oscp rapport annuel 2014

RAP PORT ANNUE LDE LOBSERVATOIRE DE LA SCURIT DES CARTES DE PAIEMENT

2014

bservatoirede la scuritdes cartes de paiementwww.observatoire-cartes.fr

bservatoirede la scuritdes cartes de paiement

31, rue Croix-des-Petits-Champs 75049 Paris Cedex 01 Code Courrier : 11-2323

RappoRt annuel 2014 de lobseRvatoiRe de la scuRit des caRtes de paiement

adress

Monsieur le ministre de lconomie, de l'Industrie et du Numrique

Monsieur le ministre des Finances et des Comptes publicsMonsieur le prsident du Snat

Monsieur le prsident de lAssemble nationale

par

Christian Noyer,gouverneur de la Banque de France,

prsident de lObservatoire de la scurit des cartes de paiement

LObservatoire de la scurit des cartes de paiement, mentionn au I de larticle L1414 du Code montaire et financier, a t cr par la loi n 20011062 du 15 novembre 2001 relative la scurit quotidienne. Sesmissions en font une instance destine favoriser lchange dinformations et la concertation entre toutes les parties concernes (consommateurs, commerants, metteurs et autorits publiques) par le bon fonctionnement et la scurit des systmes de paiement par carte.

Conformment lalina 6 de cet article, le prsent rapport constitue le rapport dactivit de lObservatoire quiestremis au ministre charg de lconomie et au ministre charg des finances et transmis au Parlement.

NB: Pour ses travaux, lObservatoire distingue les systmes de paiement par carte de type interbancaire et ceux de type privatif . Les premiers correspondent ceux dans lesquels il existe un nombre lev de prestataires de services de paiement metteurs et acqureurs. Les seconds correspondent ceux dans lesquels il existe un nombre rduit de prestataires de services de paiement metteurs et acqureurs.

Sommaire

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014

SYNTHSE 7

cHapiTrE 1 : TaT dES liEux dE la ScuriSaTioN dES paiEmENTS par carTE Sur iNTErNET 11

1| tat davancement de la scurisation des paiements par carte sur internet 111|1 La quasitotalit des porteurs est dsormais quipe dau moins un dispositif

dauthentification renforce 111|2 Le taux dchec sur les transactions authentifies de manire renforce

se rapproche de celui sur les transactions nonauthentifies 121|3 Le recours lauthentification via 3DSecure continue progresser,

port par un meilleur taux dquipement des ecommerants 122| les actions menes par les instances nationales et europennes pour promouvoir

le renforcement de la scurit des paiements sur internet 132|1 Les actions menes par la Banque de France et lObservatoire 132|2 Laction des autorits europennes 132|3 Les Assises nationales des paiements ont reconnu le rle de lauthentification renforce

pour dvelopper des moyens de paiement faciles et srs utiliser 143| conclusion 14

cHapiTrE 2 : STaTiSTiquES dE fraudE pour 2014 151| vue densemble 162| rpartition de la fraude par type de carte 173| rpartition de la fraude par zone gographique 174| rpartition de la fraude par type de transaction 185| rpartition de la fraude selon son origine 22

cHapiTrE 3 : uTiliSaTioN dES TEcHNiquES BiomTriquES lorS dES opraTioNS aVEc dES carTES dE paiEmENT 27

1| rappel du contexte 272| dfinition de la biomtrie et application la carte de paiement 27

2|1 Dfinition 272|2 Application la carte de paiement 29

2|2|1 Quels cas dusage de la biomtrie pour les paiements par carte ? 292|2|2 Les limitations du recours la biomtrie 302|2|3 Les standards existants 31

3| tat des lieux des dispositifs biomtriques utiliss pour des oprations de paiement par carte 323|1 tapes prliminaires la mise en uvre dun dispositif biomtrique 32

3|1|1 Lenrlement des utilisateurs 323|1|2 Le stockage des empreintes de rfrence des utilisateurs 333|1|3 Laccs au service conditionn par le dispositif biomtrique 33

3|2 Apport possible de lauthentification biomtrique par rapport aux dispositifs existants 343|3 Application au paiement distance 343|4 Application au paiement de proximit 353|5 Application au retrait 35

4| conclusion 36


Sommaire

cHapiTrE 4 : lES NouVEaux moYENS dE paiEmENT : dE NouVEaux ENjEux dE ScuriTSYNTHSE dE la coNfrENcE du 22 ocToBrE 2014 orgaNiSE par la BaNquE dE fraNcE ET la BaNquE cENTralE EuropENNE

371| lmergence de nouveaux enjeux de scurit 372| la coopration des autorits europennes en matire de scurit des moyens de paiement 393| les attentes en matire de scurit sur les nouveaux moyens de paiement 39

3|1 La scurit des paiements par tlphone mobile 393|2 La scurit des paiements par internet 413|3 Les dfis scuritaires lis lmergence des tiers de paiement 41

aNNExESannexe 1 : conseils de prudence lusage des porteurs a1annexe 2 : protection du titulaire dune carte en cas de paiement non autoris a3annexe 3 : missions et organisation de lobservatoire a7annexe 4 : liste nominative des membres de lobservatoire a11annexe 5 : dossier statistique a13annexe 6 : dfinition et typologie de la fraude relative aux cartes de paiement a19

SynthSe


77Le douzime rapport annuel dactivit de lObservatoire de la scurit des cartes de paiement, relatif lexercice2014, comprend quatre parties dont les principales conclusions sont reprises ciaprs.1re partie: tat des lieux de la scurisation des paiements par carte sur internet

La poursuite de la baisse du taux de fraude sur les paiements par carte sur internet tmoigne des efforts raliss par les metteurs et les ecommerants pour mieux scuriser ces transactions.

Plus de 90% des porteurs de carte sont ainsi quips de dispositifs dauthentification renforce. Chez les ecommerants, le taux dquipement est proche de 60%, ce qui reprsente une hausse significative(43% lan pass), principalement due une adoption du mode de scurisation 3DSecure chez les petits ecommerants et la possibilit de dclencher une authentification sur la base dune analyse de risques.

Le taux dchec sur les transactions authentifies est rest un niveau quivalent celui du taux dchec des transactions non authentifies, confirmant ainsi labsence dobstacle ladoption de ce type de dispositif de scurisation pour les ecommerants.

Dans ce contexte, lObservatoire rappelle lensemble des acteurs concerns que la gnralisation des dispositifs dauthentification renforce est galement une priorit, tant de lEurosystme, que de lAutorit bancaire europenne, dont les recommandations relatives la scurit des moyens de paiement sur internet entrent envigueur au 1er aot2015.

2e partie: statistiques de fraude pour lanne2014

Le taux de fraude sur les paiements et les retraits sur les cartes mises enFrance est rest stable en2014 pour la deuximeanne conscutive, 0,069%. Enincluant les transactions des cartes mises dans dautres pays, le taux de fraude global reste stable galement, 0,080% pour la troisimeanne conscutive.

Cette stabilisation du taux de fraude global rsulte toutefois de tendances contraires:

Pour la premire fois depuis 2004, le montant de fraude sur les transactions nationalesdiminue 235millions deuros(239millions deuros en2013), alors mme que le montant detransactions continue de progresser. Le taux de fraude sur les transactions nationales est ainsiendiminution, 0,043%(contre 0,046% en2013), de mme que le taux de fraude sur lespaiements de proximit(0,010%, aprs 0,013% en2013).

Pour la troisime anne conscutive, le taux de fraude sur les paiements distance continue de se rduire, 0,248%(contre 0,269% en2013). Toutefois, dans un contexte de croissance soutenue du ecommerce, les montants de fraude sur les paiements distance continuent daugmenter. Les paiements distance reprsentent toujours la majeure partie de la fraude enmontant(66,5%) alors quils ne constituent que 11,6% du montant total des paiements.


SynthSe

8

ce titre, certains secteurs dactivit, notamment celui de la tlphonie et des communications, prsentent des taux de fraude pour les transactions enligne nettement suprieurs lensemble des ecommerants, appelant une vigilance renforce des acteurs concerns.

linverse, le taux de fraude sur les retraits continue progresser(0,034%, aprs 0,033% en2013), dans un contexte o le piratage de distributeurs de billets et le vol de cartes avec code restent des malversations prises des rseaux de fraude organiss.

Par ailleurs, les premires donnes statistiques relatives aux paiements enmode sans contact font ressortir un taux de fraude limit sur les neuf derniers mois de2014, 0,015%, soit un niveau intermdiaire entre celui des paiements de proximit et celui des retraits aux distributeurs automatiques de billets. Cette fraude a presque exclusivement pour origine le vol ou la perte de la carte, confirmant ainsi lanalyse faite par lObservatoire quun risque de fraude lie la technologie sans contact demeure trs limit.

La fraude sur les transactions internationales continue daugmenter, 266 millionsdeuros (contre 231,3millions en2013), mais enraison dune croissance forte de lactivit, le taux de fraude sur les transactions internationales est orient la baisse, 0,456%, aprs 0,480% en2013. Il reste toujours plus de dix fois suprieur celui des transactions nationales. De ce fait, les transactions internationales reprsentent 41% du montant total de la fraude sur les cartes mises enFrance, alors quelles ne comptent que pour 6% de la valeur totale des transactions ralises.

En particulier, les taux de fraude sur les paiements distance de cartes franaises dans ou hors zone SEPA restent des niveaux levs (respectivement 0,910 % et 0,960 %), notamment sous leffet dune meilleure scurisation des transactions distance sur les sites franais et donc dun report des fraudeurs vers des sites situs ltranger. Lentre envigueur lt2015 des orientations de lAutorit bancaire europenne prvoyant la gnralisation du recours lauthentification renforce des payeurs devrait permettre de lutter plus efficacement contre la fraude sur les paiements distance dans la zone SEPA.

3e partie: travaux de veille technologique sur lusage de la biomtrie comme facteur dauthentification

Certains modes dauthentification reposant sur la biomtrie, djutilise quotidiennement par une part croissante du grand public, pourraient venir renforcer la scurisation doprations de paiement par carte, quelles soient distance ou de proximit, ou de retrait. De ce fait, lObservatoire asouhait faire un tat des lieux de ces techniques dauthentification et de leurs conditions de mise enuvre.

Lutilisation de techniques biomtriques tant strictement encadre enFrance par la loi Informatique et Liberts, lObservatoire rappelle que leur application au sein de solutions de paiement requiert le dpt dune demande dautorisation auprs de la CNIL.


