Rapport CB

R AP P ORT ANNUEL
DE LOBSERVATOIRE DE LA SCURIT
DES CARTES DE PAIEMENT
2013
bservatoire
de la scurit
des cartes de paiement
www.observatoire-cartes.fr
bservatoire
de la scurit
des cartes de paiement
31, rue Croix-des-Petits-Champs 75049 Paris Cedex 01
Code Courrier : 11-2323
RAPPORT ANNUEL 2013
DE LOBSERVATOIRE DE LA SCURIT DES CARTES DE PAIEMENT
adress
Monsieur le ministre de lconomie,
du Redressement productif et du Numrique
Monsieur le ministre des Finances et des Comptes publics
Monsieur le prsident du Snat
Monsieur le prsident de lAssemble nationale
par
Christian Noyer,
gouverneur de la Banque de France,
prsident de lObservatoire de la scurit des cartes de paiement
LObservatoire de la scurit des cartes de paiement, mentionn au I de larticle L141-4 du Code montaire
et financier, a t cr par la loi n 2001-1062 du 15 novembre 2001 relative la scurit quotidienne.
Sesmissions en font une instance destine favoriser lchange dinformations et la concertation entre toutes les
parties concernes (consommateurs, commerants, metteurs et autorits publiques) par le bon fonctionnement
et la scurit des systmes de paiement par carte.
Conformment lalina 6 de cet article, le prsent rapport constitue le rapport dactivit de lObservatoire
quiestremis au ministre charg de lconomie et au ministre charg des finances et transmis au Parlement.
NB: Pour ses travaux, lObservatoire distingue les systmes de paiement par carte de type interbancaire et ceux de type privatif .
Les premiers correspondent ceux dans lesquels il existe un nombre lev de prestataires de services de paiement metteurs et acqureurs.
Les seconds correspondent ceux dans lesquels il existe un nombre rduit de prestataires de services de paiement metteurs et acqureurs.
SOMMAIRE
Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2013
SYNTHSE 7
CHAPITRE 1 : TAT DES LIEUX DE LA SCURISATION DES PAIEMENTS
PAR CARTE SUR INTERNET

11
1| TAT DAVANCEMENT DE LA SCURISATION DES PAIEMENTS PAR CARTE SUR INTERNET 11
1|1 La quasi-totalit des porteurs est dsormais quipe dau moins un dispositif
dauthentication renforce

11
1|2 Le taux dchec sur les transactions authenties de manire renforce
se rapproche du taux dchec sur les transactions non scurises

12
1|3 La part des transactions authenties via 3D-Secure continue de progresser en valeur,
mais le taux de-commerants quips reste stable

12
2| LES ACTIONS MENES PAR LOBSERVATOIRE ET LA BANQUE DE FRANCE POUR SENSIBILISER
LES E-COMMERANTS AU RENFORCEMENT DE LA SCURIT DES PAIEMENTS SUR INTERNET

13
3| CONCLUSION 14
CHAPITRE 2 : STATISTIQUES DE FRAUDE POUR 2013 15
1| VUE DENSEMBLE 16
2| RPARTITION DE LA FRAUDE PAR TYPE DE CARTE 17
3| RPARTITION DE LA FRAUDE PAR ZONE GOGRAPHIQUE 18
4| RPARTITION DE LA FRAUDE PAR TYPE DE TRANSACTION 18
5| RPARTITION DE LA FRAUDE SELON SON ORIGINE 22
CHAPITRE 3 : VEILLE TECHNOLOGIQUE 25
1| LA SCURIT DES TERMINAUX DE PAIEMENT 25
1|1 Rappel sur les diffrents types de terminaux de paiement 25
1|2 Rappel des principaux risques et des mesures pouvant tre mises en uvre
pour les matriser

26
1|3 tat des lieux de la mise en uvre des prcdentes recommandations
de lObservatoire (2008 2012)

27
1|4 Recommandations de lObservatoire 29
2| TAT DES LIEUX DES TECHNIQUES DAUTHENTIFICATION RENFORCE DUPORTEUR 29
2|1 Caractristiques de lauthentication renforce duporteur 30
2|2 Authentication renforce du porteur lors dun paiement Internettraditionnel 30
2|3 Authentication renforce du porteur lors dun paiementmobile 33
2|4 Authentication renforce sur le canalMO/TO 34
3| CONCLUSION 35
SOMMAIRE
CHAPITRE 4 : PROTECTION DES DONNES PERSONNELLES DANS LE CADRE
DES TRAITEMENTS DE LUTTE CONTRE LA FRAUDE

37
1| LA PROTECTION DES DONNES CARACTRE PERSONNEL: UNE PRISE ENCOMPTE NCESSAIRE
DANS LES DISPOSITIFS DE LUTTE CONTRE LA FRAUDE

37
1|1 Les acteurs de la lutte contre la fraude 38
1|2 Lvolution des technologies permet dlargir le nombre et la nature des donnes personnelles
collectes et damliorer ainsi les traitements de lutte contre la fraude mis enuvre
par les diffrents acteurs

39
2| LES TRAITEMENTS DE LUTTE CONTRE LA FRAUDE REPOSANT SUR LEXPLOITATION DE DONNES
PERSONNELLES FONT LOBJET DUNE RGLEMENTATION SPCIFIQUE AMENE VOLUER

39
2|1 Un rgime dautorisation assorti de nombreuses garanties entourant la protection des donnes 39
2|2 La simplication des formalits dclaratives sera loccasion de prendre encompte
les dernires volutions relatives aux traitements de lutte contre la fraude

41
3| CONCLUSION 42
ANNEXES
ANNEXE 1 : CONSEILS DE PRUDENCE LUSAGE DES PORTEURS A1
ANNEXE 2 : PROTECTION DU TITULAIRE DUNE CARTE EN CAS DE PAIEMENT NON AUTORIS A3
ANNEXE 3 : MISSIONS ET ORGANISATION DE LOBSERVATOIRE A7
ANNEXE 4 : LISTE NOMINATIVE DES MEMBRES DE LOBSERVATOIRE A11
ANNEXE 5 : DOSSIER STATISTIQUE A13
ANNEXE 6 : DFINITION ET TYPOLOGIE DE LA FRAUDE RELATIVE AUX CARTES DE PAIEMENT A19
SYNTHSE
7 7 L
e onzime rapport annuel dactivit de lObservatoire de la scurit des cartes de paiement,
relatif lexercice 2013, comprend cette anne quatre parties dont les principales
conclusions sont reprises ci-aprs.
