Avec l’augmentation des transactions par Internet et la robotisation des caisses, les paiements à distance se démultiplient.
En même temps, les risques augmentent exponentiellement car ils n’ont souvent pas été appréciés comme il le fallait avec cet exemple quasi parfait qu’est le paiement sans contact qui se révèle ultra dangereux (cf Les dangers de la carte de paiement sans contact NFC) .
Avec un paiement par Internet ou dans de nombreux autres cas, notamment pour les paiements par smartphones, on fournit le numéro de carte bancaire, le cryptogramme visuel et la date d’expiration de la carte à tout un tas de personnes que l’on ne connait pas.
Le risque de se faire voler de l’argent existe bel et bien !
Comment voler de l’argent via les paiements à distance, sur Internet et ailleurs ?
Usurpation du numéro de carte bancaire
Un paiement sur internet se fait normalement par une page sécurisée qui affiche « https » dans l’adresse de la page, ou alors un cadenas ou une clé. Dans ce cas, les données bancaires sont transmises sous une forme cryptée directement à la banque du commerçant et elles sont détruisent à la fin de la transaction.
Le commerçant n’a pas connaissance des informations de la carte bancaire.
Pourtant, si le site du e-commerçant permet de « stocker » les données bancaires pour éviter d’avoir à les saisir une autre fois (cas par exemple d’Amazon), des pirates informatiques peuvent voler les données des cartes bancaires en pénétrant dans les serveurs du site. Ils peuvent alors utiliser VOTRE carte bancaire ou fabriquer une fausse carte qui pourra servir à faire des retraits d’argent dans des pays où vous n’êtes jamais allé(e).
Phishing
Le phishing, c’est l’hameçonage. cela consiste à voler l’identité et l’allure (visuel) d’un site ou d’un organisme (banque, caisse d’allocations familiales, opérateur, etc..) et à inviter par mail ou autre à se connecter sur ce faux site pour y donner des informations.
A l’autre bout du faux site, le pirate récupère les login et pass du compte que l’internaute a donné (en croyant être sur le vrai site) et les utilise sur le vrai site pour détourner de l’argent ou des informations.
Ne croyez jamais les mails qui vous invitent à vous connecter quelque part, même pour un sondage ou quelque chose d’urgent. De toutes façons, c’est du temps perdu même si c’est vrai 😉
Emprunt de carte pour soi-disant poser le terminal de paiement sur le socle
Cette méthode de vol est basique mais diablement efficace. Notamment à l’étranger, le restaurateur ou le commerçant vous « emprunte » votre carte pour la mettre dans le terminal de paiement ou alors poser ce dernier sur le socle. Seul ou avec des complices, il prend discrètement une empreinte de la carte avec le numéro, la date de validation, les petits chiffres, le nom et en avant les achats sur Internet.
Piratage lors d’un paiement sans contact
On en a déjà parlé maintenant fois sur Credit-et-banque.com
Les nouvelles cartes bancaires qu’imposent les banques, sans demander l’avis des clients, ont une fonction « paiement sans contact ».
Il suffit pour payer de petites sommes de poser la carte devant le terminal du client. c’est en théorie un gain de temps mais comme le système est encore moins sécurisé que le pass Navigo de la RATP, il est facile pour des hackers même débutants de simuler une demande de paiement et de soutirer des petites sommes à droite et à gauche.
Comment éviter de se faire voler de l’argent sur Internet ou lors de paiements à distance ?
- Sur Internet, vérifiez toujours que vous payez sur une page sécurisée en https
- Sur Internet, privilégiez les paiement par paypal ou autre intermédiaire de paiement qui rembourse à la moindre alerte et ne met pas vos coordonnées bancaires en relation directe avec le marchand même si vous payez directement par carte sans avoir un compte paypal (c’est le marchand qui paie la commission de paypal)
- Ne répondez jamais à un mail demandant une connexion
- N’acceptez jamais qu’un site Internet garde vos coordonnées bancaires
- Regardez soigneusement vos relevés de compte car les voleurs agissent sur de petites sommes.
