Etude indépendante : Lutte contre la fraude monétique et le carding

4
369

UnderNews a décidé de vous présenter une étude réalisée par un jeune expert en sécurité bancaire, qui a gracieusement proposé la publication de son étude sur la fraude bancaire et le carding en France.

Cet expert a acquis de l’expérience à travers ses divers missions contre la fraude monétique chez Amex et Expedia. Les rapports MRC sont aussi pris comme source dans cette étude.

Définition de la fraude monétique

La fraude monétique se définie comme étant l’ensemble des achats effectués au moyen de payements électroniques ou physiques, sans le consentement du titulaire du moyen de paiement. Elle se manifeste par des achats effectués en ligne sur Internet ou en magasin, notamment par le biais de cartes contrefaites clonées par les as du carding. La fraude à la carte bancaire ou fraude monétique explose depuis l’avènement des paiements électroniques et du développement d’Internet.

Les chiffres clés de la fraude bancaire en France

En 2011, 650 000 personnes ont été victimes de fraude à la carte bancaire, contre 500 000 en 2010. On observe en parallèle que les entreprises françaises commencent à s’équiper en technologie adaptée pour enrailler un phénomène qui coûte plusieurs millions d’euros aux commerces français chaque année. 2013 a été l’année charnière qui a marqué une amélioration notable : le taux de fraude est resté contenu à 0.080% sur l’ensemble des transactions et retraits effectués par carte bancaires dans le système français.

Comment fonctionne la détection de la fraude monétique dans le e-commerce ?

Les technologies de détection préventives restent le fer de lance de la profession. Des investissements souvent coûteux en logiciels dernier cri créés par des sociétés spécialisés sont des solutions devenues maintenant nécessaires pour les entreprises réalisant un certain volume de transaction en ligne. On peut facilement comprendre l’amortissement de tels investissement en prenant en compte les risques de pertes financières importantes en cas de fraude et une image/réputation de la marque/société salies en cas d’attaque.

Ces entreprises spécialisées se sont développées depuis quelques années pour répondre à un besoin de plus en plus pressant. Elles créent des logiciels qui fonctionnent de manière autonome et en temps réel au moment même de la transaction. Cela dans le but d’établir un « score » permettant d’évaluer le risque pris par le commerçant en fonction du produit ou du service acheté ainsi que du moyen de payement utilisé par le client. Cette évaluation repose essentiellement sur des modèles de calculs complexes issus du système bancaire qui prennent en compte un ensemble de paramètres spécifiques à l’achat ainsi qu’au secteur d’activité de l’entreprise. Le score est établi dès que l’achat est effectué, et ce de manière instantanée, sans que le client en n’ait connaissance. Dans le cas d’un score élevé, les deux cas de figure les plus courant sont :

  1. la commande est automatiquement annulée ( la vente est refusée par le commerçant)
  2. la commande aboutie mais peut subir des contrôles à posteriori (notamment par des analystes formés à la prévention de la fraude).

Ainsi le e-commerce doit incorporer un niveau de pertes financières difficiles à maîtriser ou à évaluer, que ce soit en amont par le blocage systématique de la transaction qui peuvent s’avérer légitimes soit en aval, sur l’ensemble des fraudes non détectées.

Le 3D Secure mis en place par les banques pour sécuriser les achats en ligne est un bon exemple : les contraintes sont importantes puisque le taux d’abandon de transaction est élevé du fait de la dépendance d’un SMS envoyé par la banque sur le numéro de téléphone lié au compte du client. Si ce dernier n’est pas à jour ou que le téléphone n’est pas opérationnel ou à portée de main de l’acheteur, ce dernier sera dans l’impossibilité de finaliser sa commande… Du coup, ce système n’est pas forcément bien vu par les e-commerçants. Il apporte toutefois une sécurité puisqu’il permet de vérifier que le client est bien le propriétaire de la carte bancaire avec laquelle il souhaite régler.

S’équiper contre la fraude peut être un investissement coûteux. De fait, la plupart des petites et moyennes entreprises ont des difficultés à faire face avec leurs propres moyens à ce phénomène. Ces dernières sont souvent peu préparées, ne pouvant investir dans des outils spécialisés onéreux, et développent leurs propres “solutions maisons”.