1
re
partie: tat des lieux de la scurisation des paiements par carte sur Internet
La baisse trs prononce en 2013 du taux de fraude sur les paiements par carte sur Internet
montre les importants progrs de scurisation qui ont lieu dans ce domaine.
La quasi-totalit des porteurs dispose aujourdhui de cartes quipes de dispositifs
dauthenticationrenforce.
Paralllement, le taux dchec sur les transactions authenties connat une baisse signicative,
etatteint un niveau similaire celui du taux dchec des transactions non authenties.
Ceci constitue un signal trs positif pour les commerants et montre que la mise en uvre
de lauthentication renforce ne constitue plus un obstacle au dveloppement du
commercelectronique.
Ces volutions encourageantes restent toutefois encore limites par le faible taux de commerants
en ligne quips de dispositifs dauthentication renforce, qui atteint seulement 43%.
Dans ce contexte, lObservatoire appelle lensemble des acteurs concerns gnraliser
au plus vite ces dispositifs dauthentication renforce dici au 1
er
fvrier 2015, date de la
miseenuvre des recommandations relatives la scurit des paiements sur Internet mises
par le forumeuropen sur la scurit des moyens de paiement SecuRe Pay.
2
e
partie: statistiques de fraude pour lanne 2013
Le taux de fraude sur les paiements et les retraits par carte reste en 2013 stable 0,080%.
Cette stabilisation du taux de fraude recouvre toutefois plusieurs dynamiques diffrentes:
une hausse contenue de la fraude sur les transactions nationales, qui se caractrise par la
diminution simultane des taux de fraude sur les paiements de proximit et sur les paiements
distance. Pour la deuxime anne conscutive, le taux de fraude sur les paiements parInternet
continue de baisser, 0,229 % (contre 0,290 % en 2012), bien quun tiers de cette baisse
soitimputable une rvision de la mthodologie de collecte des donnes
1
.
1 Une modification de la mthodologie utilise par le Groupement des Cartes Bancaires pour valuer la rpartition au sein des paiements distance
entre ceux effectus sur Internet et ceux raliss par courrier ou tlphone a conduit revoir la baisse le montant de ces derniers et eneffectuer
le report sur les paiements sur Internet. Ceci entrane logiquement une baisse du taux de fraude sur ce dernier canal, le montant de lactivit
totale augmentant.
SYNTHSE
8
Toutefois, les montants concerns par la fraude sur les paiements distance, notamment sur
les paiements par Internet, continuent daugmenter. Les paiements distance reprsentent
toujours la majeure partie de la fraude en montant (64,6 %) alors quils ne reprsentent que
11 % du montant total des paiements. Dans ce contexte, lObservatoire appelle lensemble
des acteurs poursuivre leurs efforts pour mieux scuriser ces paiements, et renouvelle
ses recommandations destination des commerants en ligne an que tous adoptent au
plusvite des dispositifs dauthentication renforce pour les transactions les plus risques.
une baisse prononce du taux de fraude sur les transactions internationales, qui masque
toutefois des tendances contrastes.
Ainsi, le taux de fraude sur les paiements en France impliquant des cartes mises horszoneSEPA
a connu une chute importante depuis 2012, grce notamment ladoption du standard EMV
par un nombre croissant de pays lexception notable des tats-Unis. Cest cette mme raison
qui explique la baisse rgulire depuis 2011 des taux de fraude sur les paiements de proximit
au sein de la zone SEPA.
linverse, le taux de fraude sur les paiements distance impliquant des cartes franaises dans
la zone SEPA a cr de manire signicative. La mise en uvre au plus tard le 1
er
fvrier2015
des recommandations relatives la scurit des paiements sur Internet mises par le
forumeuropen sur la scurit des moyens de paiement SecuRe Pay devrait permettre de
lutter plus efcacement contre la fraude sur les paiements distance dans la zone SEPA.
3
e
partie: travaux de veille technologique autour de la scurit des terminaux
de paiement et des techniques dauthentification renforce par porteur
Scurit des terminaux de paiement: le nombre de cas de compromission de terminaux
de paiement ayant fortement augment au cours des deux dernires annes, lObservatoire
asouhait faire un tat des lieux de la mise en uvre des recommandations quil avait formules
prcdemment sur la scurit des terminaux de paiement et actualiser ses analyses au regard
delvolution des techniques de fraude telles que prsentes dans son rapport2012.
la lumire de la tendance haussire des attaques visant les terminaux de paiement, lObservatoire
appelle lensemble des acteurs une vigilance accrue. Il recommande plus particulirement que
les processus dagrment des dispositifs dacceptation par les systmes de paiement par carte
soient renforcs an de mieux grer les terminaux dfaillants ou en n de vie. LObservatoire
souligne galement que les efforts engags pour disposer dune meilleure traabilit des
quipements doivent se poursuivre et aboutir dans les meilleurs dlais.
Techniques dauthentication renforce du porteur : le secteur de vente distance
continuant tre particulirement expos la fraude, lObservatoire a souhait faire un tat des
lieux des techniques dauthentication renforce mises en uvre par les systmes de paiement
par carte et les metteurs franais.
Constatant que lenvoi dun code non rejouable par SMS sur un tlphone mobile ou smartphone
est actuellement la solution la plus utilise en France, lObservatoire appelle la poursuite
SYNTHSE
9
des efforts de scurisation des tlphones mobiles en tant que support dauthentication
nonrejouable. Il relve cependant que lessor du paiement en ligne effectu depuis un tlphone
mobile pourrait soutenir le dveloppement dautres solutions, lenvoi dun SMS apparaissant dans
ce contexte peu ergonomique. Il sagirait notamment des portefeuilles lectroniques dont le niveau
de scurit a fait lobjet de recommandations par lObservatoire en2011 et plus rcemment par
le forumeuropen SecuRe Pay.
