement touchés, certains acteurs estiment qu'ils ne peuvent raisonnablement se soustraire à l'authentification forte. "Moins de 20% de nos clients sont récurrents et nous ouvrons en moyenne un pays par trimestre", explique Laurène Lecomte, Head of Risk Payment and Fraud Management de la marketplace Back Market, spécialisée dans l'électronique d'occasion. Selon l'experte, 10% des tentatives de commandes sur Back Market sont frauduleuses au Royaume-Uni. Le taux de chargeback pour la plateforme aux États-Unis s'élève à 0,5%, contre 0,2% en Europe. Le pure player a donc opté pour une stratégie "Full 3D Secure" et affine son scoring. Ses équipes réfléchissent à l'agrégation de nouvelles données: d'où vient le client, quel canal marketing a-t-il utilisé, combien de pages du site a-t-il consultées, s'il a changé la couleur du smartphone sélectionné avant l'achat, le temps passé sur chaque page...
Le virement instantané, la panacée en matière de fluidité du parcours?
Face à la difficulté de proposer un parcours client parfaitement fluide, nombre d'e-commerçants réfléchissent à des méthodes de paiement alternatives. Ainsi, sur la plateforme allemande de Back Market, moins de 20% du trafic concerne une carte bancaire. "La moitié des transactions utilisent PayPal, indique Laurène Lecomte. Auquel cas, PayPal effectue la revue de fraude et gère l'éventuel litige." En parallèle, le virement instantané Sepa, dont le taux de fraude s'élevait à 0,03% des transactions en 2019(1), soit 50 fois plus que les autres types de virement, contre 0,170% sur les paiements à distance par carte bancaire, intéresse certains acteurs. "Il n'est pas encore possible de payer par virement instantané sur Rakuten mais nous y réfléchissons, annonce Mathieu Deshayes (Rakuten). La DSP2 permet l'open API de toutes les banques, l'accès à des informations telles que l'IBAN client est donc beaucoup plus aisé et le virement apparaît beaucoup plus sécurisé qu'une carte bancaire, sur laquelle le client peut faire opposition très facilement."
Lire aussi : Fraude et cybersécurité : Les bons réflexes pour faire face à une menace en constante évolution
En parallèle, le paiement en ligne reposant sur une cryptomonnaie suscite quelques tentatives prometteuses. Ainsi, au Japon, le service Rakuten Cash (ce service, qui s'appuie sur une devise numérique, rassemble compte prépayé et un système de transfert de fonds) permet désormais aux possesseurs d'un "Rakuten Wallet" de charger ce dernier avec des Bitcoins, Ethers ou Bitcoins Cash (ainsi que des Litecoins ou Ripples pour les comptes professionnels). Depuis le 18 mars 2021, le Rakuten Wallet, relié à un compte de fidélité client (le Rakuten Point Club), permet d'utiliser ses "Rakuten Points" pour investir sur le Bitcoin. Encore un pas vers la diversification du paiement en ligne?
(1) 4e édition de l'Observatoire de la sécurité des moyens de paiement, 2020, sur des données de 2019
"Notre système se montre assez efficace contre les gros réseaux de fraudeurs"
Pour Mathieu Deshayes, responsable de la gestion du risque chez Rakuten France, si le machine learning est indispensable dans la lutte contre la fraude, la vérification humaine demeure nécessaire.
Dans quelle mesure la plateforme Rakuten France est-elle touchée par la fraude en ligne?
Rakuten France se situe très nettement en dessous de la moyenne nationale. Le panier moyen sur Rakuten France s'élève aux alentours de 80/90 euros, toutefois, la fraude porte souvent sur des commandes au montant beaucoup plus élevé. Nous constatons en particulier de la "fraude domestique", des enfants qui empruntent la carte de leurs parents, lesquels demandent ensuite le remboursement des achats. Il est difficile de détecter cela. L'autre tendance concerne le vol de numéros de cartes bancaires Notre système est rodé depuis 15 ans et donc assez efficace contre les gros réseaux de fraudeurs. Ces derniers évoluent en permanence, un système de lutte contre la fraude doit donc être mouvant et réactif.
Quels outils contre la fraude utilisez-vous?
Nous fonctionnons avec deux hémisphères: le machine learning et l'humain. Le premier apprend des comportements, adapte ses règles en fonction des attaques précédemment jugées intéressantes. L'humain demeure toutefois nécessaire car le machine learning apprend de ce qui s'est passé, il est donc déjà trop tard lorsque l'outil agit. En matière de fraude, stagner, c'est mourir. Nous développons tous nos outils en interne, via nos équipes de R&D.
Avez-vous opté pour un paiement par carte "full 3DSecure"?
Le 3D Secure s'avère très contraignant en termes de parcours utilisateur. Nous essayons de trouver un équilibre entre l'expérience client et le taux de fraude. En raison de notre système de scoring, nous ne soumettons pas la transaction au 3D Secure, qui fait reposer la responsabilité de l'impayé sur la banque, lorsque nous ne la jugeons pas risquée. Nous prenons ce risque en raison de l'excellente performance de notre système de lutte contre la fraude, dans un marché de plus en plus orienté vers le 3D Secure.