Selon le rapport du Forum des droits sur l’Internet, le détournement de numéros de cartes bancaires sur l’Internet serait inexistant. Aucun numéro de carte bancaire n’aurait jamais été intercepté en France à l’occasion d’une transaction. Ce serait donc à tort que 32 % des internautes refusent encore d’acheter en ligne, par crainte de voir leur numéro détourné et leur compte bancaire pillé. Mais ce que le rapport n’explique pas, c’est que ce sont les bases de données des cybercommerçants qui intéressent les fraudeurs, et non pas l’interception de votre numéro de carte au moment ou vous l’envoyez.
Fournir son numéro de carte bancaire sur Internet constitue toujours un risque important d’être victime de fraudes. Ce risque est dailleurs bien loin de diminuer. Laisser croire le contraire à linternaute, cest le pousser à prendre tous les risques sans lui donner les moyens déviter le pire. Alors que le rapport du Forum des droits, entre ses lignes, dit tout à fait autre chose.
Ce document précise en effet « quaucune interception dun numéro de carte bancaire, à loccasion dun achat en ligne sur un site marchand doté dun espace sécurisé, na eu lieu en France. » En d’autres termes, il ny a pas eu de cas de détournement au moment de l’envoi entre l’ordinateur de l’internaute et le site marchand, tant que la transaction était cryptée. À ce stade en effet, même si des cas d’école célèbres existent, le fraudeur serait bien stupide sil espérait se remplir les poches en guettant votre numéro, en linterceptant juste au moment on vous l’envoyez et en tentant ensuite de le décrypter pour pouvoir s’en servir ! Cest un peu comme si, un voleur souhaitant sen prendre à votre voiture, il attendrait spécialement le moment où vous êtes au volant, portes fermées, lancé à 130 km/h sur lautoroute, pour essayer de semparer à votre insu de votre bijou Tout en sachant que pour pouvoir repartir avec, il lui faudra dabord tenter de leurrer le système de reconnaissance vocale qui ne connaît que votre voix !
Dire quil ny a pas eu de cas dinterception ne permet pas de conclure quil ny pas de numéros de cartes détournés. Le rapport névoque tout simplement pas le cas de ces vols de bases de données. Pourtant, lassureur Fianet, auquel sont affiliés plus de 1000 sites marchands français, le reconnaît lui-même dans son dernier livre blanc sur la Fraude : 1% des réclamations quil traite concerne des détournements de numéros de cartes [1] . Ces internautes français ont bel et bien vu leur numéros de cartes détournés alors quils avaient acheté sur ces sites, pourtant tous « sécurisés ».
Car ce n’est pas au moment de la transaction cryptée de surcroît que l’on prend un risque, mais après la transaction : alors que votre numéro de carte bancaire nest plus crypté depuis longtemps et quil est stocké avec des dizaines de milliers d’autres numéros, dans des bases de données accessibles en clair et ne comportant le plus souvent aucune sécurité réelle de conservation. Dans la majorité des entreprises de vente à distance, ces informations sont accessibles à n’importe quel secrétariat, service client, service de maintenance, service comptable… Lorsque vous appelez lun de ces services au téléphone pour une réclamation, votre interlocuteur na-t-il pas votre numéro de carte bancaire ainsi que toutes vos informations personnelles sur son écran, sans aucun cryptage ? Preuve donc que ces informations sont facilement accessibles, quand bien-même vous aviez transmis votre numéro de carte bancaire de manière cryptée, sur un site sécurisé.
Ce sont ces bases de données qui sont la cible de pirates, même si la plupart du temps le détournement sopère grâce à des employés indélicats. Il est en effet facile grâce à Internet de trouver preneur pour des listes de numéros de cartes bancaires appartenant à des clients de cyber-entreprises au dessus de tout soupçon.
La cyber-actualité regorge de cas de détournement de bases de données comportant plusieurs millions de numéros de cartes bancaires. Les sites marchands les plus prestigieux connaissent parfaitement ce fléau et sont bien en peine de contenir toutes les failles que les fraudeurs exploitent. Les banques elles-même déplorent régulièrement sans le reconnaître officiellement des intrusions, piratages et détournements dans leurs propres systèmes reliant les agences entre elles et utilisant pour cela lInternet !
Croire que lon peut donner de manière sûre son numéro de carte bancaire sur Internet, sous prétexte que la transaction est sécurisée, revient à méconnaître les dangers les plus élémentaires sur la Toile. Faire croire à linternaute quil peut régler avec sa carte bancaire les yeux fermés, du moment quun site est dit « sécurisé », revient au même que linciter à lancer sa voiture à fond de moteur, sans lui avoir appris au préalable où se situe le frein.
Pour donner son numéro de carte bancaire sur un site, même sécurisé, sans risque de détournement ultérieur, il faut dabord être certain que le cybercommerçant ne conservera pas le numéro de carte au delà de la transaction. Et contrairement à ce que laisse supposer le rapport du Forum des droits, les cybercommerçants gardent toujours vos coordonnées personnelles de carte bancaire, ne serait-ce quen cas de réclamation ultérieure, possible pendant deux ans.
Un bon conseil, avant de régler sur un site avec votre carte bancaire : prenez le temps de contacter au préalable le service client (par email) afin de vérifier si votre numéro sera détruit après la transaction. Vous prendrez votre décision en fonction de la réponse.
Pascal Colombani
Auteur de Le Dossier Noir des cartes bancaires (2001, Carnot) et Fraudes à la carte bancaire (2004, Carnot)
www.fraudescartesbancaires.com
Laisser un commentaire
Vous devez vous connecter pour publier un commentaire.