Enn, lObservatoire note que les rcentes volutions technologiques visant intgrer des
dispositifs biomtriques sur les smartphones pourraient lavenir jouer un rle dans la scurisation
des paiements mobiles, dans la mesure o les dispositifs dauthentication retenus savreraient
particulirement robustes dun point de vue scuritaire et ne pourraient tre aisment contourns
par lexploitation de failles de scurit du dispositif biomtrique ou des composants priphriques
qui lui sont attachs. La mise en place de processus dvaluation et de certication scuritaires
de ces lments pourrait uvrer en ce sens.
4
e
partie: protection des donnes personnelles dans le cadre des traitements
de lutte contre la fraude
Dans un contexte dvolution rapide des technologies relatives la lutte contre la fraude distance,
lObservatoire a souhait comprendre les consquences de la rglementation applicable enmatire
de traitement de donnes caractre personnel dans le cadre de la lutte contre la fraude.
En labsence dun quivalent au standard EMV pour protger les paiements par carte distance,
les dispositifs de lutte contre la fraude ont largi le nombre et la nature de donnes caractre
personnel collectes lors dun paiement par carte sur Internet an daugmenter le degr de
certitude quant la personne initiant une transaction de paiement. Si cette volution a permis
la mise en place de traitements de lutte contre la fraude plus labors et efcaces, elle pose la
question du risque datteinte la vie prive. Cest la raison pour laquelle ces nouveaux traitements
font lobjet dun contrle de la CNIL conformment la loi Informatique et liberts.
La CNIL a rcemment engag des travaux en vue de simplier les formalits dclaratives relatives
aux traitements de lutte contre la fraude utilisant des donnes caractre personnel. Ces travaux
seront ainsi loccasion de prendre en compte le besoin de clarier la responsabilit des acteurs
ayant recours des prestataires externaliss, celui de lventuelle mutualisation des donnes de
fraude entre les acteurs an de gagner en efcacit, la possibilit le cas chant davoir recours
de nouvelles donnes didentication issues des nouvelles technologies ou encore le besoin
de clarier les rgles relatives la dure de protection des donnes personnelles dans le cadre
des traitements de lutte contre la fraude. Ils devraient dboucher sur ladoption dune autorisation
dite unique qui permettra de mieux encadrer la collecte et le traitement des donnes an que la
lutte contre la fraude, qui correspond un intrt lgitime des professionnels, soit proportionne
aurespect des droits des personnes.
En vue de prserver cet quilibre, il convient de rappeler que le recours des dispositifs
permettant lauthentication renforce du porteur au moment du paiement, dont notamment
3D-Secure , peut tre de nature limiter le besoin de recourir une collecte de donnes
personnelles quipourrait tre juge excessive.
LA FINANCE SOLIDAIRE OU THIQUE
11
CHAPITRE 1
11
tat des lieux de la scurisation
des paiements par carte sur Internet
La fraude sur les paiements distance et les moyens
mis en uvre par les acteurs de la chane de paiement
afn de sen prmunir, font lobjet dun suivi rgulier
par lObservatoire.
Parmi les mesures recommandes par ce dernier,
la gnralisation progressive de lauthentifcation
renforce du porteur par lutilisation dun code
de validation non rejouable, chaque fois que
cela est possible et pertinent, occupe une place
prpondrante.
Le prsent chapitre rend compte du suivi de la
mise en uvre de cette recommandation (partie1|)
ainsi que les actions menes par lObservatoire et la
Banque de France pour sensibiliser les e-commerants
au renforcement de la scurit des paiements sur
Internet (partie2|).
1| tat davancement
de la scurisation des paiements
par carte sur Internet
Lanne2013 a t marque par une amlioration
sensible de la scurisation des paiements par carte sur
Internet, puisque le taux de fraude sur ce canal a subi
une diminution de 21%
1
pour atteindre 0,229%
du montant des transactions (cf. le chapitre2 du
prsent rapport). Si la baisse du taux de fraude,
qui confrme le mouvement engag en2012,
est encourageante, ce dernier demeure plus de
vingtfois suprieur au taux de fraude constat sur
les paiements de proximit.
Dans ce contexte, la gnralisation de
lauthentifcation renforce du porteur, chaque
fois que cela est possible et pertinent, reste une
priorit de lObservatoire. Il est noter que cette
priorit sinscrit dsormais dans un contexte europen
puisque les recommandations du forum europen
sur la scurit des moyens de paiement SecuRePay
2

ont prconis la gnralisation de lauthentifcation
renforce pour les paiements par carte sur Internet
les plus risqus dici le 1
er
fvrier2015.
Dans ce contexte, un suivi statistique semestriel
du dploiement des solutions dauthentifcation
est ralis par lObservatoire auprs des
principaux tablissements bancaires et de leurs
prestatairestechniques.
Ce suivi statistique, portant sur un primtre de
57,3 millions de cartes de paiement et 34,3 milliards
deuros de paiements (dont 10,1 milliards scuriss
par le dispositif 3D-Secure
3
) permet de mesurer
lvolution quantitative et qualitative de la mise en
uvre de lauthentifcation renforce.
La septime campagne de collecte, qui portait sur
la priode 1
er
novembre2013 au 30 avril2014,
met en vidence trois principaux enseignements.
1|1 La quasi-totalit des porteurs
est dsormais quipe
dau moins un dispositif
dauthentification renforce
En deux ans, le taux moyen de porteurs quips
dau moins un dispositif dauthentifcation renforce
oprationnel a fortement progress, passant de
77,0% 93,7%, et sest largement harmonis
entre les tablissements sonds.
En considrant le primtre des porteurs ayant
efectivement ralis une opration de paiement
par Internet sur les six derniers mois, le taux est
proche de 100%.
Parmi les dispositifs dauthentifcation proposs, le
SMS
4
reste toujours largement majoritaire.
1 Une partie de cette baisse rsulte cependant d'un changement de mthodologie de calcul (cf. chapitre 2 du prsent rapport).
2 https://www.ecb.europa.eu/pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinalversionafterpc201301en.pdf
3 Protocole interbancaire de scurisation des paiements par carte en ligne permettant lauthentification du porteur.
4 Cf. le chapitre 4 du prsent rapport tude sur les dispositifs dauthentification renforce.
12
TAT DES LIEUX DE LA SCURISATION DES PAIEMENTS PAR CARTE SUR INTERNET
Graphique 1
Distribution des porteurs quips ANR
(authentication non rejouable)
(en%)
0
Avril
2012
Oct.
