DossierFraude en ligne: état des lieux

1 Sécuriser les transactions en ligne

Avec 600 millions de transactions en 2013, soit 51,1 milliards d'euros dépensés sur Internet, le commerce en ligne en France est florissant.
Commander et acheter à distance, sans frontières, est simple, pratique et plébiscité par de nombreux internautes. Cependant, dans ce contexte favorable, une activité se développe en parallèle, celle de la fraude aux paiements en ligne. Un phénomène à dimension mondiale, très complexe à appréhender car fluctuant et de plus en plus organisé.
"Pour les e-marchands, la capacité à se prémunir et à lutter contre la fraude va devenir un outil de compétitivité face à la concurrence", assure Patrick Flamand, directeur France de CyberSource, auteur d'un Livre Blanc sur le sujet en partenariat avec l'Acsel. Sans être alarmistes, les acteurs du marché mettent en garde les e-commerçants sur l'urgence de sécuriser leurs transactions. "D'autant que les entreprises françaises ont cinq ans de retard sur la Grande-Bretagne et dix ans sur les États-Unis en matière de lutte anti-fraude", constate Patrick Flamand.

2 La France particulièrement touchée

Selon le dernier rapport de la Banque centrale européenne, la fraude en ligne a atteint 794 millions d'euros en Europe en 2012. Dans l'Hexagone, elle représenterait environ 200 millions d'euros. "Pour appréhender ce phénomène, il faut savoir que 1,4% du volume des commandes en France est constitué de tentatives de fraude (contre 1,7% aux États-Unis), ce qui ne veut pas dire que ces malversations sont couronnées de succès, car beaucoup sont stoppées grâce aux outils de prévention", précise Nicolas Vedrenne, directeur Europe de MRC, association mondiale de lutte contre ce fléau.
Heureusement, de nombreuses solutions permettent de s'en prémunir, mais le risque est bien réel. "En fait, le taux de fraude réellement constaté représenterait environ 1,5 million d'euros. Pour autant, la France devient le deuxième pays le plus exposé, en lieu et place de la Grande-Bretagne, qui a décidé d'éradiquer ce fléau national en prenant des mesures appropriées et efficaces", précise Elie Casamitjana, chef de produit prévention des fraudes chez Ogone.

Les acteurs du marché mettent en garde les e-commerçants sur l'urgence de sécuriser les transactions. La capacité à se prémunir et à lutter contre la fraude va devenir un outil de compétitivité face à la concurrence.

3 Focus sur les différents types de fraude

L'escroquerie peut prendre différentes formes:

- le vol de cartes est la plus importante. Elle implique des individus aux méthodes de plus en plus sophistiquées, qui fournissent des données de transaction correctes et complètes, difficiles à détecter;
- la fraude dite "amicale" est une tendance qui consiste, pour le consommateur, à faire un achat en ligne authentique avec sa carte de paiement puis à effectuer une répudiation auprès de la banque émettrice au motif qu'il n'a pas reçu les biens ou les services;
- les cyberattaques, notamment le phishing, à des fins d'usurpation d'identité.

Le phishing implique l'envoi d'un message, généralement un courriel, à un internaute par une personne qui se fait passer pour une entreprise officielle, en vue d'inciter l'utilisateur à fournir des informations personnelles qui seront utilisées à des fins d'usurpation d'identité.
Le pharming exploite les vulnérabilités du système informatique hôte afin d'essayer de détourner le trafic du site internet d'une entreprise vers un faux site à l'apparence similaire, toujours à des fins de vol d'identité.
Fabrice Rotstein dirige Becharge, site belge de vente de recharges pour mobiles. La sécurisation de son site est une priorité dans sa stratégie de commercialisation. "La fraude unique est gérable. Le plus compliqué, c'est la cyberattaque organisée (dite "fraude en sous-marin": plusieurs centaines de profils commandent en très peu de temps). Cela nécessite de s'adapter en permanence. Le coût de la fraude est incompressible étant donné notre business model, donc il y a des produits que l'on choisit de ne pas mettre en ligne car cela serait trop risqué pour nous", explique-t-il.