- A chaque doute, faites opposition (service interbancaire au 0 892 705 705)
- N’acceptez pas de votre banque une carte de paiement sans contact: vous avez le droit de demander une carte de paiement SANS ce système.
Que faire quand on s’en fait voler de l’argent via Internet ou via un paiement à distance ?
Si vous constatez un débit sur votre compte et que vous n’avez jamais effectué ce retrait ou l’achat auquel il correspond, alors il faut rapidement contester ce début: vous avez 13 mois pour contester ce débit. La banque doit alors vous rembourser la somme et les frais annexes éventuellement générés: agios, incidents de paiement, etc..
Le remboursement de la banque est basé sur l’article L311-18 du code monétaire et financier.
Quand la banque tarde à rembourser, n’hésitez pas à lui envoyer une lettre recommandée en lui rappelant la loi !
En cas de refus, contactez le service client ou le médiateur de la banque (voir notre rubrique Médiation)
Bonjour,
Madame, Monsieur,
Le thème de l’article est un problème de la plus haute importance c’est à dire la sécurisation des paiements à distance et plus particulièrement via les sites web.
Aujourd’hui :
Une carte bancaire (Visa, MasterCard, CB, Amex) dispose d’un numéro à 16 Chiffre, d’un cryptogramme d’une date de Validité et d’un numéro à 4 chiffres qu’aujourd’hui il est possible de choisir dans certaines conditions.
Lorsqu’un porteur de carte se rends à un distributeur il entre sa carte, compose ce code à quatre chiffres pour accéder au logiciel du DAB.
Ce même porteur se rend dans un magasin et effectue un achat et décide de le régler par Carte Bancaire. Il utilise à nouveau son code à quatre Chiffres.
Ce même porteur de carte se rend sur un site web et effectue un achat et va le payer par Carte Bancaire.
Ici il doit entrer les 16 Chiffres de la carte, la date de validité et le cryptogramme au dos de la carte ou en façade pour AMEX.
Autrement dit si votre employé de maison, votre enfant, un personne qui voit votre carte et note les numéros. Tout ce « petit monde » peut donc utiliser les codes pour effectuer des achats sur le web sans que personne ne s’en rende compte. Incroyable non en 2018 ceci n’est toujours pas sécurisé…
Oui le propriétaire pourra, après l’incident faire valoir un fait qui restera comme litige. Si la banque n’est pas d’accord le débit restera entier et la perte d’argent sèche.
Dans le cas où l’achat sur le web a été fait et que le propriétaire arrive à faire valoir ses droits, le débit sera re-crédité sur le compte » ouf ! » .Avec des Agios bien entendu, donc il y a pour le propriétaire une perte par manque de sécurité de la part du circuit bancaire ou plus exactement avec Europay Mastercard Visa.
Mais le « commerçant » qui a envoyé sa marchandise, parce qu’elle a bien été payée par Carte Bancaire se verra débiter de la somme, voir des sommes si cela s’est produit à plusieurs reprises et ce sera une perte sèche intolérable liée au manque de sécurité du système…
Il existe aujourd’hui un procédé qui date d’une dizaine d’années qui s’appelle le 3D Secure.
Il consiste à envoyé un code à 8 ou 10 chiffres par SMS pour valider un achat. Bien bien..
Il faut donc avoir son téléphone portable à portée de main, il faut que celui ci soit avec sa batterie chargée, que la connexion soit optimale. Si votre téléphone est dans la poche de votre mari ou le sac de votre épouse, si les SMS ne passent pas bien, le paiement ne pourra aboutir.
Résultat une perte pour le Ecommerçant qui verra sa vente ratée.
Économiquement parlant c’est » Dingue »
Des statistiques ont été faites sur ces pertes de ventes elles s’élèvent à 30% du chiffre d’affaire. Si vous mettez ce système en place vous aurez une déficience de 30% de votre chiffre. Certains sites conservent le système à leurs dépends, d’autres comme certainsdes gros sites l’ont retiré, car 30% c’est énorme….