Comment fonctionne la détection de la fraude monétique au niveau des banques ?

Les organismes bancaires suivent une méthodologie relativement proche du point de vue de la détection mais le timing est différent. Un système automatique passe au crible l’activité des comptes à la recherche d’irrégularité grâce également à un système de scoring. L’historique et le profil des clients sont alors primordiaux pour cette phase analyse. Les banques sont les premières à être confrontées aux problèmes de fraude bancaire mais elles cherchent à tout prix à s’en dédouaner. La raison est purement technique : elles sont, à l’heure actuelle, incapables de surveiller l’activé de l’ensemble de leurs comptes clients en temps réel. Dès lors la prise en charge des réclamations et des fraudes pèsent lourdement sur leurs organisations.

Des logiciels performants sont donc nécessaires mais ne se suffisent pas à eux-mêmes et les départements de fraudes se multiplient dans toutes les entreprises à travers le monde pour traiter ces transactions suspectes. Apparaissent alors des problématiques de gestion de compétences, de ressources humaines, concernant les victimes ou les procédures misent en place depuis la détection jusqu’à la clôture des cas de fraude.

Les problématiques

On peut constater que les différents partis touchés et impliqués dans la fraude monétique ont un vécu très différent des choses. Explications.

1. Les victimes

Les victimes titulaires des cartes de crédit : En France, elles sont protégées par l’article L133-18 du code monétaire et financier (legifrance.gouv.fr)

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

Les victimes sont donc remboursées intégralement (certaines limites peuvent cependant exister selon les cas, ndlr) et de ce fait, elles ne suscitent l’intérêt de personne. Même les cybercriminels interrogés le disent clairement : ils n’ont pas de sentiments étant donné qu’au final ils ne volent pas les victimes mais les banques ! Cependant, très peu de victimes connaissent leurs droits. Dans bien des cas les banques refusent tout simplement de procéder aux remboursements des achats contestés. En effet, les banques et les entreprises se réservent toujours le droit de douter de la bonne foi du client en tentant d’évincer les mauvais payeurs. Les ennuis pour les victimes commencent ici et peuvent avoir des effets dévastateurs.

Elles se retrouvent débitées de leurs dépenses courantes, mais également des transactions frauduleuses qui peuvent être importantes. Même sur une courte période, cette expérience peut être traumatisante. Perdus et surtout sans informations, les victimes de fraude peuvent alors développer une peur panique a l’idée de réutiliser leur carte bancaire. Elles peuvent également devenir suspicieuses ou échafauder des théories pour trouver l’origine du délit. Ceci peut avoir un impact sur leurs cercles sociaux et familiaux, où des accusations faussement fondées peuvent entraîner des débordements.

2. Les banques

Les banques quant à elles, doivent faire face à deux problématiques, la première étant d’ordre commercial : Ces dernières essaient de donner à leurs clients une expérience positive lorsque ces derniers sont victimes de fraude et ce, dans l’unique but de garder leur confiance et de maintenir actif leur(s) compte(s) bancaires(s).

La seconde étant d’évincer les mauvais payeurs qui souhaitent profiter du système par l’abus du remboursement. La technique de base est bien connue des e-commerçants : un client malveillant commande avec sa CB en ligne, attend de recevoir la marchandise puis fait opposition et déclare sa CB volée. Le commerçant perd alors sa marchandise et son règlement…

3. Les employés des départements de lutte anti-fraude

De ce côté là, une bureaucratisation de la profession est observée et un sentiment partagé d’être déconnecté de l’action de lutte contre la fraude en elle-même se fait sentir. Les entreprises suivent une logique financière de rentabilité et organisent le travail en ce sens. Une organisation Taylorienne en somme, où le but est d’analyser un maximum de transactions à la chaîne. La productivité ainsi que la mesure des performances sont surveillées de près et nourrissent des statistiques pour évaluer le travail des analystes.