Lire aussi: Payer en ligne: ce qu'en pensent les consommateurs.

Le risque touche toutes les entreprises, de toutes tailles et de tous secteurs. Pour autant, les fraudeurs vont s'intéresser en priorité aux paniers élevés et aux produits facilement revendables. Le secteur du tourisme, des produits électroniques et du luxe sont particulièrement concernés.

4 Que faire en cas de fraude en ligne?

Que doit faire un e-marchand victime de fraude?
Il convient de conserver des preuves de l'infraction. Compte tenu du caractère volatil des données numériques, le constat d'huissier est un moyen de preuve souvent indispensable mais qui doit répondre à des exigences très strictes dans l'univers numérique. Elles vont dépendre du type de fraude rencontré. Tous les documents sous forme électronique peuvent potentiellement servir de preuve.
Enfin, il ne faut pas hésiter à déposer plainte avec constitution de partie civile.

Quelles actions les sites d'e-commerce doivent-ils mettre en place pour lutter contre la fraude externe dans le respect de la législation?
À titre préventif, l'e-commerçant dispose de plusieurs choix:
- opter pour des procédures d'authentification des paiements. Pour 3D Secure, l'internaute doit saisir, en plus du numéro de sa carte bancaire, sa date d'expiration et les trois chiffres du code de sécurité, ainsi qu'un mot de passe convenu avec sa banque (code dynamique à usage unique, date de naissance...);
- mettre en place des contrôles de détection des opérations suspectes sur base de faisceaux d'indices et établir une cartographie des risques afin de repérer les comportements suspects (achats multiples, nature des produits, montants d'achat, mode de livraison, etc.);
- avant d'intégrer une nouvelle solution de paiement sur son site e-commerce, vérifier que l'entreprise qui propose cette solution dispose des agréments et autorisations requis, consultables sur les sites des autorités de régulations (par exemple, en France, sur le site de l'Autorité de contrôle prudentiel et de résolution).
Le webmarchand devra également veiller à ne conserver les données bancaires des clients que sous forme cryptée, dans des systèmes d'informations sécurisés et pour une durée qui ne doit pas être excessive.

Les institutions accompagnent-elles suffisamment les e-marchands dans leur lutte contre la fraude?
C'est un sujet que les institutions ont investi très tôt. Bien évidemment, le problème est complexe et la sophistication des attaques rend la tâche difficile. Elle implique une évolution constante des niveaux de sécurité appliqués et une coordination européenne et internationale.
Dans la communication sur le commerce électronique publiée le 11 janvier 2012 par la Commission, 16 actions sont proposées, et notamment la mise en place de systèmes de règlement et de livraison fiables et efficaces en particulier s'agissant des achats transfrontaliers. Il faut donc renforcer le niveau de sécurité des paiements et de la protection des datas. Or, il est vrai que de nombreux textes européens sont en cours de réflexion à ce sujet.
Citons la proposition de règlement de l'UE sur la protection des données personnelles, dont une première mouture avait été publiée en janvier 2012 et modifiée début 2013. Ou encore une proposition de directive du 7 février 2013, destinée à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union (dite SRI). Bien évidemment, ces textes ne sont encore que des projets mais certains pourraient aboutir en fin d'année 2014 ou début 2015.

Et concernant la fraude interne?
La lutte contre ce problème commence toujours par la mise en place d'une organisation interne claire, dans laquelle sont définies des règles d'accès à certaines données sensibles. Une attention particulière est portée à la formation du personnel.
Des mesures techniques doivent ensuite renforcer l'organisation mise en place: affichage tronqué des données, cybersurveillance des transmissions réseau, etc. Mais attention, ce type d'outils doit être mis en place dans le respect de procédures destinées à éviter les atteintes à la vie privée du salarié. Il convient que les employés aient été préalablement informés, que les traitements mis en place et leur finalité aient été déclarés -voire autorisés, selon le traitement envisagé- par la Cnil.