Proportion des porteurs quips ANR
dans l'tablissement le plus en retard
Proportion des porteurs quips ANR
dans l'tablissement le plus en avance
Proportion des porteurs quips ANR au niveau de la Place
cart dans lequel se situent les donnes
de 50 % des tablissements
Avril
2013
Oct. Avril
2014
20
40
60
80
100
120
Source: Observatoire de la scurit des cartes de paiement
Graphique 2
Distribution du taux d'chec 3D-Secure
(3D-S)
(en%)
0
Avril
2012
Oct.
Taux d'chec 3D-S dans l'tablissement le moins affect
Taux d'chec 3D-S dans l'tablissement le plus affect
Taux d'chec 3D-S au niveau de la Place
cart dans lequel se situent les donnes
de 50 % des tablissements
Avril
2013
Oct. Avril
2014
10
20
30
40
50
Taux d'chec non 3D-Secure
1|2 Le taux dchec
sur les transactions authentifies
de manire renforce
se rapproche du taux dchec
sur les transactions non scurises
LObservatoire a pu constater lvolution positive
du taux dchec
5
sur les paiements authentifs au
fl des collectes ralises, passant de 18,0% en2011
15,3% sur la dernire collecte.
De plus, les carts constats sur ce taux dchec
entre les tablissements sonds sest fortement
rduit, tmoignant dune meilleure comprhension
des dispositifs dauthentifcation renforce par les
porteurs permise notamment par la gnralisation
de 3D-Secure par de grands e-commerants.
Ainsi, ce taux dchec se rapproche dsormais
du taux dchec sur les paiements non
authentifs, collect pour la premire anne
par lObservatoire, et qui se situe 14,3%.
LObservatoire observe ainsi que la mise en
uvre de lauthentification renforce du
porteur, chaque fois que cela est possible
5 Sont inclus dans les motifs dchec les abandons porteur (tous motifs confondus), les problmes techniques (tous motifs confondus), les
tentatives de fraude, les saisies errones.
et pertinent, ne constitue plus un obstacle au
dveloppement du commerce lectronique.
LObservatoire restera toutefois attentif lvolution
positive du taux dchec, et poursuivra, notamment
dans le cadre de son groupe de travail e-commerce,
les actions engages au regard de la scurisation des
paiements sur Internet.
1|3 La part des transactions
authentifies via 3D-Secure
continue de progresser en valeur,
mais le taux de-commerants
quips reste stable
La part des transactions authentifes progresse
en valeur de 27,5 % 29,7 % en montants
sur un an. Cette volution positive peut ainsi
expliquer la diminution du taux de fraude sur
Internet en2013.
Pour autant, le taux de e-commerants quips
en dispositif dauthentifcation renforce reste
pour sa part stable autour de 43% ce qui peut
13
6 Cf. le chapitre 4 du prsent rapport sur la protection des donnes personnelles dans le cadre des dispositifs de lutte contre la fraude.
7 Cf. chapitre 4 du rapport2011 portefeuille lectronique et paiement par carte.
Graphique 3
Taux des paiements 3D-Secure (en valeur)
(en%)
0
Avril
2011
Oct.
17,90
23,00
24,90
25,54
27,47 27,75
Avril
2012
Oct. Avril
2013
Oct. Avril
2014
5
10
15
20
25
35
30
29,72
tre considr comme insufsant au regard de
la lutte contre la fraude.
2| Les actions menes
par lObservatoire
et la Banque de France
pour sensibiliser
les e-commerants
au renforcement de la scurit
des paiements sur Internet
La Banque de France et le Groupement des Cartes
Bancaires ont poursuivi les actions inities en2013,
sous lgide de lObservatoire, notamment au travers
de rencontres bilatrales avec les e-commerants qui
connaissent un montant et/ou un taux de fraude
particulirement lev.
Cette dmarche est destine sensibiliser les
e-commerants et leurs prestataires de services
de paiement la question de la fraude en vente
distance et dfnir des plans daction visant
diminuer le taux de fraude, notamment en dployant
lauthentifcation renforce du porteur pour les
paiements les plus risqus.
Il ressort de ces rencontres les conclusions suivantes:
Au-del de son impact fnancier, la fraude
aux paiements par Internet porte prjudice au
dveloppement du e-commerce dans son ensemble
en raison dune part, des rpercussions en termes
dimage et de confance auprs des internautes et,
dautre part, de la crainte pour les professionnels
de voir leur activit fragilise en cas dattaque
organise et de compromission massive de donnes
de paiement. La lutte contre la fraude est ainsi
considre comme un enjeu stratgique.
Les e-commerants rencontrs et subissant un
taux de fraude lev se sont engags dployer la
scurisation des paiements par lauthentifcation
renforce des porteurs, a minima pour les transactions
juges les plus risques. Lidentification des
transactions les plus risques est le plus souvent
rendue possible par lutilisation doutils dits de
scoring
6
des transactions.
Les e-commerants ayant subi des pics de
fraude importants ont reconnu lefcacit de
lauthentifcation renforce des porteurs, notamment
lorsque celle-ci est dclenche sur la base dune
approche par les risques.
Les e-commerants ont par ailleurs soulign trois
pistes dvolution qui permettraient de renforcer
la lutte contre la fraude aux paiements par carte
sur Internet.
Les difcults rencontres dans la mise en uvre
de lauthentifcation renforce via SMS sur les
nouveaux canaux de vente comme le canal mobile
(smartphone) rendent souhaitable lmergence de
nouvelles solutions dauthentifcation pouvant
tre dployes sur lensemble des canaux de vente.
Dans lattente de ces nouveaux dispositifs, les
e-commerants indiquent que les solutions de
portefeuille lectronique rpondent, sous certaines
conditions
7
, au besoin de scurisation du canal
mobile.
Le recours par les metteurs des modes
dauthentifcation non renforce (par exemple
une authentifcation par mot de passe statique tel
que la date de naissance), gnralement pour des
transactions de faible montant, peut tre lorigine
de certaines fraudes. Bien que cette pratique prserve
la garantie du paiement pour le-commerant en cas
de fraude, lidentifcation du type dauthentifcation
14
dans les messages vhiculs au sein des systmes
de paiement permettrait cependant damliorer
la fabilit des systmes danalyse de transactions.