Ce mode d’évaluation occulte pour une part l’aspect intuitif et culturel du métier. De fait, l’investissement personnel devient vite démesuré pour l’employé. L’excitation propre à l’exercice de la profession s’étiole et cette lassitude engendre un turnover difficile à maîtriser pour les entreprises. De plus, l’organisation nivelée des équipes et le manque de spécialisation font que l’évolution de carrière est limitée. La course est lancée, c’est à celui qui traitera le plus de transactions et les employés qui montrent un réel intérêt pour la lutte contre la fraude sont parfois marginalisés. Cependant, les employés de ce secteur sont en première ligne de la lutte antifraude et développent avec l’expérience une connaissance profonde des fraudeurs, des techniques et des failles du système en générale.

4. L’entreprise

Elle-même est souvent déconnectée. Suivant une méthodologie et des procédures propres à tout secteur financier, la rentabilité à court terme prend le pas sur une lutte aux effets durables. Maintenir un niveau de pertes raisonnable dues à la fraude reste l’objectif premier et souvent unique. L’identification ou le « tracking » des fraudeurs est oublié. En effet, l’action durable suppose d’alerter et de créer un réseau d’information efficace autour des différents acteurs à savoir les banques, les entreprises et la Police. La communication entre ces partis, sous couvert du secret bancaire ainsi que des différentes législations entre pays et de la protection des données personnels (CNIL), engendre une politique de l’inaction et un manque de stratégies au long terme.

Quant à la communication des entreprises envers les consommateurs, elle est souvent frileuse. En effet, promouvoir la lutte contre la fraude peut générer des effets négatifs auprès du client. Cela peut donner l’image d’une entreprise avec laquelle il est risqué de donner ces coordonnées bancaires. Rien de tel pour perdre rapidement un bon nombre de clients en se créant une mauvaise publicité fondée sur de bonnes intentions pourtant louables.

De manière plus approfondie, on peut théoriser sur le fait que la fraude créée de la valeur pour l’entreprise: elle permet d’augmenter le nombre des ventes et le chiffre d’affaire de l’entreprise virtuellement, du moins à court terme, à la manière des créances pourries qui sont bien connues sur les marches obligataire. La fraude monétique peut aussi être envisagée comme une forme de valeur spéculative.

5. Les fraudeurs

Ils bénéficient d’une impunité connue de tous. Ce n’est ni plus ni moins que du vol ou il est difficile de se faire prendre la main dans le sac puisque l’acte en lui-même est dématérialisé. Sur de faibles montants, il est même peu probable qu’une enquête soit ouverte. Il suffit donc de multiplier le nombre de petit recèles pour passer inaperçu et le tour est joué, de préférence depuis des pays étrangers par rapport à la provenance de la carte bancaire. Certissim (livre blanc dans la e-commerce,Certissim.com, 12e édition, Juin 2014) a d’ailleurs évalué le panier moyen des impayés en 2013 : il était de 243 € et a reculé de 18% par rapport à 2012.

Une difficulté supplémentaire pour les entreprises qui concentrent leurs efforts sur les commandes onéreuses alors que les fraudeurs eux, multiplient le nombre de petites transactions. Ainsi, les fraudeurs se renouvellent constamment, s’adaptent aux techniques de lutte anti-fraude. C’est pourquoi, même si nous connaissons déjà bon nombre de techniques et de mode opératoire de ces individus, le fait est qu’il est difficile de les répertorier.

De plus, il faut rappeler la dimension internationale du e-commerce et de nombreuses particularités existent en fonction des pays. Là encore, la globalisation et la maîtrise des nouvelles technologies brouillent les pistes. C’est pourquoi une carte bleue française peut être utilisée depuis la Thaïlande au bénéfice d’une tierce personne basée en Amérique du Sud. C’est pourquoi, les fraudeurs se font le plus souvent arrêter pour d’autres crimes et la fraude ne fait que rallonger le chef d’inculpation.