L'avocate Cathie Rosalie Joly, au cabinet Ulys, revient sur la marche à suivre en cas de fraude et sur les actions de prévention à déployer.

5 Les habitudes de paiement, un impact certain sur le taux de fraude

"Le taux de fraude s'élève à 0,8% au Royaume-Uni, à 0,6% en Allemagne ainsi qu'en Belgique et à 0,4% aux Pays-Bas", explique Elie Casamitjana, chef de produit prévention des fraudes chez Ogone. Si les tentatives d'escroquerie concernent 1,35% des commandes, le taux réel de fraude est, selon la Fevad, de 0,29% (montant des transactions impayées).
La société Ogone, qui a mené une étude cet été sur le sujet de la fraude en ligne auprès ­d'un certain nombre de ­webmarchands actifs, explique, dans son rapport que "les habitudes et préférences des consommateurs, les initiatives des institutions en place et le niveau de protection des marchands placent la France dans une situation fragile face aux fraudeurs".
De fait, les Français privilégient en grande majorité le règlement par carte bancaire (à environ 85%, contre 22% en Allemagne et seulement 8% aux Pays-Bas) aux autres modes de paiement, comme PayPal. Et, de manière générale, les ­fraudeurs s'attaqueront en premier lieu aux sites les moins bien protégés, tous secteurs confondus.

6 Se prémunir des risques

Face à ces risques potentiels, tous les sites ne s'équipent pas de la même façon. Dans une enquête menée par CyberSource auprès des plus grandes enseignes de l'e-commerce français (entreprises dont le chiffre d'affaires est supérieur à 120 millions d'euros par an), il apparaît que les sites utilisent en moyenne cinq outils pour lutter contre les transactions frauduleuses.
Au-delà de la vérification manuelle des commandes, de nombreux acteurs proposent des solutions sur le marché pour se prémunir des risques. L'idée consiste à mettre en place différents filtres qui vont analyser les comportements, la vélocité des transactions, croiser des données en fonction de la géolocalisation de l'adresse IP... des techniques permettant d'identifier les transactions à risque, les comportements suspects.
"Le fraudeur n'est pas détectable en tant que tel. Il faut mettre en place un système avec des algorithmes prédictifs de gestion des risques. Notre solution, baptisée "Solution Manager", recoupe plus de 250 critères, qui sont analysés afin de segmenter les comportements par rapport à la fraude", explique Patrick Flamand (CyberSource).
Cependant, il existe un paradoxe dans ce système. En effet, à trop protéger la transaction, le webmarchand risque de se protéger, malgré lui, des bons clients et ainsi d'amoindrir l'efficacité commerciale de son site.

7 Le système 3D Secure, une réponse parmi d'autres

Même si 3D Secure ne fait pas l'unanimité auprès de tous les acteurs, les fraudeurs vont d'abord s'attaquer aux sites non équipés de ce système, qui reste le plus fiable.
Chez voyages-sncf.com, l'adoption de 3DS a réellement aidé à maîtriser la fraude. "Incontestablement, la mise en place de cette solution a atteint son objectif: le taux de fraude a été réduit d'un tiers en 2012. Nous sommes très largement en dessous de la moyenne nationale", témoigne l'entreprise dans le Livre Blanc de la Fevad.
Sécuriser les transactions nécessite une combinaison de plusieurs facteurs, à la fois au coeur de l'organisation de l'entreprise et auprès de ses partenaires. "La lutte contre l'escroquerie s'appuie sur trois piliers: des solutions de scoring, une gouvernance de sécurité dans la ­politique de management de l'entreprise et l'adoption du système 3D Secure", explique Patrick Flamand (CyberSource).
3D Secure, arrivé en France en 2000, est un système fiable de lutte contre la fraude. L'envoi d'un code non rejouable envoyé à l'internaute par SMS par la banque assure une garantie supplémentaire au site pour sécuriser sa transaction. De mieux en mieux accepté par les consommateurs, 3D Secure a longtemps été rejeté par les e-marchands parce que son usage engendrait un taux d'abandon trop fort.
"Environ 20% des sites marchands en France utilisent 3D Secure, contre 60% en Belgique", assure Elie Casamitjana.
Autre avantage, en adoptant ce système, les e-commerçants peuvent bénéficier d'un transfert de responsabilité. Ce qui signifie que c'est la banque, et non le commerçant, qui supporte le poids des fraudes à la carte bancaire. Pour autant, ce n'est pas une garantie de protection à 100%, puisque, sur le marché noir, se vendent des cartes bancaires avec le code d'identification fourni.