SynthSe

9

LObservatoire constate que les exprimentations menes enFrance visent enpriorit tester lergonomie des dispositifs biomtriques. Avant tout dploiement grande chelle, lObservatoire estime ncessaire quune analyse des risques lis lusage de lauthentification biomtrique soit conduite afin que le niveau de protection des solutions mises enuvre soit au moins quivalent celui offert par les techniques djenplace(code confidentiel et carte puce pour le paiement de proximit, code non rejouable pour le paiement distance).

Par ailleurs, soulignant le manque dlments dapprciation du niveau de scurit des dispositifs biomtriques par rapport aux technologies actuellement enuvre(carte puce, carte SIM des tlphones portables, etc.), lObservatoire appelle les acteurs dvelopper des rfrentiels de scurit permettant de qualifier les solutions proposes enprenant encompte lensemble de leurs composants et paramtres (matriels de capture de lempreinte biomtrique et de traitement, algorithmes, cas dusage).

LObservatoire appelle galement les acteurs tre vigilants durant les phases dexprimentation de solutions fondes sur la biomtrie, la compromission dempreintes biomtriques utilises par cellesci pouvant mettre encause le dploiement de solutions futures plus grande chelle.

Enfin, du fait des limitations inhrentes la biomtrie et du manque de maturit de lvaluation scuritaire de ces dispositifs, lObservatoire recommande de toujours conserver un moyen dauthentification alternatif capable de se substituer au dispositif biomtrique.

4e partie: synthse de la confrence Les nouveaux moyens depaiement: de nouveaux enjeux de scurit du 22 octobre2014

La Banque de France a organis le 22 octobre2014 Paris, encollaboration avec la Banque centrale europenne, une confrence internationale sur les nouveaux dfis enmatire de scurit des moyens de paiement. Cette journe a t loccasion de dvelopper un dialogue entre institutions europennes, autorits nationales et acteurs de march autour de ces sujets. Trois grands axes qui conditionneront lavenir des travaux sur la scurit des moyens de paiement se sont ainsi dgags des changes.

En premier lieu, la coopration la fois entre les diffrentes autorits concernes au niveau europen, au travers denceintes telles que le forum europenSecure Pay1, mais aussi entre ces autorits et les nombreuses parties prenantes du march des paiements(banques, entreprises, fournisseurs de solutions, consommateurs), est apparue comme une rponse efficace au besoin dun dveloppement cohrent des exigences scuritaires sur le march europen.

1 Le forum europen SecuRe Pay, coprsid par la BCE et lABE, runit les banques centrales et superviseurs bancaires nationaux sur les sujets relatifs la scurit des moyens de paiement scripturaux.


SynthSe

10

Ensuite, la prise encompte enpermanence des volutions du march, dans un contexte o linnovation fait voluer rapidement les usages des consommateurs, doit faire partie intgrante du fonctionnement des autorits europennes. ce titre, les travaux conduits au niveau du forum SecuRe Pay et de lAutorit bancaire europenne concernant la scurit des paiements sur internet illustrent cette volont dinvestir les segments les plus innovants en matire de dveloppement de services de paiement srs et efficaces.

Enfin, dans un secteur enforte volution, la recherche dun quilibre entre innovation et scurit est galement un paramtre intgrer dans laction des autorits, qui doivent veiller ce que les exigences rglementaires ne constituent pas une barrire au dveloppement de nouveaux services. Les rflexions conduites dans le cadre de la rvision de la directive sur les services de paiement, concernant enparticulier lencadrement des activits des tiers de paiement et de leurs conditions de scurit, illustrent cette volont de permettre louverture du march des paiements linnovation tout enmatrisant les risques pour lensemble des acteurs et les consommateurs.

la finance solidaire ou thique

11

Chapitre 1

11


tat des lieux de la scurisation des paiements par carte sur internet

La fraude sur les paiements par carte sur internet et les moyens mis en uvre par les acteurs de la chane de paiement afin de sen prmunir font lobjet dun suivi rgulier par lObservatoire.

Parmi les mesures que lObservatoire recommande, la gnralisation progressive de lauthentification renforce du porteur par lutilisation dun code de validation non rejouable, chaque fois que cela est possible et pertinent, occupe une placeprpondrante.

Le prsent chapitre rend compte du suivi de la mise en uvre de cette recommandation(partie1) ainsi que des actions menes par lObservatoire, la Banque de France et les initiatives au niveau europen pour promouvoir le renforcement de la scurit des paiements sur internet(partie2).

1| tat davancement de la scurisation des paiements par carte sur internet

La multiplication des tentatives de fraude et attaques visant compromettre des donnes ou des moyens de paiement oblige les acteurs sadapter en permanence aux volutions des scnarios de fraude mis en uvre et aux mesures dployes pour y rpondre. Parmi celles-ci, la gnralisation de lauthentification renforce du porteur reste une priorit de lObservatoire.

Dans ce contexte, un suivi statistique semestriel du dploiement des solutions dauthentification est ralis par lObservatoire auprs des principaux tablissements bancaires.

Ce suivi statistique, portant sur un primtre de 58,8millions de cartes de paiement et 39,6milliards deuros de paiements(dont 12,4milliards scuriss

par le dispositif 3D-Secure1), permet de mesurer lvolution quantitative et qualitative de la mise en uvre de lauthentification renforce.

La neuvime campagne de collecte, qui portait sur la priode du 1ernovembre2014 au 30avril2015, met en vidence trois principaux enseignements.

1|1 La quasi-totalit des porteurs est dsormais quipe dau moins un dispositif dauthentification renforce

Le taux moyen de porteurs quips dau moins un dispositif dauthentification renforce a fortement progress sur les trois dernires annes, passant de 77% plus de 90%. La lgre baisse en moyenne observe sur la dernire collecte(90,9% en avril2015,

1 Protocole interbancaire de scurisation des paiements par carte en ligne permettant lauthentification du porteur.

Graphique 1

distribution des taux dquipement des porteurs dun dispositif dauthentification renforce (ar)(en%)

0Avril2012

Oct.

Proportion des porteurs quips AR dans l'tablissement le plus en retard Proportion des porteurs quips AR dans l'tablissement le plus en avanceProportion des porteurs quips AR au niveau de la Placecart dans lequel se situent les donnes de 50 % des tablissements

Avril2013

Oct. Avril2014

20

40

60

80

100

120

Oct. Avril2015

Source: Observatoire de la scurit des cartes de paiement.


12


contre 93,3% en octobre2014) sexplique par la migration de la clientle dun grand metteur de la Place vers un nouveau mode dauthentification forte.

En considrant le primtre des porteurs ayant effectivement ralis une opration de paiement par internet sur les six derniers mois, le taux est proche de 100%.

Parmi les dispositifs dauthentification proposs, le SMS OTP2 reste toujours largement majoritaire.

1|2 Le taux dchec3 sur les transactions authentifies de manire renforce se rapproche de celui sur les transactions nonauthentifies

LObservatoire a pu constater lvolution favorable du taux dchec sur les paiements authentifis au fil des collectes ralises, passant de 18% en2011 14,6% sur la dernire collecte.

De plus, les carts constats sur ce taux dchec entre les tablissements sonds sest fortement

rduit, tmoignant dune meilleure comprhension des dispositifs dauthentification renforce par les porteurs, permise notamment par la gnralisation du systme 3D-Secure par de grands e-commerants.

Ainsi, ce taux dchec est mme devenu en2014 lgrement infrieur au taux dchec sur les paiements non authentifis, collect par lObservatoire depuis2013, et qui se situe 14,9%. LObservatoire note ainsi quil se confirme que lauthentification renforce du porteur, chaque fois que cela est possible et pertinent, ne constitue pas un obstacle au dveloppement du commerce lectronique.

1|3 Le recours lauthentification via 3D-Secure continue progresser, port par un meilleur taux dquipement des e-commerants

La part des transactions authentifies en valeur progresse sur un an de 29,7% 31,3% des montants. Cette volution positive contribue la diminution du taux de fraude des paiements distance en2014.

En outre, la proportion de commerants quips en dispositifs dauthentification renforce progresse significativement, passant en un an de 43% 58%.

2 SMS OneTime Password : principe de rception par SMS dun code unique chaque transaction pour authentifier le porteur de la carte.3 Sont inclus dans les motifs dchec les abandons porteur (tous motifs confondus), les problmes techniques (tous motifs confondus), les

tentatives de fraude, les saisies errones.

Graphique 2

distribution du taux dchec 3dSecure (3dS)(en%)

0

Taux d'chec 3D-S dans l'tablissement le moins affectTaux d'chec 3D-S dans l'tablissement le plus affectTaux d'chec 3D-S au niveau de la Place

cart dans lequel se situent les donnes de 50 % des tablissements

10

20

30

40

50

Taux d'chec non 3D-Secure

Avril2012

Oct. Avril2013

Oct. Avril2014

Oct. Avril2015


Graphique 3

part des paiements en ligne scuriss par 3dSecure (en montant)(en%)

0

17,90

5

10

15

20

25

35

30

Avril2012

Oct. Avril2013

Oct. Avril2014

Oct. Avril2015

Avril2011

Oct.

23,0024,90 25,54

27,47 27,7529,72 31,10

31,29



13


Cette hausse sexplique notamment par une adoption de ce mode de scurisation des paiements chez les petits e-commerants et la possibilit de dclencher une authentification 3D-Secure sur la base dune analyse de risques.

2| Les actions menes par les instances nationales et europennes pour promouvoir le renforcement de la scurit des paiements sur internet

2|1 Les actions menes par la Banque de France et lObservatoire

La Banque de France a poursuivi son action de sensibilisation des e-commerants et de leurs prestataires de services de paiement la lutte contre la fraude, dans le prolongement des actions inities en2013 la demande de lObservatoire. Par ailleurs, la Banque de France a mis en place auprs

des acteurs impliqus dans la chane du paiement un processus de remonte des incidents de production lis ltape dauthentification des porteurs. Ces informations visent mieux identifier les points de faiblesse des dispositifs dploys conduisant le cas chant dtriorer le taux de transformation4 des paiements authentifis.

LObservatoire constate, sur lexercice2014, que la majorit des grands e-commerants rencontrs a dploy des plans daction visant rduire le taux de fraude, en particulier au moyen de mcanismes dauthentification renforce des porteurs. Cette dmarche devrait faciliter la mise en uvre en France des volutions rglementaires europennes visant renforcer la scurit des paiements par internet.