Enfn, certains e-commerants ont rappel
8
la
problmatique rencontre dans certains secteurs
au regard des cartes prpayes anonymes et ont
ritr leur souhait de pouvoir les identifer afn
de renforcer la vigilance sur ces dernires.
3| Conclusion
La dernire collecte statistique ralise par
lObservatoire auprs des tablissements bancaires et
de leurs prestataires techniques montre une baisse
signifcative du taux de fraude sur les paiements
par carte sur Internet, qui peut sexpliquer par
la progression de la proportion en montant des
paiements scuriss par une authentifcation
renforce.
Constatant dune part que le taux dchec sur
les paiements authentifs ne constitue plus un
frein la mise en uvre de lauthentifcation
renforce et que dautre part le taux de fraude sur
les paiements par Internet demeure un niveau
prs de vingtfois suprieur celui des paiements de
proximit, lObservatoire appelle lensemble des
acteurs du paiement poursuivre le renforcement
de la scurit des paiements par Internet.
Avec seulement 43% des sites e-commerce quips,
lObservatoire considre que la gnralisation des
dispositifs dauthentifcation renforce auprs des
e-commerants reste dans ce contexte une priorit
qui sinscrit dsormais dans le cadre europen
avec la mise en uvre dici au 1
er
fvrier2015
des recommandations du forum europen sur la
scurit des moyens de paiement SecuRePay visant
la gnralisation de lauthentifcation renforce du
porteur pour les paiements sur Internet chaque
fois que cela est possible et pertinent.
8 Cf. chapitre 1 du rapport2012 tat des lieux de la scurisation des paiements par carte sur Internet.
15
CHAPITRE 2
15
Statistiques de fraude pour2013
Encadr 1
Statistiques de fraude : les contributeurs
An dassurer la qualit et la reprsentativit des statistiques de fraude, lObservatoire recueille les donnes
de lensemble des metteurs de cartes de type interbancaire ou privatif .
Les statistiques calcules par lObservatoire portent ainsisur:
532,2milliards deuros de transactions ralises en France et ltranger au moyen de 68,4millions
de cartes de type interbancaire mises en France (dont 1,87million de porte-monnaie lectroniques et
20,2millions de cartes sanscontact) ;
17milliards deuros de transactions ralises (principalement en France) avec 17,1millions de cartes de
type privatif mises enFrance ;
37,3milliards deuros de transactions ralises en France avec des cartes de paiement de types interbancaire
et privatif trangres.
Les donnes recueilliesproviennent:
de 10 metteurs de cartes privatives: American Express, Banque Accord, BNP Paribas Personal Finance, Crdit Agricole
Consumer Finance (Finaref et Sonco), Codis, Conoga, Diners Club, Frannance, JCB et UnionPayInternational ;
des 130 membres du Groupement des Cartes Bancaires CB . Les donnes ont t obtenues par
lintermdiaire de ce dernier, ainsi que de MasterCard et de Visa EuropeFrance ;
des metteurs du porte-monnaie lectroniqueMoneo.
Depuis2003, lObservatoire tablit des statistiques
de fraude sur les cartes de paiement de type
interbancaire et de type privatif , sur la base
de donnes recueillies auprs des metteurs et des
accepteurs. Ce recensement statistique suit une
dfnition et une typologie harmonises, tablies
ds la premire anne de fonctionnement de
lObservatoire et reprises en annexe6 du prsent
rapport. Une synthse des statistiques pour2013 est
prsente ci-aprs. Elle comporte une vue gnrale
de lvolution de la fraude, selon le type de carte
( interbancaire ou privatif ), le type de transaction
efectu (transactions nationales ou internationales,
transactions de proximit ou distance, transactions
de paiement ou de retrait) et lorigine de la fraude
(carte perdue ou vole, carte non parvenue, carte
altre ou contrefaite, numro de carte usurp).
Encomplment, une srie dindicateurs dtaills
est prsente dans lannexe5 de cerapport.
On notera galement que la Banque centrale
europenne a publi le 25 fvrier 2014 le
troisimerapport
1
de lEurosystme sur la fraude
aux cartes de paiement au sein de lUnion europenne,
couvrant les exercices2008 2012.
Si, dans lensemble, les mthodologies retenues
respectivement par lObservatoire et par lEurosystme
sont trs proches lune de lautre, il importe tout
de mme de prciser, dans loptique de lexamen
1 Rapport disponible en anglais sur le site de la BCE : http://www.ecb.europa.eu/pub/pdf/other/cardfraudreport201402en.pdf]
16
STATISTIQUES DE FRAUDE POUR 2013
Graphique 2
volution du montant de la fraude
(en millions deuros)
0
100
200
300
400
500
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
245,2
273,7
241,6 235,9
252,6
268,5
320,2
342,4
368,9
413,2
450,7
469,9
+ 12 %
+ 7 %
+ 6 %
+ 19 %
+ 7 %
+ 8 %
+ 12 %
- 12 %
- 2 %
+ 9 % + 4 %
Source : Observatoire de la scurit des cartes de paiement
Graphique 1
volution du montant des transactions
(en milliards deuros)
299,0
318,3
345,1
368,5 395,1
430,7
464,0
477,3
498,2
533,7
561,5
586,5
+ 6 %
+ 8 %
+ 7 %
+ 7 %
+ 9 %
+ 8 %
+ 3 %
+ 4 %
+ 7 %
0
100
200
300
400
500
600
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
+ 5 %+ 4 %
Graphique 3
volution du taux de fraude
pour tous types de cartes et transactions
(en %)
0,000
0,020
0,040
0,060
0,080
0,100
0,082
0,086
0,070
0,064
0,064
0,062
0,069
0,072
0,074
0,077
0,080
0,080
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
compar des principaux indicateurs publis, les
difrences existantes entre les deuxmthodologies:
le rapport de la BCE ne tient compte que de la fraude
sur les transactions (paiements et retraits) efectues
avec des cartes mises au sein de la zoneSEPA alors
que lObservatoire intgre, en complment, la fraude
sur les transactions efectues en France laide de
cartes mises hors de la zoneSEPA ;
et, dans une moindre mesure, par le fait que
lObservatoire intgre louverture frauduleuse de
compte (ouverture dun compte en fournissant par
exemple de fausses donnes personnelles et de faux
justifcatifs de domicile) parmi les techniques de
fraude aux cartes de paiement, contrairement la
mthodologie de la BCE qui la considre comme
technique de fraude loctroi decrdit.