6. La Police

La Police nationale française n’a actuellement pas de moyens techniques et matériels suffisant pour combattre la fraude monétique à armes égales. Sachant que le panier moyen d’un fraudeur était de 243 € l’année dernière, peut-on sérieusement envisager une enquête dans le cadre de ce genre de petit délit ? D’ailleurs la Gendarmerie Nationale sur son site internet précise aux victimes de fraude de contacter directement leur banque « sans qu’un dépôt de plainte préalable ne soit nécessaire ». Néanmoins, elle accepte certains dépôts de plaintes, notamment sur la demande des banques. Un casse-tête pour les nombreuses victimes de fraude qui ne savent plus à qui s’adresser.

Les forces de Police ainsi que la Gendarmerie doivent faire face à la cybercriminalité dans son ensemble. Cependant, cela ne bloque pas pour autant l’action policière mais l’oriente. C’est pour cela qu’elle se focalise, elle, à attraper les gros poissons et les têtes de réseaux qui agissent sous leur juridiction. Les fraudeurs issus de la petite délinquance, quant à eux, se cachent au centre d’un labyrinthe administratif.

Voici un tableau récapitulatif qui répertorie les principales problématiques que peuvent rencontrer les acteurs de cette lutte :

  Les victimes    Aucune aide concrète n’est apportée aux victimes concernant le préjudice moral et parfois financier. Seul le remboursement existe.
Les entreprises

Les entreprises ne parviennent pas à instaurer des stratégies durables et se soumettent à une loi du silence qui ne permet pas la lutte collaborative avec les autres entités juridiques ou bancaires.

Les employés des départements de lutte anti-fraude

Ils partagent le sentiment d’être déconnectés de leur action et l’intérêt du poste s’étiole rapidement, ce qui engendre un turn-over important dans les entreprises. De plus, l’évolution professionnelle est assez limitée dans le secteur.

Les banques

Les banques ont une action au cas par cas et de ce fait ne peuvent conduire d’actions globales et collaboratives.

La Police

Par la multiplication des petits délits, le peu d’information disponible dans le cadre d’enquête et ainsi qu’à cause de la nature internationale de certaine fraude, la police locale est dépassée par le phénomène. La collaboration internationale est à ce jour quasi non existante, mis à part dans le cas d’enquête menée par Interpol ou autre institution reconnue au niveau internationale. Il s’agit alors surtout de grosses affaires dont les montants fraudés s’élèvent à des millions de d’euros.

Les fraudeurs        

Ils bénéficient d’une impunité connue qui encourage et alimente la petite délinquance et les réseaux criminels.

 Conclusion : Le territoire d’Internet est dépourvu de juridiction et est abusé par les fraudeurs qui l’utilisent pour agir et disparaître aussitôt. La fraude monétique est un chantier colossal pour tous les acteurs qui participent à cette lutte. Les banques et les entreprises qui développent leurs départements anti-fraude emploient un personnel avec des connaissances et des profils spécifiques.

Précision : En expliquant que la fraude a la carte bancaire double quasiment chaque année, on devrait plutôt dire que c’est le nombre de tentatives de fraudes qui double. En effet, ce sont bien les tentatives de fraudes bancaires sans succès qui sont concernées par ces chiffres. D’ailleurs, bien souvent, les chiffres publics ne reflètent pas la réalité car on récence environ 500 millions de dollars de fraudes a la carte bancaire sur internet (volées ou contrefaites). Ce chiffre tend à ce stabiliser mais cela représente les fraudes réussies, donc les pertes sèches pour les banques, les entreprises ou les services d’assurances. Néanmoins, les fraudeurs et cybercriminels augmentent leur niveau d’activité de manière exponentielle chaque année.

4 Commentaires

  1. Contribution bien fournie et bien documentée: suffisamment claire pour quelqu’un qui n’est pas expert. En résumé très bon article, très intéressant qui colle à la fois à l’actualité du moment et aux procédures anti fraude bancaires (j’y travaille. Malheureusement je pense qu’un jour ou l’autre beaucoup de gens vont se sentir concerné par ce sujet!

    • Des données et des problématiques bien connues des gens du métier en effet, mais un bel article offrant une approche simple et compréhensible d un phénomène qui touchera bientot au moins 1 million de personne en France chaque année.

Les commentaires sont fermés.