2|2 Laction des autorits europennes

LAutorit bancaire europenne(ABE) a publi en dcembre2014 une orientation sur la scurit des paiements sur internet. Celles-ci, reprenant largement les recommandations mises par le forum SecuRePay en2013, visent notamment gnraliser lauthentification forte du client enprconisant:

dunepart,auxmetteursdecartesdepermettrelauthentification forte du titulaire de la carte;

dautrepart,auxprestatairesdeservicesdepaiement dexiger que leurs commerants en ligne favorisent des solutions permettant lmetteur de procder une authentification forte du titulaire de la carte pour les oprations effectues sur internet. LABE prcise que lutilisation de mesures alternatives dauthentification peut tre envisage pour des catgories prdfinies doprations faible risque, par exemple sur la base dune analyse du risque inhrent lopration.

Les recommandations de lABE sur la scurit des paiements par internet sont applicables partir du 1er aot2015. Elles ont t incorpores au sein des cadres de surveillance de lEurosystme sur les moyens de paiement.

Graphique 4

distribution du taux dquipement des ecommerants en dispositif 3dSecure(en%)

0Avril2012

Oct.

Taux de commerants quips en 3D-Secure dans l'tablissement le moins avanc Taux de commerants quips en 3D-Secure dans l'tablissement le plus avanc Taux de commerants quips en 3D-Secure au niveau de la Placecart dans lequel se situent les donnes de 50 % des tablissements

Avril2013

Oct. Avril2014

20

40

60

80

100

Oct. Avril2015


4 Le taux de transformation, ou taux de conversion, vise chez un commerant en ligne mesurer le nombre dachats raliss par rapport au nombre de visites reues sur un site.


14


Le recours systmatique lauthentification renforce pour les paiements par internet sera en outre pris en compte dans la rvision de la directive sur les services de paiement(dite DSP2), dont la publication est prvue au second semestre2015 et qui ncessitera une transposition en droit national5.

2|3 Les Assises nationales des paiements ont reconnu le rle de lauthentification renforce pour dvelopper des moyens de paiement faciles et srs utiliser

Les Assises nationales des paiements, organises sous lgide du ministre des Finances et des Comptes publics, Michel Sapin, et du ministre de lconomie, de lIndustrie et du Numrique, Emmanuel Macron, se sont tenues le 2juin2015. Elles visaient dfinir les contours dune stratgie nationale de modernisation des moyens de paiement avec pour objectifs, dune part, de rpondre aux besoins des utilisateurs en terme de rapidit, de scurit et daccessibilit des moyens de paiement, et, dautre part, de dvelopper lusage de moyens de paiement innovants et la comptitivit de lindustrie nationale des paiements.

La gnralisation des dispositifs dauthentification renforce des payeurs lors de paiements distance sinscrit ainsi dans la perspective du dveloppement de moyens de paiement faciles et srs utiliser, au regard la fois de la part trs importante que reprsente la fraude sur les paiements distance dans le total de la fraude constate pour les paiements par carte, et de la dynamique de dveloppement du commerce en ligne.

Les propositions formules dans le cadre des travaux prparatoires aux Assises nationales des paiements prconisent notamment dencourager les initiatives permettant une meilleure diffusion de lauthentification renforce, en intensifiant les efforts de communication et dducation mens auprs des commerants et des utilisateurs, et le dveloppement de solutions dauthentification renforce dites de deuxime gnration, dont certaines prsentent lavantage de ne pas ncessiter un quipement spcifique des commerants en ligne ou par exemple fondes sur lusage de la biomtrie. Lavnement de ces dispositifs nouveaux viserait notamment rpondre aux proccupations exprimes par les e-commerants, en particulier au regard du fort dveloppement des paiements par tlphone mobile et au manque dergonomie des solutions existantes sur ce type de terminal. ce titre, les nouvelles solutions qui russiront simposer dans les prochaines annes seront vraisemblablement celles qui allieront facilit dutilisation et scurit, tout en reposant sur des modles conomiques viables.

3| Conclusion

LObservatoire appelle lensemble des acteurs du paiement poursuivre le renforcement de la scurit des paiements par internet. Au regard de laugmentation significative de la part des sites de-commerce quips(prs de 60% avril2015), lObservatoire note que la gnralisation des dispositifs dauthentification renforce est bien amorce mais doit rester une priorit, permettant de se conformer aux recommandations de lEurosystme et de lAutorit bancaire europenne relatives la scurit des moyens de paiement sur internet, qui entrent en vigueur au 1er aot2015.

5 Voir prcisions sur le dispositif rglementaire de la DSP2 au chapitre 4.


15

Chapitre 2

15


Statistiques de fraude pour2014

Encadr 1

Statistiques de fraude: les contributeurs

Afin dassurer la qualit et la reprsentativit des statistiques de fraude, lObservatoire recueille les donnes de lensemble des metteurs de cartes de type interbancaire ou privatif.

Les statistiques calcules par lObservatoire pour lanne 2014 portent ainsi sur:

558,7milliardsdeurosdetransactionsralisesenFranceetltrangeraumoyende71,0millionsdecartesdetypeinterbancairemisesenFrance(dont1,98milliondeporte-monnaielectroniqueset 30,6millions de cartes sans contact);

17,2milliardsdeurosdetransactionsralises(principalementenFrance)avec14,6millionsdecartesdetypeprivatifmisesenFrance;

49,0milliardsdeurosdetransactionsralisesenFranceavecdescartesdepaiementtrangresdetypesinterbancaire et privatif.

Les donnes recueillies proviennent:

de10metteursdecartesprivatives:AmericanExpress,BanqueAccord,BNPParibasPersonalFinance,CrditAgricoleConsumerFinance(FinarefetSofinco),Cofidis,Cofinoga,DinersClub,Franfinance,JCBetUnionPayInternational;

des130membresduGroupementdesCartesBancairesCB.Lesdonnesonttobtenuesparlintermdiairedecedernier,ainsiquedeMasterCardetdeVisaEuropeFrance;

desmetteursduporte-monnaielectroniqueMoneo.

Depuis2003, lObservatoire tablit des statistiques de fraude sur les cartes de paiement de type interbancaire et de type privatif, sur la base de donnes recueillies auprs des metteurs et des accepteurs. Ce recensement statistique suit une dfinition et une typologie harmonises, tablies ds la premireanne de fonctionnement de lObservatoire et reprises enannexe 6 du prsent rapport. Une synthse des statistiques pour2014 est prsente ci-aprs. Ellecomporte une vue gnrale de lvolution de la fraude, selon le type de carte(interbancaire ou privatif), le type de transaction effectue(transactions nationales ou internationales, transactions de proximit ou distance, transactions de paiement ou de retrait)

et lorigine de la fraude(carte perdue ou vole, carte non parvenue, carte altre ou contrefaite, numro de carte usurp). Afin dassurer une cohrence avec les chiffres et taux de fraude europens disponibles auprs de la BCE1, les donnes concernant les seules cartes mises en France sont prsentes sparment. Ellesnincluent donc pas, par construction, la fraude subie en France par des cartes mises dans dautres pays et que lObservatoire est en mesure de recenser. LObservatoire publie par ailleurs cetteanne et pour la premirefois des donnes partielles de fraude concernant les cartes de paiement sans contact. Enfin, en complment, une srie dindicateurs dtaills est prsente dans lannexe5 de ce rapport.

1 Cf. Third report on card fraud, fvrier 2014, rapport disponible enanglais sur le site de la BCE: https://www.ecb.europa.eu/pub/pub/paym/html/index.en.html


16

StatiStiqueS de fraude pour 2014

1| Vue densemble

En2014, le montant total de la fraude affectant les cartes de paiement franaises sur les transactions de paiement et de retrait ralises en France et ltranger slve 395,6millions deuros, enaugmentation de 5,0% par rapport 2013, pour un montant total de transactions qui atteint 575,9milliards deuros, en augmentation de 4,9% par rapport 2013.

Compte tenu de ces lments, le taux de fraude sur les cartes de paiement franaises reste stable 0,069% aprs troisannes conscutives daugmentation.

Le nombre de cartes franaises pour lesquelles au moins une transaction frauduleuse a t enregistre au cours de lanne2014 slve 905 600(+5,2% par rapport 2013).

En incluant galement les transactions ralises en France avec les cartes mises dans dautres pays, le montant total de la fraude slve 500,6millions deuros en2014, en augmentation de 6,5% par rapport 2013, pour un montant total des transactions qui atteint 624,9milliards deuros, en croissance galement de 6,5% par rapport 2013.

Compte tenu de ces lments, le taux de fraude global sur les transactions traites dans les systmes franais, comprenant les paiements et les retraits raliss en France et ltranger avec des cartes franaises et les paiements et les retraits raliss en France avec des cartes trangres, reste stable 0,080% pour la deuximeanne conscutive aprs cinqannes daugmentation.

Le montant moyen dune transaction frauduleuse est en diminution, pour stablir 112euros, contre 116euros en2013.

Graphique1

volution du montant des transactions des cartes franaises(en milliards deuros)

0

100

200

300

400

500

439,7 453,6 472,5504,1 528,7 549,2

575,9

600

2008 2009 2010 2011 2012 2013 2014


Graphique2

volution du montant de la fraude des cartes franaises(en millions deuros)

0

100

200

300

400

500

2008 2009 2010 2011 2012 2013 2014

249,2 265,6 269,4306,8 345,2

376,6 395,6


Graphique3

volution du taux de fraude des cartes franaises(en %)

0,050

0,055

0,060

0,065

0,070

2008 2009 2010 2011 2012 2013 2014

0,0570,059

0,057

0,061

0,065

0,069 0,069


Graphique4

volution du montant des transactions traites dans les systmes franais(en milliards deuros)

0

100

200

300

500

700

2008 2009 2010 2011 2012 2013 2014

299,0 318,3 345,1368,5 395,1

430,7 464,0 477,3498,2 533,7

561,5 586,5624,9

+ 6 %+ 8 %

+ 7 %+ 7 %+ 9 %

+ 8 %+ 3 %+ 4 %

+ 7 %+ 5 %

+ 4 %+ 7 %

2002 2003 2004 2005 2006 2007

400

600



17


2| Rpartition de la fraude par type de carte

Le taux de fraude pour les cartes de type interbancaire stablit 0,080% en2014, niveau stable depuis deuxannes, aprs cinqannes

conscutives daugmentation. Le taux de fraude pour les cartes de type privatif stablit 0,062% en2014(contre 0,065% en2013), en diminution pour la troisimeanne conscutive aprs quatreannes daugmentation.