1| Vuedensemble
En2013, le montant total des paiements par carte
slve 586,5milliards deuros, en croissance de
4,4 % par rapport 2012. Le rythme de croissance
annuelle de lactivit est lgrement infrieur
celui de2012 (+5,2 %) ainsi qu la moyenne
des5dernires annes (+5,5 %).
Le montant total de la fraude est en augmentation
similaire (+ 4,3 % par rapport 2012) pour slever
469,9millions deuros en2013.
Compte tenu de ces lments, le taux de fraude
sur les paiements et les retraits par carte enregistr
en2013 dans les systmes franais reste stable
0,080 % pour la premire fois aprs cinq annes
conscutivesdaugmentation.
Le taux de la fraude metteur, cest--dire de
lensemble des paiements et retraits frauduleux
raliss en France et ltranger avec des cartes
mises en France stablit en2013 0,069 %, pour
un montant de fraude de 376,6millions deuros
(contre 0,065 % et 345,2millions deuros en2012).
Le taux de la fraude acqureur, cest--dire de
lensemble des paiements et retraits frauduleux raliss
en France quelle que soit lorigine gographique
de la carte
2
, est en lgre diminution. Il stablit
2 Du fait de la prise en compte nouveau des cartes mises en France dans le calcul de la fraude acqureur, et du double compte en rsultant, la somme
de la fraude metteur (376,6 millions deuros) et de la fraude acqureur (331,9millions deuros) est suprieure au montant total de la fraude (469,9millions
deuros). De mme, la moyenne des taux de fraude metteur (0,069 %) et acqureur (0,059 %) est infrieure au taux de fraude moyen (0,080 %) du fait
de la prise en compte des transactions domestiques dans le calcul des deux taux de fraude, ce type de transactions connaissant par ailleurs le taux de
fraude le moins lev (0,046 % contre 0,350 % pour les transactions internationales voirtableau2 sur la rpartition de lafraude par zone gographique).
17
en2013 0,059 %, pour un montant de fraude
de331,9millions deuros (contre 0,062 % en2012,
pour un montant de fraude de331,8millionsdeuros).
Pour autant, le nombre de cartes pour lesquelles au
moins une transaction frauduleuse a t enregistre
au cours de lanne2013 slve 861000 (+12 %
par rapport 2012).
Le montant moyen dune transaction frauduleuse
est en diminution, pour stablir 116euros
contre125euros en2012.
2| Rpartition de la fraude
par type decarte
Le taux de fraude pour les cartes de type
interbancaire stablit 0,080 % en 2013,
niveau stable par rapport 2012, aprs cinqannes
conscutives daugmentation. Le taux de fraude
pour les cartes de type privatif stablit
0,065 % en2013 (contre 0,076 % en2012), en
diminution pour la deuximeanne conscutive
aprs4annesdaugmentation.
Pour les cartes de type interbancaire , les taux de
fraude metteur et acqureur sont respectivement
de0,069 %
3
et de 0,060 %
4
(contre 0,066 %
et 0,062 % en 2012). La valeur moyenne
dune transaction frauduleuse est de 113 euros,
Pour les cartes de type privatif , les taux de fraude
metteur et acqureur stablissent respectivement
0,044 %
5
et 0,057 %
6
(contre 0,051 % et
0,068 % en2012). La valeur moyenne dune
transaction frauduleuse slve 352 euros en2013,
Tableau 2
Rpartition de la fraude par zone gographique
(taux en %, montants en millions deuros)
2009 2010 2011 2012 2013
Transactions nationales 0,033
(144,0)
0,036
(163,8)
0,044
(211,5)
0,045
(226,4)
0,046
(238,6)
Transactions internationales 0,449
(198,4)
0,423
(205,0)
0,367
(201,7)
0,380
(224,3)
0,350
(231,3)
dont metteur franais et acqureur tranger
a)
0,594
(121,6)
0,728
(54,9)
0,638
(51,0)
0,759
(62,5)
0,688
(70,2)
dont metteur franais et acqureur SEPA
0,331
(50,6)
0,255
(44,3)
0,316
(56,3)
0,366
(67,9)
dont metteur tranger
b)
et acqureur
franais
0,324
(76,8)
0,831
(64,5)
0,892
(81,3)
0,639
(78,2)
0,404
(64,1)
dont metteur SEPA et acqureur franais
0,195
(35,0)
0,122
(25,1)
0,132
(27,3)
0,135
(29,1)
Total 0,072
(342,4)
0,074
(368,9)
0,077
(413,2)
0,080
(450,7)
0,080
(469,9)
a) partir de 2010 : acqureur hors SEPA uniquement.
b) partir de 2010 : metteur hors SEPA uniquement.
3 Le taux de fraude metteur des cartes de type interbancaire est infrieur au taux de fraude moyen des cartes de mme type car ce dernier
prend en compte, en complment, les transactions ralises en France avec des cartes mises ltranger, ces dernires connaissant un taux
de fraude plus lev que celui des transactions ralises avec les cartes franaises tous paysconfondus.
4 Le taux de fraude acqureur des cartes de type interbancaire est infrieur au taux de fraude moyen des cartes de mme type car ce dernier
prend en compte, en complment, les transactions ralises ltranger avec les cartes mises en France, ces dernires connaissant un taux
de fraude plus lev que celui des transactions ralises en France toutes origines de cartes confondues. Voir galement les lments de la
note2, concernant la moyenne des taux de fraude metteur etacqureur.
5 Voir note 3 concernant les cartes de type interbancaires et qui sapplique galement aux cartes de type privatif .
6 Voir note 4 concernant les cartes de type interbancaires et qui sapplique galement aux cartes de type privatif .
Tableau 1
Rpartition de la fraude par type de carte
2009 2010 2011 2012 2013
Cartes de type
interbancaire
0,072
(324,3)
0,074
(351,5)
0,077
(394,9)
0,080
(434,4)
0,080
(455,8)
Cartes de type
privatif
0,068
(18,2)
0,080
(17,4)
0,083
(18,3)
0,076
(16,3)
0,065
(14,0)
Total 0,072
(342,4)
0,074
(368,9)
0,077
(413,2)
0,080
(450,7)
0,080
(469,9)
18
par zonegographique
Le montant de la fraude sur les transactions
internationales (231,3millions deuros en2013)
demeure un niveau lgrement infrieur celui de la
fraude sur les transactions nationales (238,6millions
deuros en2013). Au regard du montant des
oprations en jeu, le taux de fraude sur les transactions
internationales (0,350 %) reste toutefois toujours
prs de huit fois plus lev que le taux de fraude
sur les transactions nationales(0,046 %).