Il existe aussi la Carte virtuelle avec un numéro unique qui ne sert qu’une seule fois. Notons que ce système est valable, il nécessite cependant que le propriétaire du compte face la demande auprès de sa banque sur le site web de celle-ci, que sa connexion le lui permette de le faire. Il doit alors attendre que le numero lui soit adressé sot par Email, soit par SMS
Dans le cas où le propriétaire ne serait pas satisfait du produit ou bien souhaiterait changé le Ecommerçant ne pourra pas rembourser la somme sur la carte bancaire puisqu’elle ne sert qu’une seule fois.
Le Ecommerçant doit alors faire un virement, un chèque pour effectuer le remboursement. Tout ceci est long est arriéré…
La Banque Populaire propose un système à elle qui consiste à éditer des cartes bancaire avec un champ à diodes sur lequel apparait un code à 16 chiffres unique. Cela nécessite une bonne réception téléphonique, cela nécessite que l’usure de la carte ne face pas disparaitre la clarté du champ en question. C’est du bricolage….
IDEE A TRAVAILLER :
Dans le logiciel de fonctionnement de la carte bancaire le Code secret est une partie du logiciel, un morceau de Scripte qui permet de faire fonctionner la carte. Tout est informatisé, numérisé.
Si ce Scripte existe avec 4 chiffres, il est possible de faire un « Copier/Coller » de ce Scripte (Peu Importe sa longueur) et de définir d’autres paramètres comme de faire passer de 4 Chiffres à 8 ou 10 caractères alphanumériques. On conserve bien entendu la partie à quatre chiffre pour les utilisations urbaines, mais on ajoute cette option d’utiliser un code plus sophistiqué.
(Parenthèse)
Comme pour les numéros à 4 chiffres les banques proposent de choisir ces quarte chiffres. Et bien pour le Code à 8 ou 10 caractères alphanumériques il pourrait en être de même. Comme par exemple :
Code Alphanumérique Exemple : delphine92 ou bien 57didou301 etc.. On peut même imager doubler les possibilités en incluant majuscules et minuscules.
Donc avec ce système le propriétaire d’une carte pourrait faire des achats sur le web en utilisant son code secret dédié au Web en toute sécurité. Car qui aurait ce code piraté ? Cela restreint considérablement les options.
Les petits malins qui volent des cartes bancaires, utilisent des numéros empruntés, s’abonnent au DarkWeb pour avoir les coordonnées des cartes bancaires se retrouveraient avec des listes qui ne servent plus à rien… Ce serait « Mort » pour eux définitivement.
Les Ecommerçants seraient protégés, les propriétaires de carte protégés, les remboursements possible, la rapidité de paiement plus facile, pas besoin de SMS ou de Ecarte pour faire un paiement.
C’est aussi une amélioration économique ayant pour résultante une augmentation des échanges par Cartes Bancaires.
Ayant longuement réfléchi à un système efficace et facile à mettre en place j’ai donné un nom à ce procédé.
Le NSW (Numéro de Sécurité Web) J’ai même fait un logo identifiable facilement.
Ici si j’avais pu mettre une pièce jointe j’aurai fait passer un PDF détaillé sur le projet de mise en place.
Je suis Ecommerçant et je suis exaspéré par ce manque d’implication de la part des Cartes bancaires alors que sur le plan informatique tout est aisément facile à mettre en place. C’est juste une question de volonté.
Ce que je propose est sur le plan informatique très facile à mettre en place, peu couteux et surtout très facile à générer puisque les cartes seraient les mêmes sur le plan de la fabrication, la puce n’ayant pas ce code intégré sur la carte.
Je suis à la disposition de celles et ceux qui auraient un quelconque intérêt dans ce domaine.
Merci à vous
Jean Gautier