Pour les cartes de type interbancaire, la valeur moyenne dune transaction frauduleuse est de 112euros, contre 122euros en2013. Pour les cartes de type privatif, elle slve 297euros, contre 352euros en2013.

3| Rpartition de la fraude par zone gographique

Le montant de la fraude sur les transactions domestiques est en diminution pour la premirefois depuis la cration de lObservatoire. Il slve 234,6millions deuros, pour un taux de fraude de 0,043%, contre 238,6millions deuros et un taux de fraude de 0,046% en2013.

linverse, le montant de la fraude sur les transactions internationales est en augmentation 266,0millions deuros(+15,0% par rapport 2013) pour devenir sensiblement suprieur celui de la fraude sur les transactions domestiques, alors que ces deux montants taient rests proches ces trois derniresannes. Le taux de fraude sur les transactions internationales, bien quen diminution notable en2014(0,316%, contre 0,350% en2013), demeure toujours plus de septfois suprieur au taux de fraude sur les transactions domestiques.

Ainsi les transactions internationales reprsentent 53,1% du montant total de la fraude alors quelles ne comptent que pour 13,5% de la valeur totale des transactions.

On continue observer, parmi ces transactions internationales, une meilleure matrise de la fraude sur les transactions ralises avec la zoneSEPA que sur celles ralises avec les pays situs hors de la zoneSEPA:

pourlescartesfranaises,letauxdefraudesurlestransactions effectues hors zoneSEPA(0,636%) est prs de deuxfois suprieur celui des transactions effectues au sein de la zoneSEPA(0,374%);

Tableau 1

Rpartition de la fraude par type de carte(taux en%, montants enmillions deuros)

2010 2011 2012 2013 2014

Cartes de type interbancaire

0,074 0,077 0,080 0,080 0,080

(351,5) (394,9) (434,4) (455,8) (486,4)

Cartes de type privatif

0,080 0,083 0,076 0,065 0,062

(17,4) (18,3) (16,3) (14,0) (14,2)

Total 0,074 0,077 0,080 0,080 0,080

(368,9) (413,2) (450,7) (469,9) (500,6)


Graphique5

volution du montant de la fraude sur les transactions traites dans les systmes franais(en millions deuros)

0

100

200

300

500

600

2008 2009 2010 2011 2012 2013 20142002 2003 2004 2005 2006 2007

400

245,2 273,7 241,6 235,9 252,6 268,5320,2 342,4

368,9413,2 450,7

469,9 500,6+12 %

+ 7 %+ 6 %+ 19 %

+ 7 %+ 8 %

+ 12 %

- 12 % - 2 %

+ 9 %+ 4 %+ 7 %


Graphique6

volution du taux de fraude sur les transactions traites dans les systmes franais (cartes franaises et trangres)(en %)

0,060

0,065

0,070

0,075

0,090

0,082

0,086

0,0700,064 0,064

0,062

0,0690,072

0,0740,077

0,080 0,080 0,080

2008 2009 2010 2011 2012 2013 20142002 2003 2004 2005 2006 2007

0,080

0,085



18


pourlescartesmisesdansdautrespaysquela France, le taux de fraude sur les transactions effectues en France avec des cartes mises hors de la zoneSEPA(0,336%) est deuxfois et demie suprieur celui des cartes mises au sein de la zoneSEPA(0,134%).

Ces rsultats rcompensent les efforts raliss depuis plusieursannes en Europe et, dans une moindre mesure et de faon plus tardive, dans le monde entier, pour migrer lensemble des cartes et des terminaux de paiement vers le standardEMV; ilssoulignent galement, en France, lamlioration de la dtection des tentatives de fraude par contrefaon de piste magntique provenant de pays situs hors zoneSEPA.

Dans ce contexte, les mesures incitativesannonces par Visa, MasterCard, American Express et Discover (Diners Club International) visant encourager ladoption du standardEMV sur le plan international mritent dtre soulignes. Eneffet, la mise en uvre par de nouveaux pays, dun transfert de responsabilit de lmetteur de la carte vers le commerant en cas de fraude pour les points de vente qui nauront pas migrs versEMV, devrait fortement inciter lafois les metteurs adopter rapidement ce standard pour toutes les nouvelles cartes mises et les commerants engager la migration de leurs terminaux. Il est ainsi prvu aux tats-Unis que prs de 500millions de cartes

soient renouveles au standardEMV au cours de lanne2015, soit environ la moiti du parc actuel.

4| Rpartition de la fraude par type de transaction

La typologie de transaction de paiement par carte adopte par lObservatoire distingue troistypes doprations:

lespaiementsdeproximitetsurautomate,(ralissau point de vente ou sur les automates de distribution de carburant, de billets de transport, de parking,etc.), y compris les paiements sans contact;

lespaiementsdistance(ralisssurinternet,par courrier ou par tlphone/fax);

etlesretraits.

Pour une meilleure lisibilit, les dveloppements qui suivent distinguent les donnes des transactions domestiques des donnes des transactions internationales.

En ce qui concerne les transactions domestiques (cf.tableau3), on observe que:

le taux de fraude sur les paiements de proximit et sur automate est en diminution 0,010%. Cespaiements reprsentent 66% du montant des transactions nationales pour seulement 16% du montant de la fraude;

Tableau 2

Rpartition de la fraude par zone gographique(taux en%, montants enmillions deuros)

2010 2011 2012 2013 2014

Transactions domestiques 0,036 0,044 0,045 0,046 0,043(163,8) (211,5) (226,4) (238,6) (234,6)

Transactions internationales 0,423 0,367 0,380 0,350 0,316(205,0) (201,7) (224,3) (231,3) (266,0)

dont carte franaise et accepteur hors SEPA 0,728 0,638 0,759 0,688 0,636(54,9) (51,0) (62,5) (70,2) (70,0)

dont carte franaise et accepteur SEPA 0,331 0,255 0,316 0,366 0,374(50,6) (44,3) (56,3) (67,9) (91,0)

dont carte trangre hors SEPA et accepteur franais

0,831 0,892 0,639 0,404 0,336(64,5) (81,3) (78,2) (64,1) (65,6)

dont carte trangre SEPA et accepteur franais

0,195 0,122 0,132 0,135 0,134(35,0) (25,1) (27,3) (29,1) (39,3)

Total 0,074 0,077 0,080 0,080 0,080(368,9) (413,2) (450,7) (469,9) (500,6)



19


letaux de fraude sur les retraits est en lgreaugmentation pour stablir 0,034%. Cette augmentation sexplique principalement par le nombre toujours lev de piratages de distributeurs automatiques de billets(plus de 1000 en2014) et de points de vente(560 en2014, soit troisfois plus de cas quen2013), qui sont devenus des cibles privilgies pour les rseaux de fraude organise, ainsi que par un nombre toujours important de vols de carte avec code confidentiel.

Face la confirmation de ces tendances observes depuis2011, lObservatoire ritre ses conseils de prudence aux porteurs et rappelle les bonnes pratiques suivre lors dune opration de paiement chez un commerant ou lors dun retrait(cf.annexe1).

letaux de fraude sur les paiements distanceest galement en diminution 0,248% pour la troisimeanne conscutive.

Cependant, ce taux demeure plus de vingtfois plus lev que le taux de fraude sur les paiements de proximit.

Ainsi, les paiements distance, qui ne reprsentent que 11,6 % de la valeur des transactions domestiques, comptent pour plus de 66,5% du montant de la fraude.

Le niveau de la fraude sur les paiements distance conduit lObservatoire renouveler ses recommandations visant au dploiement, par les e-commerants, notamment ceux dentre eux qui connaissent les montants de transactions frauduleuses les plus levs, de dispositifs tels que 3D-Secure permettant lauthentification renforce du porteur de la carte pour les paiements les plus risqus. Lentre en vigueur lt2015 des orientations de lAutorit bancaire europenne relatives aux paiements sur internet viendra dailleurs appuyer ces recommandations(cf.chapitre1 du prsent rapport).

Tableau 3

Rpartition du taux de fraude domestique par type de transaction(taux en%, montants enmillions deuros)

2010 2011 2012 2013 2014

Paiements 0,041 0,049 0,049 0,050 0,046(137,3) (177,8) (190,0) (199,9) (193,0)

dont paiements de proximit et sur automate

0,012 0,015 0,015 0,013 0,010(36,2) (48,1) (51,2) (45,8) (37,8)

dont paiements distance 0,262 0,321 0,299 0,269 0,248(101,1) (129,6) (138,8) (154,2) (155,9)

dont par courrier/tlphone 0,231 0,259 0,338 1,122 0,147(27,3) (25,4) (29,4) (29,2) (2,8a))

dont sur internet 0,276 0,341 0,290 0,229 0,251(73,9) (104,2) (109,4) (125,0) (153,0a))

Retraits 0,024 0,029 0,031 0,033 0,034

(26,5) (33,7) (36,4) (38,6) (41,4)

Total 0,036 0,044 0,045 0,046 0,043

(163,8) (211,5) (226,4) (238,6) (234,6)

a) La diminution trs importante par rapport 2013, du montant de la fraude sur les paiements distance effectus par courrier ou par tlphone, et linverse laugmentation de celle sur les paiements sur internet, sexpliquent pour grande partie par une modification de la mthodologie statistique utilise par le Groupement des Cartes Bancaires (CB). Cette modification, qui naffecte pas le montant total de la fraude ni le taux de fraude des paiements distance tous canaux confondus, impacte la rpartition de celleci entre le canal internet et le canal courrier/tlphone. Une tude conduite par le Groupement CB a dmontr quil tait prfrable daffecter dsormais au canal internet la fraude non qualifie par les enseignes de commerce distance, qui tait auparavant affecte par dfaut au canal courrier/tlphone. Sur le mme sujet, on rappellera laction similaire, conduite en 2013, qui avait galement permis damliorer la qualit des donnes dactivit (voir le rapportannuel 2013 de lObservatoire). LObservatoire encourage ce titre toutes les parties prenantes poursuivre les actions visant amliorer la qualit des donnes qui lui sont dclares.