Les transactions internationales reprsentent ainsi un
peu plus de 11,3 % de la valeur totale des transactions
par carte mais comptent pour 49,2 % du montant
total de lafraude.
On continue observer, parmi ces transactions
internationales, une meilleure matrise de la fraude
sur les transactions ralises au sein de la zone SEPA
que sur celles ralises au sein des pays situs hors
de la zone SEPA, mme si cet cart a tendance
diminuer grce aux eforts raliss dans le monde
entier, lexception notable des tats-Unis, pour
migrer lensemble des cartes et des terminaux de
paiements vers le standard EMV et en France pour
amliorer la dtection des tentatives de fraude ciblant
spcifquement les transactions hors zoneSEPA:
le taux de fraude sur les transactions efectues
en France avec des cartes trangres mises hors
de la zone SEPA (0,404 %) est trois fois suprieur
celui des transactions efectues avec des cartes
trangres mises dans la zone SEPA(0,135 %) ;
le taux de fraude sur les transactions efectues
hors zone SEPA avec des cartes mises en France
(0,688 %), est prs de deux fois suprieur celui
des transactions efectues au sein de la zone SEPA
avec ces mmes cartes(0,366 %).
Ces rsultats rcompensent les eforts raliss depuis
plusieursannes en Europe pour migrer lensemble
des cartes et des terminaux de paiements vers le
standardEMV.
Dans ce contexte, on rappellera que Visa, MasterCard,
American Express et Discover (Diners Club
International) ont annonc en2012 un ensemble
de mesures incitatives visant encourager ladoption
du standard EMV auxtats-Unis, au plus tard
en octobre2015 (voir chapitre2|3, page20 du
rapport2012).
par type detransaction
La typologie de transaction de paiement par carte
adopte par lObservatoire distingue les paiements
de proximit et sur automate (raliss au point de
vente ou sur distributeurs de carburant, de billets
de transport) des paiements distance (raliss
sur Internet, par courrier, par tlphone/fax,etc.)
et des retraits. Pour une meilleure lisibilit, les
dveloppements qui suivent distinguent les
donnes des transactions nationales des donnes
des transactionsinternationales.
En ce qui concerne les transactions nationales
(voirtableau3), on observeque:
le taux de fraude sur les paiements de proximit
et sur automate est en diminution 0,013 %.
Cespaiements reprsentent plus de 66 % du montant
des transactions nationales, et seulement 19 % du
montant de lafraude.
Le taux de fraude sur les retraits est en augmentation
de 6 % par rapport 2012 pour stablir 0,033 %.
Cette augmentation sexplique principalement par le
nombre toujours lev de piratages de distributeurs
automatiques de billets (environ1000 en2013) et
de points de vente (environ200 en2013, soit 2fois
plus de cas quen2012) qui sont devenus des cibles
privilgies pour des rseaux de fraude organiss,
ainsi que par un nombre toujours important des
cas de vols de carte avec codeconfdentiel.
Face la confrmation de ces tendances dj observes
en2011 et en2012, lObservatoire ritre ses
conseils de prudence aux porteurs et rappelle les
bonnes pratiques suivre lors dune opration de
paiement chez un commerant ou lors dun retrait
(cf. annexe1).
le taux de fraude sur les paiements distance
est quant lui en diminution 0,269 %, tout
en demeurant vingt fois plus lev que le taux de
fraude sur les paiements de proximit. On notera en
particulier que le taux de fraude sur les paiements
19
sur Internet diminue sensiblement pour stablir
0,229 % (contre 0,290 % en2012)
7
, alors quil se
maintient un niveau plus lev pour les paiements
distance efectus par courrier ou par tlphone
(1,122 % en2013). Ces rsultats obtenus pour
les paiements sur Internet tmoignent des eforts
raliss par les metteurs et par les e-commerants
pour dployer des dispositifs tels que 3D-Secure
permettant lauthentifcation renforce du porteur
de la carte pour les paiements les plus risqus. Dans
un contexte de croissance toujours soutenue du
commerce lectronique, les paiements distance,
qui ne reprsentent que 11 % de la valeur des
transactions nationales, comptent pour 64,6 % du
montant de lafraude.
Le niveau de la fraude sur ce canal de paiement
conduit lObservatoire renouveler ses
recommandations visant au dploiement, par
les e-commerants, notamment les plus grands
dentre eux, de dispositifs tels que 3D-Secure
permettant lauthentifcation renforce du porteur
de la carte pour les paiements les plus risqus
(cf.chapitre 1 du prsentrapport).
En ce qui concerne les transactions internationales
(voir tableau 4), lObservatoire ne dispose dune
rpartition de la fraude par type de transaction
que pour les transactions ralises par des cartes
franaises ltranger.
On remarque que la fraude sur les paiements
distance auprs de e-commerants trangers raliss
avec des cartes franaises a trs fortement augment
(81,2millions deuros en2013, contre 61,6millions
deuros en2012), ce qui peut sexpliquer par
ladoption progressive par les sites de commerce en
ligne situs en France de dispositifs de scurisation
des paiements surInternet et par consquent, par
un report de la cible des fraudeurs vers les sites de
e-commerants trangers.
On constate toujours un taux de fraude sur les
paiements distance particulirement lev hors
zone SEPA (0,848 %) et une augmentation sensible
du taux de fraude sur les paiements distance raliss
avec des cartes franaises dans la zone SEPA (0,937 %
en2013, contre 0,735 % en2012). Le dploiement
de dispositifs dauthentifcation renforce, sous
limpulsion notamment des recommandations
du forum europen sur la scurit des moyens
de paiement (SecuRe Pay cf. chapitre 1) devrait
toutefois permettre dinfrmer cette tendance en
zoneSEPA.