En privilégiant le règlement par carte bancaire aux autres modes de paiement, les Français par cette habitude se placent dans une situation fragile face aux fraudeurs.

8 Comment reconnaître les transactions à risque?

"Le coût total des malversations pour un commerçant représente, en moyenne, 2,79 fois le montant de la fraude elle-même. Les coûts supplémentaires sont induits par les moyens techniques et humains employés pour la prévenir, mais aussi par les commandes rejetées car trop similaires à un comportement malhonnête", explique Nicolas Vedrenne (MRC).
De son côté, Ogone détaille le préjudice subi de la façon suivante: la fraude a un impact qui regroupe les coûts financiers directs (prix de revient du produit, amendes des institutions, temps de gestion des contestations), les revenus manqués (identifier les transactions à risque, risque de bloquer les bons clients, impact sur la réputation) et les coûts liés à la prévention (ressources mises en place pour éviter la fraude).
"Minimiser le coût total de la fraude doit être l'objectif prioritaire des e-marchands. Ogone recommande de calculer l'argent perdu de façon régulière via un rapport hebdomadaire afin de pouvoir réagir rapidement", argumente Elie Casamitjana.

9 Indicateurs les plus courants de transactions à haut risque

Certains indices peuvent faire soupçonner une tentative de fraude, selon le rapport 2013 sur la fraude en ligne outre-Manche. En tête, l'achat d'articles particulièrement onéreux (49% des cyberattaques). Vient ensuite la répétition des transactions, à 41% (gare aux clients trop fidèles). En troisième position, les commandes comprenant plusieurs fois le même produit (39%). Des enseignements valables au Royaume-Uni et au-delà.

À la Fnac, la sécurité prime dans l'organisation de l'entreprise
"Lutter contre la fraude est d'autant plus stratégique que la conquête de la marge est difficile pour les entreprises, notamment pour la Fnac", témoigne Philippe François, directeur de la sécurité du groupe Fnac (4 milliards d'euros de chiffre d'affaires), dont l'ensemble des paiements par carte est externalisé. "Au sein de notre entreprise, 70% des malversations sont liés à l'opportunité et proviennent de petits gagneurs. Mais 20% participent d'une fraude compliquée, laquelle nécessite des investigations et coûte cher", poursuit le porte-parole de l'enseigne.
Sans oublier les actes malhonnêtes au sein même de l'entreprise, tout aussi difficiles à gérer en termes de management. "Nous communiquons abondamment sur ce sujet en interne pour limiter les tentations et les passages à l'acte. En effet, ne pas contrer la fraude a un coût social pour l'entreprise; cela discrédite le management." Un pilotage global intégrant les différents services, notamment dans les grands groupes, et le fait de favoriser les échanges autour de ce sujet constitue aussi un moyen de limiter les risques. En particulier pour les entreprises multicanal qui, de fait, multiplient les opportunités pour les fraudeurs.

Tenter de définir les pertes dues à la fraude implique de prendre en compte différents facteurs, qui vont bien au-delà de la perte du produit volé.