20


Encadr 2

Fraude aux paiements par carte sans contact

LObservatoireacollect,pourlapremirefoiscetteanne,lesdonnespermettantdvaluerletauxdefraudesurlespaiementssanscontact.Ainsi,surlensembledelanne2014,72,2millionsdepaiementssanscontactonttenregistrspourunmontanttotalde780,9millionsdeuros,soitunmontantmoyende11eurosparopration.Lesdonnesdefraude,quantelles,sontcollectesdemanireexhaustivedepuisle1er avril2014. Surlesneufderniersmoisdelanne2014,9600paiementsfrauduleuxonttrecensspourunmontanttotalde108000euros.Letauxdefraudesurlestransactionssanscontactpeuttreestim0,015%surcettepriode,etstabliraitdoncunniveauintermdiaireentreletauxdefraudedespaiementsdeproximittousmodesconfondus(0,010%),etceluidesretraits(0,034%).

Lafraudeauxpaiementssanscontactapouroriginequasiexclusivelevoloulapertedelacarte;latechnologiesanscontactelle-mmenesembledoncpasavoirprsentdefailleexploitablepourlesfraudeurs(detypecoutepassivedesdonnesdecartelorsdunetransaction,ouactivationdistancedelacartedansdeslieuxpublics,parexemple),confirmantainsilanalysedesrisquesconduiteparlObservatoireetpubliedanssonrapportannuel2012.Enoutre,lamiseenplaceparlesmetteursdecartedeplafondssurlemontantmaximumdunetransactionunitaire(gnralementfix20ou25euros)etsurlecumuldestransactionsconscutivespouvanttreeffectuessanslasaisieducodeconfidentiel(gnralementfix100euros),permetdelimiterle prjudice subi en cas de perte ou de vol dune carte.

Onrappelleracetteoccasionqueleporteurestprotgparlaloiencasdefraude.IldisposeenFrancedetreizemois1pourcontesterlestransactionsnonautorisesauprsdesonprestatairedeservicesdepaiement,quidoitalorslerembourserdanslesplusbrefsdlais.Lesporteurssontparailleursinvitsfaireoppositionleplusrapidementpossibleauprsdeltablissementmetteurdelacartelorsquecelle-ciestperdueouvole.Danslecasdefraudesrsultantdunpaiementeffectuenmodesanscontactsuiteuneperteouunvoldesacarte,onnoteraqueleporteurnesupporteraaucuneperteliecetteoprationdepaiementnonautorise2.

Dansuncontextedefortdveloppementdutauxdquipementdesporteurs,avecplusde30millionsdecartesdisposantdelafonctionnalitdepaiementsanscontactencirculationfindcembre2014,lObservatoireappelle lesmetteurs toute lavigilancencessaire,et rappelle lesengagementsprisconcernant lapossibilit de dsactiver la fonction sans contact des cartes, soit en mettant des tuis de protection3ladispositiondesutilisateurs,soitenmettantenuvreladsactivationdistancedelafonctionsanscontact4, soitenpermettantleremplacement,lademandeduporteur,dunecartesanscontactparunecartedpourvuede cette fonctionnalit.

LaBanquedeFrancedanssonrledesurveillantdesmoyensdepaiementsscripturauxassureunsuividelamise en uvre de ces mesures.

1 Voir dtails enannexe 2.2 Voirannexe 1: une opration de paiement par carte en mode sans contact est en effet effectue sans lutilisation du dispositif

personnalis de scurit de la carte (absence de saisie de code), ce qui signifie que mme avant opposition suite la perte ou vol du moyen de paiement, le porteur ne peut pas supporter de pertes lies un paiement non autoris.

3 tuis de carte bloquant les ondes de communications de type NFC, permettant dviter toute activation non sollicite de la carte.4 La fonction sans contact est alors dsactive par lexcution dun scriptEMV sur la carte, qui est ralise au moment de

linsertion dans un distributeur automatique de billets ou un terminal de paiement lectronique.


21


Tableau 4a

Rpartition de la fraude internationale par type de transaction Cartes franaises(taux en%, montants enmillions deuros)

Carte franaise Accepteur tranger hors SEPA 2011 2012 2013 2014

Paiements 0,561 0,687 0,547 0,532

(30,5) (37,8) (40,3) (41,7)

dont paiements de proximit et sur automate 0,369 0,456 0,377 0,350

(16,0) (19,8) (17,7) (19,2)

dont paiements distance 1,320 1,551 0,848 0,960

(14,5) (18,0) (22,6) (22,5)

dont par courrier/tlphone 1,011 1,150 1,234 4,955

(3,1) (4,0) (6,4) (7,5)

dont sur internet 1,440 1,720 0,755 0,682

(11,4) (14,1) (16,2) (14,9)

Retraits 0,800 0,904 1,054 0,890

(20,5) (24,7) (29,9) (28,3)

Total 0,638 0,759 0,688 0,636

(51,0) (62,5) (70,2) (70,0)

Carte franaise Accepteur tranger SEPA

Paiements 0,300 0,372 0,434 0,434

(43,1) (55,3) (66,8) (89,8)

dont paiements de proximit et sur automate 0,140 0,131 0,089 0,067

(12,6) (11,7) (8,2) (7,8)

dont paiements distance 0,571 0,735 0,937 0,910

(30,5) (43,6) (58,6) (82,0)

dont par courrier/tlphone 0,643 0,532 1,566 1,317

(5,6) (6,5) (11,3) (13,9)

dont sur internet 0,557 0,788 0,856 0,856

(24,9) (37,1) (47,3) (68,1)

Retraits 0,040 0,036 0,036 0,033

(1,2) (1,1) (1,1) (1,2)

Total 0,255 0,316 0,366 0,374

(44,3) (56,3) (67,9) (91,0)


En ce qui concerne les transactions internationales (cf.tableaux4), on remarque que la fraude sur les paiements distance raliss par les cartes franaises auprs des e-commerants trangers a trs fortement augment en2014(104,5millions deuros, contre 81,2millions deuros en2013). Ce phnomne peut sexpliquer par ladoption progressive par les sites de commerce en ligne situs en France de dispositifs de scurisation des paiements sur internet, et par le report des fraudeurs vers des sites trangers moins scuriss.

On constate ainsi des taux de fraude sur les paiements distance particulirement levs lafois hors zoneSEPA(0,960%) et en zoneSEPA(0,910%). Le dploiement de dispositifs dauthentification

renforce, sous limpulsion notamment des recommandations du forum europen SecuRe Pay sur la scurit des moyens de paiement et des orientations de lAutorit bancaire europenne(cf.chapitre1) devrait toutefois permettre dinfirmer cette tendance en zoneSEPA.

Enfin, on note la poursuite de la diminution de la fraude sur les paiements de proximit et les retraits raliss par les cartes franaises dans la zoneSEPA, o lutilisation dEMV est dsormais gnralise. On notera en particulier que le taux de fraude sur les retraits effectus en zoneSEPA(0,033%) est prs de 25fois infrieur celui des retraits effectus hors zoneSEPA(0,890%), o la piste magntique est encore trs utilise dans certains pays.


22


Tableau 4b

Rpartition de la fraude internationale par type de transaction Cartes trangres(taux en%, montants enmillions deuros)

Carte trangre hors SEPA Accepteur franais 2011 2012 2013 2014

Paiements 1,056 0,735 0,451 0,380

(80,7) (77,7) (63,2) (65,0)

dont paiements de proximit et sur automate 0,353 0,230 0,162

() (30,3) (25,3) (21,9)

dont paiements distance 2,378 1,268 1,213

() (47,4) (37,9) (43,1)

dont par courrier/tlphone 0,737 0,930 1,018

() (8,8) (9,2) (7,7)

dont sur internet 4,833 1,436 1,265

() (38,6) (28,7) (35,4)

Retraits 0,042 0,033 0,051 0,026

(0,6) (0,6) (0,9) (0,6)

Total 0,892 0,639 0,404 0,336

(81,3) (78,2) (64,1) (65,6)

Carte trangre SEPA Accepteur franais

Paiements 0,155 0,158 0,158 0,156

(24,3) (26,6) (28,2) (38,5)

dont paiements de proximit et sur automate 0,046 0,039 0,026

() (5,7) (4,9) (5,1)

dont paiements distance 0,466 0,458 0,476

() (20,9) (23,2) (33,1)

dont par courrier/tlphone 0,216 0,308 0,397

() (3,8) (3,8) (4,8)

dont sur internet 0,626 0,506 0,492

() (17,1) (19,4) (28,6)

Retraits 0,017 0,017 0,025 0,018

(0,8) (0,7) (0,9) (0,9)

Total 0,122 0,132 0,135 0,134

(25,1) (27,3) (29,1) (39,3)


5| Rpartition de la fraude selon son origine

La typologie dfinie par lObservatoire distingue les origines de fraude suivantes:

carteperdueouvole:lefraudeurutiliseunecartede paiement obtenue suite une perte ou un vol;

cartenonparvenue:lacarteatinterceptelorsde son envoi entre lmetteur et le titulaire lgitime;

cartefalsifieoucontrefaite:unecartedepaiementauthentique est falsifie par modification des donnes magntiques, dembossage ou de programmation; une carte entirement fausse est ralise partir de donnes recueillies par le fraudeur;

numrodecarteusurp:lenumrodecartedun porteur est relev son insu ou cr par moulinage(laide de gnrateurs alatoires de numros de carte) et utilis ensuite en vente distance.


23


Encadr 3

Fraude domestique en vente distance selon le secteur dactivit

LObservatoire a collect des donnes permettant de fournir des indications sur la rpartition1 de la fraude par secteurdactivitpourlespaiementsdistance.Ceschiffresneportentquesurlestransactionsdomestiques.

LessecteursServicesauxparticuliersetauxprofessionnels,Voyage/transport,Commercegnralisteetsemi-gnralisteetTlphonieetcommunicationreprsentent76%dumontantdelafraudeenventedistance,apparaissantainsicommelesplusexposs.Lacomparaisondestauxmoyensdechacundessecteursdactivitcompltecetteinformationetpermetdeconstaterquecertainssecteurs,telslesProduitstechniquesetculturels,quicomptentpouruneplusfaiblepartdutotaldelafraude,subissenttoutefoisuneexpositionleve.Onnotequelestauxdefraudeparsecteursontpresquetousprochesvoireinfrieursautauxdefraudemoyen,lexceptionnotabledusecteurTlphonieetcommunicationquiconnatdemaniredurableuntauxdefraudetrssuprieurlamoyenne.LObservatoireappelletoutparticulirementlesacteursdecesecteurrenforcerlesmesuresvisantluttercontrelafraude.

1 Cf.annexe 6 pour une description des secteurs retenus.

TableauVentilation de la fraude domestique sur les paiements distance par secteur dactivit(montants en millions d'euros, part en %)

Secteur Montant de fraude Part du secteur dans la fraude

Services aux particuliers et aux professionnels 31,8 20,4Voyage, transport 30,8 19,7Commerce gnraliste et semi-gnraliste 29,5 18,9Tlphonie et communication 26,7 17,1quipement de la maison, ameublement, bricolage 12,7 8,2Produits techniques et culturels 8,0 5,1Divers 6,0 3,8Jeu en ligne 3,2 2,0Alimentation 2,6 1,7Approvisionnement dun compte, vente de particulier particulier 2,5 1,6Sant, Beaut, Hygine 1,8 1,1Assurance 0,4 0,3Total 155,9 100,0

GraphiqueTaux de fraude domestique sur les paiements distance par secteur dactivit(en %)

Voyag

e, tra

nsport

Servi

ces au

x part

iculier

s

et au

x prof

ession

nels

Comm

erce g

nra

liste

et sem

i-gn

ralist

e

Tlp

honie

et co

mmun

icatio

n

Produ

its tec

hniqu

es et

cultur

els

quip

emen

t de la

mais

on,

ameu

bleme

nt, br

icolag

e

Appro

vision

neme

nt du

n com

pte,

vente

de pa

rticulie

r pa

rticulie

r

Jeu en

ligne

Alime

ntatio

n

Sant

, beau

t, hy

gine

Divers

Assur

ance

Taux de fraude 2013 Taux de fraude 2014 Taux moyen 2014 : 0,248 %Taux moyen 2013 : 0,269 %

0,000

0,100

0,200

0,300

0,400

0,500

0,600

0,800

0,700


24


Le graphique7 indique les volutions constates dans ce domaine au niveau national pour lensemble des cartes de paiement(la rpartition porte uniquement sur les paiements et ninclut donc pas les retraits).

Lusurpation de numros de cartes pour raliser des paiements frauduleux distance reste la principale origine de la fraude(66,4% des montants), enaugmentation par rapport 2013(64,6%).

La fraude lie aux pertes et vols de cartes reprsente toujours prs du tiers de la fraude sur les transactions

domestiques(32,5%), mais sa part est en diminution continue(34,2% en2013) depuis troisannes.

La contrefaon de cartes nest lorigine que de 0,1% des paiements domestiques frauduleux, en diminution sensible depuis plusieursannes(elle slevait 2,6% en2011). Cette diminution sexplique principalement par ladoption de technologies de cartes puce par un nombre croissant de systmes de cartes privatives et par le renforcement de la scurit des cartes puceEMV existantes2.

Graphique7

rpartition de la fraude selon son origine (transactions domestiques en valeur)(en %)

Cartes perdues ou volesCartes non parvenuesCartes altres ou contrefaitesNumro de carte usurpAutres

0

20

40

60

80

100

2008 2009 2010 2011 2012

43 3834 36 35 34 32

11

55 60

3

000

5160

61 65 66

1 1

2013 2014

2

12

33

12

2 1

12

1

0


2 Migration de la technologie dauthentification des cartes du Static Data Authentication (SDA) vers le Dynamic Data Authentication (DDA).

Tableau 5

Rpartition de la fraude domestique selon son origine et par type de carte en2014(montants enmillions deuros, part en%)

Tous types de cartes

Cartes de type interbancaire

Cartes de type privatif

Montant Part Montant Part Montant Part

Carte perdue ou vole 76,3 32,5 75,6 32,8 0,7 17,3

Carte non parvenue 0,9 0,4 0,5 0,2 0,4 9,6

Carte altre ou contrefaite 0,2 0,1 0,1 0,1 0,1 1,5

Numro usurp 155,9 66,4 154,3 66,9 1,6 40,0

Autres 1,4 0,6 0,1 0,1 1,3 31,6

Total 234,6 100,0 230,6 100,0 4,0 100,0



25


Encadr 4

Indicateurs des services de police et de gendarmerie

Pourlanne2014,lesservicesdepoliceetdegendarmerieenregistrentnouveauunebaisseimportantedesinterpellationspourfraudelacartebancaire,faisanttatde45personnesinterpelles,contre103en2013et122en2012,etprsde200casparanentre2011et2009.Cettediminutionestrapprocherdelarponsepnaledunesvritcroissanteapportecesinfractions,avecdsfin2011unechutetrsnetteenFrancedelactivitlieauxofficinesdecontrefaondecartesbancairestrangres.

Lenombredepiratagesdedistributeursautomatiquesdebillets(DAB)restestableavec1048casen2014(environ1000casparandepuis2012,autourde500casparanentre2011et2006,200en2005etseulement80casen2004).ceux-cisajoutent560piratagesciblantlespointsdevente(contre188en2013),dont525piratagesdedistributeursautomatiquesdecarburant(DAC)et35determinauxdepaiementchezlescommerants.Ceschiffres,quidemeurentlevspourlesDABetquisontentrsnetteaugmentationpourlesDAC,confirmentdanslesfaitslintrtconstantqueportentlesrseauxcriminelslacollectedesdonnesdecarte.Cesdonnessontensuiteexploitessoitpourcontrefairedescartespistemagntiquequiserontutilisespourdespaiementsetdesretraitsltranger,principalementdanslespaysolatechnologiedecartepuceEMVestpeudploye;soitpourusurperdesnumrosdecarteenpaiementdistance,principalementsurlessitesdee-commercequinontpasencoremisenuvrelauthentificationrenforcedu porteur de la carte.

GraphiqueNombre dinfractions constates sur les distributeurs et terminaux

0

200

400

600

800

1 000

1 200

2011 2012 2013 2014

Distributeurs automatiques de billets

Distributeurs automatiques de carburant

Terminaux de paiement lectroniques


27

Chapitre 3

27


Utilisation des techniques biomtriques lors des oprations avec des cartes de paiement

1| Rappel du contexte

La scurisation des oprations de paiement par carte repose notamment sur celle du canal dinitiation de lordre de paiement au moyen de lauthentification du payeur et du bnficiaire. Si lauthentification du bnficiaire prsente des dispositifs prouvs et prennes (terminaux installs chez le commerant, certificats numriques pour les paiements par internet, etc.), lauthentification du payeur pour les oprations de paiement par carte, principalement distance mais aussi en proximit, demeure un enjeu fort. Dans ce contexte, le forum europen sur la scurit des paiements de dtail (forum SecuRePay) a publi en janvier2013 un ensemble de recommandations et bonnes pratiques sur la scurit des paiements par internet. Ces recommandations sont en cohrence avec les positions exprimes au sein de lObservatoire, en particulier sur la mise en uvre de lauthentification renforce du porteur dans le contexte des paiements les plus risqus sur internet et, plus gnralement, pour toutes les oprations sensibles (par exemple, lors de lenregistrement dune carte dans un portefeuillelectronique).

Les recommandations du forum SecuRePay dfinissent lauthentification renforce1 par un ensemble de procdures fondes sur lutilisation dau moins deux des trois lments caractrisant la possession, la connaissance ou lidentit propre dune personne:

lmentpossdparlapersonne(token ou jetondauthentification, carte puce, tlphone portable, etc.);

lmentconnuparlapersonneetelleseule(motdepasse, identifiant, etc.);

lmentconstitutifdelidentitdelapersonne(empreintebiomtrique,etc.).

Les lments retenus doivent tre indpendants dans le sens o la compromission de lun ne doit pas entraner la compromission de lautre. En outre, lun de ces facteurs au moins doit tre non rejouable et non reproductible (exceptpourlabiomtrie).

Certaines des techniques biomtriques, djutilises quotidiennement par une part croissante du grand public, pourraient venir renforcer la scurisation doprations de paiement, quelles soient distance ou de proximit, ou de retrait. La prsente tude vise dresser un tat des lieux de lutilisation des techniques biomtriques lors des oprations de paiement ou de retrait par carte.

2| Dfinition de la biomtrie et application la carte de paiement

2|1 Dfinition

La Commission nationale de linformatique et des liberts (CNIL), qui a pour mission principale de protger les donnes personnelles dont les donnes biomtriques font partie, dfinit la biomtrie comme lensemble des techniquesinformatiquespermettantdereconnatreautomatiquementunindividupartirdesescaractristiquesphysiques,biologiques,voirecomportementales.Lesdonnesbiomtriquessont des donnes caractre personnel car elles permettent didentifier une personne. Elles ont, pourlaplupart,laparticularitdtreuniquesetpermanentes(ADN,empreintesdigitales...).Ellesserapprochentainsidecequipourraittredfinicommeunidentificateuruniqueuniversel,permettantdefaitletraagedesindividus2.

1 Strong customer authentication.2 Cf. http://www.cnil.fr/documentation/fichespratiques/fiche/article/labiometriesurleslieuxdetravail/


28

Utilisation des techniqUes biomtriqUes lors des oprations avec des cartes de paiement

Encadr

Point de vue de la CNIL sur lauthentification biomtrique

Lutilisationdelabiomtrieentantquefacteurdauthentificationpouraccderdesmoyensdepaiement,oueffectuerdesoprationsdistance,najusquprsenttautoriseparlaCNILquedanslecadredexprimentations.Lobjectifdesautorisationstemporairesaccordescetitreestdemesurerlintrtportlasolutionparlesclients,ainsiquelafiabilitdelatechnologiebiomtriqueutiliselorsquelleestcoupleunmoyendepaiementsurinternet.

Lexprimentationpermetainsididentifier lesproblmesrencontrsafindedfinirdenouvellespistesdamlioration.Lesexprimentationsontunedurelimiteautempsncessairelobtentiondersultatsconcluants,etlaCNILexigequunbilandtaillluisoitremisleurissue.Enoutre,ellesnesontpossiblesquesurlabaseduvolontariat,lesystmebiomtriquenepouvantentouttatdecausetreimposauxutilisateurs.

Surlabasedesbilansremisparlesorganismesetentenantcomptedupaysagelgislatifenvolutiontantauniveaunational(propositiondeloivisantlimiterlusagedestechniquesbiomtriquesencoursdexamen)quauniveaueuropen(propositionderglementeuropenrelatiflaprotectiondesdonnes),laCNILsattachedgagerdesprincipesdirecteursapplicablesauxdispositifsbiomtriques.

Bienquelabiomtriegrandpublic(horsducadreprofessionnel)naitpasencorefaitlobjetdecadrederfrence,certainesconstantespeuventtresoulignes.LepositionnementdelaCNILmarquesavolontdenepasvoirimposerlabiomtriedanstouslesusagesduquotidienetdegarantirauxpersonnesconcerneslamatrisedeleursdonnesbiomtriques.