10 Sécurisation en ligne: l'exemple de Cdiscount

À gros acteurs, gros moyens. Avec 10 millions de clients, soit 800 000 visiteurs en moyenne et 30 000 commandes traitées par jour, Cdiscount, leader de la vente en ligne en France -filiale du groupe international Casino- place la sécurité de ses transactions parmi ses priorités. Aussi, le site a choisi de créer sa propre plateforme de paiement, certifiée conforme à une norme mondialement reconnue.
La solution de paiement sécurisée Cdiscount est certifiée PCI DSS par Visa et MasterCard, dans le but de sécuriser les données de carte bancaire. La certification PCI DSS est accordée par un organisme indépendant, Verizon, qui audite l'e-marchand chaque année.

11 Garantie 100% fiable

"Cdiscount est certifié pour la troisième année consécutive. C'est un travail colossal, qui nécessite la validation de plus de 260 points de contrôle. Les e-marchands ont l'obligation, vis-à-vis des institutions financières qui traitent leurs paiements, d'obtenir, de prouver et de conserver leur conformité à ce standard. Ils doivent maintenir par leurs propres moyens une plateforme de traitement des paiements conforme", précise Rodolphe Simonetti, managing director, payment card industry services de Verizon.
Il s'agit du premier site d'e-commerce français à obtenir cette certification. Une garantie 100% fiable, qui rassure les clients de l'enseigne et ses partenaires.
Autre spécificité de la démarche, Cdiscount, qui traite déjà les paiements pour son propre site de vente en ligne, prévoit désormais d'offrir ces services à d'autres entreprises. À terme, il proposera des services de traitement des paiements à plus grande échelle, en se concentrant sur les détaillants plus petits qui recherchent un fournisseur expérimenté, lequel vend des solutions conformes au standard PCI DSS.

Cdiscount est le premier webmarchand français à obtenir la certification PCI DSS, qui garantit la sécurisation des paiements.

12 Et demain, quel rempart pour le mobile?

Dans le cadre des transactions en ligne, celles réalisées sur le mobile doivent, a fortiori, être considérées avec attention. On le sait, le m-commerce s'envole. La Fevad estime à 2 milliards d'euros le montant des ventes réalisées via le m-commerce en France, en 2013.
En revanche, 3D Secure, pour des raisons d'ergonomie et de configuration des interfaces, n'est pas adapté aux transactions sur ­smartphones et autres tablettes. Cependant, des alternatives apparaissent sur le marché. "Dans cinq ans, la manière de payer sur Internet sera totalement différente. Les wallets, ou porte-monnaie électroniques, vont progressivement se substituer aux cartes de paiement", assure Patrick Flamand (CyberSource).
Depuis 2011, l'offre d'e-wallet s'enrichit: Paylib, Buyster, S-Money, Alipay, Google Wallet... Quelques études opportunistes accompagnent le mouvement. Ainsi, ADN'Co, société de conseil indépendante, annonce dans une récente étude menée pour Limonetik, une part de marché des wallets en France estimée à 17 milliards en 2016, dont 11 milliards via l'e-commerce et 1,4 milliard pour le m-commerce.

13 Des méthodes de lutte en constante progression

De plus, un projet de Directive sur les services de paiement 2 (dit DSP2) prévoit de renforcer l'adoption de méthodes d'authentification fortes pour les règlements électroniques afin d'en améliorer la sécurisation. En coopération étroite avec la Banque centrale européenne (BCE), l'Autorité bancaire européenne (ABE) publiera, à destination des prestataires de services (banques, établissements de paiement, de monnaie électronique), des orientations concernant les techniques les plus avancées d'authentification des clients. Elle communiquera des informations qui permettront d'avoir une connaissance des nouvelles solutions technologiques d'authentification forte développées à un niveau européen.
Face à de tels enjeux, ce sont tous les acteurs de l'écosystème du commerce en ligne qui se mobilisent dans un objectif commun pour tenter de limiter la pénétration des cyberattaques. L'union fera la force.

Le protocole de paiement sécurisé sur internet 3D Secure, pour des raisons d'ergonomie et de configuration des interfaces, n'est pas adapté aux transactions sur ­smartphones et autres tablettes. Un point noir qu'il est urgent de traiter.