Ainsi,lerecourslabiomtrienesauraittreleseulmoyendaccderunservicemaisdoitpouvoirtreutilisdemanirealternativeunautremoyen.Lutilisateurduservicedoitdonctreenmesuredechoisirunetechniquequivalenteentermesdefacilitdusage,prsentantlesmmesconditionsdaccsqueledispositifbiomtrique(lechoixduneautretechnologienedoitpasavoirpoureffet,parexemple,dajouterdescontraintes telles quun dlai, un cot, etc.).

Deplus,lamatriseparlespersonnesdeleursdonnesbiomtriquesestindniablementrduitelorsquelegabarit1biomtriqueeststockdansdesserveursdistantsetnonsurunsupportplacsouslecontrleexclusifdelapersonneconcerne.Lacompromissiondusupportindividuelemportedesconsquencesbienmoinsimportantesquecelledunebasecentralisantplusieursgabarits.Surlabasedecespremiersconstats,laCNILmarqueuneprfrencepourlestockagedelabiomtriesursupportindividuel,placsouslecontrleexclusifdelapersonneconcerne.

Parailleurs,laCNILexigeuneinformationrenforcedespersonnesnotammentsurledispositifbiomtrique,soncaractrefacultatif(lexistencedundispositifalternatif),lesmodalitsdestockagedeladonne;lespersonnesdoiventavoirlapossibilitderevenirtoutmomentsurleurchoixetdobtenirlasuppressiondeleurgabaritbiomtriquelecaschant.

Enfin,denombreuxacteurssontsusceptiblesdintervenirsurlachanedetraitementlielauthentificationbiomtrique(parexemple,quecesoitenfournissant/grantlesupportdestockagedesgabaritsouenproposantlutilisationdufacteurdauthentificationbiomtrique).Uneattentionaccrueestdoncncessairepourclarifierlarpartitiondesresponsabilitsetprendreencomptelesrglesdeprotectiondesdonnesdslaconceptiondes services concerns.

1 Ensemble des donnes biomtriques servant de rfrence lors d'une authentification.


29


En France, les dispositifs de reconnaissance biomtrique sont soumis lautorisation pralable de la CNIL. Concrtement, la mise en place et lexploitation dun tel systme ncessitent le dpt dune demande dautorisation ou dune dclaration de conformit (suivant la finalit du traitement et le type dempreinte biomtrique) la CNIL. Cette dernire option nest aujourdhui toutefois pas ouverte la biomtrie applique aux moyens de paiement, les cadres de rfrence proposs par la CNIL ne couvrant pas cette finalit.

La CNIL distingue plus particulirement troistypes de dispositifs par rapport la caractristique physique ou biologique utilise:

lesdispositifsbiomtriquestraces:lesempreintes digitales et palmaires. On les appelle traces car les personnes les laissent leur insu sur tous les objets quelles touchent. Le risque de ces techniques rside dans le fait que ces traces peuvent ventuellement tre captures et reproduites linsu des personnes (fabrication dun faux doigt);

lesdispositifsbiomtriquessanstraces:lecontourde la main, le rseau veineux des doigts de la main;

lesdispositifsbiomtriquesditsintermdiaires:la voix, liris de lil, la forme du visage.

Mme si ce dcoupage reste dactualit, les moyens les plus rcents de capture et la prolifration dinformations personnelles volontaires ou non sur internet (photos en haute rsolution, enregistrements vido, etc.) permettent de reconstituer lempreinte biomtrique de ces diffrents types de dispositifs et tendent par consquent en effacer les frontires; tous les dispositifs tendent ainsi devenir progressivement traces.

Dans la dfinition dun dispositif biomtrique, il est ncessaire de distinguer deuxmodes dutilisation:

enidentification,lempreintebiomtriqueestcompare lensemble des empreintes de rfrence pour dterminer lidentit du porteur;

enauthentification,lidentitduporteurlgitimeest djconnue et lempreinte biomtrique est compare uniquement son empreinte de rfrence pour sassurer de son identit.

Dans le domaine des oprations par cartes de paiement, cest la fourniture de la carte de paiement ou des donnes de la carte de paiement qui permetdidentifier le porteur; le dispositif biomtrique contribue ensuite lauthentification de ce dernier.

2|2 Application la carte de paiement

Un nombre croissant de constructeurs de smartphones et dordinateurs portables ont intgr des dispositifs de reconnaissance biomtrique, reposant principalement sur la lecture de lempreinte digitale (voir le Rapport annuel2013 de lObservatoire). La commercialisation grande chelle de ces nouveaux modles concourt la familiarisation des techniques biomtriques auprs du public et prsente une opportunit de dploiement et dutilisation des technologies biomtriques dans le domaine des paiements.

2|2|1 Quels cas dusage de la biomtrie pour les paiements par carte?

Dans le cadre des paiements distance, lauthentification renforce du porteur par code usage unique nest aujourdhui acquise que pour un peu plus de 30% des paiements par carte. Dans le cas de nouveaux modes dinitiation tels les paiements mobiles ou les portefeuilles lectroniques, lauthentification du porteur repose couramment sur lusage dun mot de passe. Bien que plus complexe quun code confidentiel et pouvant tre rgulirement renouvel, il demeure nanmoins toujours rejouable et est gnralement saisi sur des claviers standards dordinateur ou de tlphone qui ne prsentent pas le mme niveau de protection que les claviers agrs des automates ou des terminaux de paiement. Lestechniques biomtriques pourraient fournir une solution complmentaire permettant de renforcer lauthentification du porteur.

Dans le cadre des paiements de proximit, lutilisation dune carte puce et du code confidentiel offre un niveau de scurit lev. Le taux de fraude mesur par lObservatoire sur ce type de transaction ces dernires annes est de lordre de 0,015%, soit environ vingt fois moins que celui mesur en vente distance.


30


Cependant, le code confidentiel reste rejouable: un fraudeur qui en prendrait connaissance lors dune opration de retrait ou de paiement, via la compromission de lautomate bancaire, du terminal ou de lautomate de paiement ou, plus simplement, visuellement, pourrait le rutiliser loccasion dune fraude future en cas de vol ou de contrefaon de la carte. Les claviers des automates bancaires, des terminaux et automates de paiement sont soumis des rgles dagrment visant limiter les risques de compromission. Linterception visuelle, par le fraudeur lui-mme ou laide dune camra miniaturise, lors de la frappe du code confidentiel, demeure plus difficile matriser et repose principalement sur la vigilance du porteur.

Les techniques biomtriques pourraient fournir une solution complmentaire rduisant le risque en cas de compromission du code confidentiel, ou une solution alternative dans certains cas dusage en rduisant lutilisation du code confidentiel et son risque de compromission.

2|2|2 Les limitations du recours la biomtrie

La biomtrie revt un aspect pratique certain lorsquelle permet de simplifier la procdure dinitiation dun paiement, den raccourcir la dure, voire de pouvoir rpondre la demande des personnes qui rencontrent des difficults mmoriser un code confidentiel. Cependant, lemploi de la biomtrie soulve plusieurs problmatiques spcifiques:

lecaractredfinitifdelacompromissionduneempreinte: la compromission dune empreinte biomtrique (par exemple, une empreinte digitale) ne peut gnralement plus donner lieu la gnration dune nouvelle empreinte pour le mme lment physique, contrairement ce qui peut tre fait avec un support physique (carte puce, token, etc.) ou un code confidentiel que lon peut facilement renouveler. Il demeure toutefois possible de changer par exemple de doigt, de main ou dil mais avec un nombre doccurrences qui reste au final toujours limit;

leslimitesluniversalitdudispositifbiomtrique:certaines personnes peuvent se trouver dans lincapacit dutiliser leurs empreintes biomtriques de manire temporaire (usure, salissure, blessure, etc.) voire permanente (caractristiques physiques incompatibles avec le dispositif biomtrique, handicap, etc.);

ladifficultdfinirlerglageduniveaudetolrance du dispositif biomtrique qui influencera le taux derreur: deux taux sont principalement mesurs en biomtrie, ceux de faux rejets (False Rejection Rate, FRR) et de fausses acceptations (FalseAcceptationRate, FAR) parce quils traduisent respectivement le niveau dexigence et celui de permissivit du dispositif envers lempreinte biomtrique prise et compare lempreinte de rfrence. Ainsi des coupures, brlures aux doigts, voire la simple transpiration, peuvent conduire un rejet, de la mme manire que du bruit ambiant peut altrer une analyse vocale. Ces taux peuvent varier de manire plus ou moins importante selon la caractristique physique analyse, la qualit du lecteur biomtrique et lalgorithme utilis. La difficult vient du fait que si un rglage du niveau de tolrance est possible, ces taux voluent gnralement de manire oppose. Il nexiste aucune donne publique concernant les taux de faux rejets et ceux de fausses acceptations pour les dispositifs actuellement disponibles, ce qui rend difficile la comparaison avec lusage du code confidentiel. Ce dernier prsente un taux de faux rejets proche de zro (le bon code nest jamais rejet et les claviers des terminaux de paiement et des distributeurs sont conus pour limiter le risque derreur de frappe) et un taux de fausses acceptations de 3 sur 100003.

Enfin, outre les problmatiques techniques voques ci-dessus, la rticence potentielle du public recourir aux dispositifs biomtriques pour des raisons dthique ou labsence de confiance dans le dispositif global peuvent constituer dautres freins au dveloppement de la biomtrie. Concernant le premier frein, le recours un dispositif biomtrique est encadr par la CNIL qui contrle le bien-fond de la solution propose. Pour le second frein, la perception de la robustesse des dispositifs biomtriques aux yeux du

3 Pour un code PIN 4 chiffres et 3 tentatives autorises avant le blocage de la carte.


31


grand public pourrait tre affecte par lactualit, par exemple en cas de dcouverte de nouvelles techniques dattaque ne remettant pas en cause la fiabilit des dispositifs mais faisant lobjet dune large mdiatisation (dmonstration en conditions de laboratoire, etc.). Or le succs dun moyen de paiement rside autant dans la perception de sa scurit que dans sa scurit relle.

2|2|3 Les standards existants

Les expriences en cours sappuient sur des dispositifs prioritaires ou sur des normes djtablies qui ont gnralement pour origine le domaine du contrle daccs. LISO (InternationalOrganizationforStandardization) fait notamment rfrence la biomtrie dans plusieurs de ses publications4 sur les aspects suivants:

descriptiondtailledupointcaractristiquedudoigt, direction et type;

conditionsdeprisedevuespourdonnesd'imagede la face;

interfacedeprogrammationd'applicationsbiomtriques;

cadredeformatsd'changebiomtriquescommuns;

mthodologied'essaideconformitetprcisionsconcernant les dfauts;

essaisetrapportsdeperformancebiomtriques;

essaisdesmisesenuvrebiomtriquesmultimodales.

Cependant, ces normes visent principalement assurer linteroprabilit entre les diffrents composants constituant les dispositifs biomtriques (capteurs, algorithmes).

Les premires valuations scuritaires, conduites partir de2008, se sont appuyes sur les Critres Communs pour qualifier des dispositifs ou lecteurs biomtriques ; toutefois, seuls troisproduits ont reu ce jour une certification5, laquelle ne savre de surcrot pas suffisante pour les paiements par carte 6. Plusieurs acteurs du domaine de la biomtrie se sont regroups en association (BiometricsAllianceInitiative, BAI) pour dfinir un processus de tests, de certification et dhabilitation permettant de garantir un niveau de scurit en adquation avec les besoins et normes internationales, notamment bancaires, ainsi que les procdures de test qui en dcoulent. Le projet BEAT (BiometricsEvaluationAndTesting), soutenu par la Commission europenne, a notamment pour but de mettre en place le cadre dun standard oprationnel dvaluation pour les technologies biomtriques.

EMV Co, qui regroupe les principaux systmes de paiement par carte (Visa, MasterCard, American Express, Discover, JCB et Union Pay) tudie lutilisation des techniques biomtriques en tant qualternative la saisie du code confidentiel7 dans le cadre des travaux mens par le Card and TerminalWorkingGroup.

En France, le Groupement des Cartes Bancaires aprvu dintgrer la biomtrie dans son rfrentiel sur lauthentification (disponible courant2015) et de dfinir des cas dusage possible en fonction du niveau de rsistance intrinsque aux attaques mesur lors dvaluations scuritaires.

Enfin, plusieurs parties prenantes du domaine des paiements ont fond en2013 une association, NaturalSecurityAlliance, pour promouvoir lutilisation de la biomtrie et dvelopper des standards dans ledomaine.

4 Notamment dans les normes suivantes: ISO/IEC19784,19785,19794 et19795.5 Cf. http://www.ssi.gouv.fr/administration/glossaire/c/6 Le profil de protection mis en uvre relve du niveau de scurit EAL 2 (avec rsistance basique aux attaques) alors que le niveau EAL 4+ (avec

rsistance leve aux attaques) est requis pour les systmes de paiement par carte.7 noter que Visa, MasterCard et Discover sont aussi membres de lAlliance FIDO (Fast IDentity Online), un consortium industriel lanc en

fvrier2013 qui dveloppe des spcifications afin de simplifier et de renforcer lauthentification lors des transactions en ligne et ainsi dvelopper une alternative viable aux mots de passe.


32


3| tat des lieux des dispositifs biomtriques utiliss pour des oprations de paiement par carte

3|1 tapes prliminaires la mise en uvre d'un dispositif biomtrique

Lutilisation dun dispositif biomtrique pour accder un service ncessite de suivre plusieurs tapes qui sont communes tous les types dempreintebiomtrique.

3|1|1 Lenrlement des utilisateurs

Chaque utilisateur doit suivre une procdure permettant de capturer une empreinte de rfrence qui servira par la suite le reconnatre. Par exemple, dans le cas dun dispositif fond sur la reconnaissance de lempreinte digitale, cette tape consistera en une premire prise dempreinte qui pourra tre multiple8 pour en assurer une meilleure qualit.

Cette tape peut tre ralise dans un environnement scuris et contrl comme dans une agence bancaire ou dans un environnement banalis, ou sur un

8 Plusieurs doigts et plusieurs prises dempreinte pour chaque doigt.

Encadr

Exemples de fonctionnement dun dispositif de reconnaissance d'empreinte digitale appliqu au paiement par carte

Enrlement des utilisateurs et enregistrement des empreintes de rfrence

Cas n1 Enregistrement sur un support local dtenu

par lusager (exemple : smartphone)

Cas n2 Enregistrement sur un serveur distant

depuis une agence commerciale

1) Mise en relation Installation dune application ddie ou connexion au service web ddi

Entre dans une agence

2) Identification de lutilisateur Saisie des informations relatives au service par le porteur (informations

utilisateur, informations carte)

Communication des informations utilisateur/fourniture de pices

justificatives (contrat, carte didentit)

3) Prise de lempreinte de rfrence

4) Enregistrement de lempreinte de rfrence

Enregistrement local

Enregistrement sur serveur distant


33


Authentification de lutilisateur au moment dun paiement de proximit (exemple, cas sans saisie du code confidentiel)1) Initiation du paiement sur le terminal de paiement lectronique

2) Identification de la carte par insertion physique ou connexion sans fil

ou

3) Lecture de lempreinte sur le lecteur de lobjet ou sur le terminal de paiement

4) Connexion avec le systme de stockage pour comparaison de lempreinte avec lempreinte de rfrence par lobjet

ou

4) Accord pour validation de la transaction

quipement personnel tel que le smartphone de lutilisateur lui-mme.

3|1|2 Le stockage des empreintes de rfrence des utilisateurs

Les empreintes de rfrence sont stockes pour permettre au dispositif de comparer lempreinte prise avec la ou les empreinte(s) de rfrence.

Ce stockage peut tre centralis sur un site qui contiendra les empreintes de rfrence de tous les utilisateurs du service, ou bien assur localement sur un support propre chaque utilisateur comme la puce dune carte de paiement, dun tlphone portable ou sur un token scuris. Le stockage local

scuris des donnes de lempreinte biomtrique est gnralement privilgi car il limite le risque dune compromission massive dempreintes en cas dintrusion dans le dispositif de stockage centralis. Cependant, certains types de biomtrie, comme la biomtrie vocale par exemple, peuvent exiger une puissance de calcul importante que les matriels portatifs actuels (par exemple, smartphones) ne sont pas encore en mesure de fournir; un traitement centralis savre alors ncessaire.

3|1|3 Laccs au service conditionn par le dispositif biomtrique

Laccs au service suppose une premire tape didentification, qui est similaire celle dun dispositif


34


de paiement traditionnel: introduction de la carte dans un terminal, approche dune borne NFC, saisie dun identifiant ou du numro de la carte La lecture de lempreinte biomtrique vient ensuite, selonlescas,sesubstituerl'authentifianthabituel(saisie du code confidentiel ou dun mot de passe, recours une authentification 3D-Secure...) ou le complter. Enfin, lempreinte du porteur est compare lempreinte de rfrence, ce qui suppose laccs par le dispositif de paiement au support de stockage, par connexion locale ou internet selon la nature de ce dernier.

3|2 Apport possible de l'authentification biomtrique par rapport aux dispositifs existants

Le dispositif biomtrique peut tre mis en place pour renforcer un dispositif dauthentification existant soit en tant que dispositif complmentaire, cest--dire en ajoutant un contrle supplmentaire dans le processus dauthentification du porteur (par exemple, en ajoutant la reconnaissance dune empreinte digitale la saisie dun mot de passe ou dun code confidentiel), soit en tant que dispositif alternatif, cest--dire en se substituant un dispositif dauthentification existant (par exemple, saisie dune empreinte biomtrique la place dun code confidentiel).

En utilisation complmentaire, lajout dun facteur dauthentification biomtrique vise renforcer le niveau de scurit global dun dispositif existant en rendant plus difficile linitiation de paiements frauduleux. Par exemple, la biomtrie peut contribuer renforcer la scurit dun paiement sans contact de faible montant, pour lequel la saisie du code confidentiel de la carte nest pas requise, sans avoir dimpact significatif sur la rapidit du processus dinitiation du paiement. Dans ce mode dutilisation, le niveau de scurit offert ne peut tre que suprieur celui du dispositif initial; toutefois, le risque de compromission des empreintes, inhrent tout dispositif biomtrique, est un risque supplmentaire prendre en considration. Lauthentification biomtrique pourra aussi tre utilise en tant que facteur complmentaire la frappe du code confidentiel pour scuriser les paiements, par exemple de montants levs, que lanalyse des risques aura qualifis comme plus risqus.

En utilisation alternative, la substitution dun facteur dauthentification existant par une reconnaissance biomtrique peut galement renforcer la scurit des paiements par carte lorsquelle permet de rduire les risques de compromission du dispositif remplac. Par exemple, lutilisation de lauthentification biomtrique en remplacement de la saisie du code confidentiel de la carte peut dans certains cas dusage rduire les risques de compromission du code confidentiel (exemple des distributeurs automatiques de carburant). Dans ce mode dutilisation alternative, le niveau de scurit de la solution reposera principalement sur celui du dispositif biomtrique, et ne tirera pas bnfice de la protection offerte par les dispositifs remplacs (code confidentiel, 3D-Secure...).

3|3 Application au paiement distance

Les exprimentations de dispositifs biomtriques en paiement distance les plus dveloppes reposent sur la reconnaissance de la voix ou des empreintes digitales. Ces exprimentations sappuient sur les tlphones des utilisateurs pour ajouter une phase dauthentification du porteur et ainsi amliorer la scurit des oprations distance.

Ainsi, TalkToPay notamment en France et VoicePay au Royaume-Uni, font reposer le service dauthentification renforce sur la possession du tlphone fixe ou mobile enrl dans le systme et sur la reconnaissance vocale du client. Lors du paiement distance, lutilisateur reoit un appel vocal qui lui permet de sauthentifier. Ce type de solution, qui repose uniquement sur la tlphonie vocale, prsente lavantage de fonctionner avec tout type de tlphone fixe ou mobile.

Les solutions sappuyant sur la reconnaissance des empreintes digitales visent tirer bnfice du lecteur dempreinte que plusieurs constructeurs de smartphones intgrent dsormais dans leurs modles, dans le but premier de scuriser laccs au mobile, mais galement de permettre une utilisation par des services additionnels. On pourra citer par exemple lapplication PayPal disponible sur les modles Galaxy S5 de Samsung qui permet de payer avec son compte de monnaie lectronique en sauthentifiant laide de son empreinte digitale, ou la solution


35


Apple Pay disponible aux tats-Unis sur les derniers modles iPhone dApple et qui

oscp rapport annuel 2014

Documents