Tableau 3
Rpartition du taux de fraude nationale par type de transaction
2009 2010 2011 2012 2013
Paiements 0,038
(123,2)
0,041
(137,3)
0,049
(177,8)
0,049
(190,0)
0,050
(199,9)
dont paiements de proximit
et sur automate
0,014
(41,0)
0,012
(36,2)
0,015
(48,1)
0,015
(51,2)
0,013
(45,8)
dont paiements distance 0,263
(82,2)
0,262
(101,1)
0,321
(129,6)
0,299
(138,8)
0,269
(154,2)
dont par courrier/tlphone 0,263
(30,3)
0,231
(27,3)
0,259
(25,4)
0,338
(29,4)
1,122
a)
(29,2)
dont sur Internet 0,263
(51,9)
0,276
(73,9)
0,341
(104,2)
0,290
(109,4)
0,229
(125,0)
Retraits 0,019
(20,8)
0,024
(26,5)
0,029
(33,7)
0,031
(36,4)
0,033
(38,6)
Total 0,033
(144,0)
0,036
(163,8)
0,044
(211,5)
0,045
(226,4)
0,046
(238,6)
a) Laugmentation trs importante, par rapport 2012, du taux de fraude sur les paiements distance effectus par courrier ou par
tlphone sexplique pour grande partie par la modication de la mthodologie utilise par le Groupement des Cartes Bancaires
pour valuer la part des transactions par courrier ou par tlphone au sein des transactions distance. Cette correction a conduit
revoir fortement la baisse leur montant, qui a t divis par 3 environ, au prot des paiements sur Internet. Elle explique galement
environ un tiers de la baisse du taux de fraude sur les paiements par Internet, les deux autres tiers de la baisse tant lis aux efforts
de lutte contre la fraude dploys par lensemble des acteurs en 2013.
7 peu prs un tiers de cette baisse est toutefois imputable un changement mthodologique ralis en 2013. Voir note du tableau3.
20
Tableau 4
Rpartition du taux de fraude internationale par type de transaction
metteur franais Acqureur tranger 2010 2011 2012 2013
Paiements 0,795 0,561 0,687 0,547
(39,8) (30,5) (37,8) (40,3)
dont paiements de proximit et sur automate 0,655 0,369 0,456 0,377
(25,8) (16,0) (19,8) (17,7)
dont paiements distance 1,310 1,320 1,551 0,848
(14,0) (14,5) (18,0) (22,6)
dont par courrier/tlphone 1,193 1,011 1,150 1,234
(3,8) (3,1) (4,0) (6,4)
dont sur Internet 1,360 1,440 1,720 0,751
(10,2) (11,4) (14,1) (16,2)
Retraits 0,596 0,800 0,904 1,054
(15,1) (20,5) (24,7) (29,9)
Total 0,728 0,638 0,759 0,688
(54,9) (51,0) (62,5) (70,2)
metteur franais Acqureur SEPA
Paiements 0,396 0,300 0,372 0,434
(49,1) (43,1) (55,3) (66,8)
dont paiements de proximit et sur automate 0,112 0,140 0,131 0,089
(9,2) (12,6) (11,7) (8,2)
dont paiements distance 0,944 0,571 0,735 0,937
(40,0) (30,5) (43,6) (58,6)
dont par courrier/tlphone 0,566 0,643 0,532 1,566
(4,0) (5,6) (6,5) (11,3)
dont sur Internet 1,021 0,557 0,788 0,856
(36,0) (24,9) (37,1) (47,3)
Retraits 0,052 0,040 0,036 0,036
(1,5) (1,2) (1,1) (1,1)
Total 0,331 0,255 0,316 0,366
(50,6) (44,3) (56,3) (67,9)
metteur tranger Acqureur franais
Paiements 0,982 1,056 0,739 0,451
(63,2) (80,7) (77,7) (63,2)
Retraits 0,103 0,042 0,033 0,051
(1,4) (0,6) (0,6) (0,9)
Total 0,831 0,892 0,639 0,404
(64,5) (81,3) (78,2) (64,1)
metteur SEPA Acqureur franais
Paiements 0,239 0,155 0,158 0,158
(33,8) (24,3) (26,6) (28,2)
Retraits 0,032 0,017 0,017 0,025
(1,2) (0,8) (0,7) (0,9)
Total 0,195 0,122 0,132 0,135
(35,0) (25,1) (27,3) (29,1)
Enfn, on remarquera une diminution de la fraude
sur les paiements de proximit et les retraits raliss
par les cartes franaises dans la zone SEPA, o
lutilisation dEMV est dsormaisgnralise.
21
Encadr 2
Fraude nationale en vente distance selon le secteurdactivit
LObservatoire a collect des donnes permettant de fournir des indications sur la segmentation
1
de la fraude
par secteur dactivit pour les paiements distance. Ces chiffres ne portent que sur les transactionsnationales.
Tableau
Ventilation de la fraude nationale sur les paiements distance par secteur dactivit
(montants en millions deuros, part en %)
Secteur Montant de fraude Part du secteur
dans la fraude
Commerce gnraliste et semi-gnraliste 32,1 21,1
Voyage, transport 31,0 20,3
Services aux particuliers 27,6 18,1
Tlphonie et communication 17,9 11,8
quipement de la maison, ameublement, bricolage 12,9 8,5
Approvisionnement dun compte, vente de particulier particulier 9,4 6,2
Produits techniques et culturels 7,1 4,7
Services aux professionnels 4,1 2,7
Alimentation 3,6 2,4
Jeu en ligne 3,4 2,3
Divers 2,5 1,6
Assurance 0,4 0,3
Sant, Beaut, Hygine 0,2 0,1
Total 152,3 100,0
Les secteurs Commerce gnraliste et semi-gnraliste, Voyage/transport, Services aux particuliers et Tlphonie
et communication reprsentent 71 % du montant de la fraude sur Internet, apparaissant ainsi comme les plus
exposs. La comparaison des taux moyens de chacun des secteurs dactivit complte cette information et permet
de constater que certains secteurs, qui comptent pour une faible part du total de la fraude, subissent toutefois une
exposition leve (Produits techniques et culturels, Jeu enligne).
On note que les taux de fraude par secteur sont tous en baisse lexception notable des secteurs Tlphonie et
communication et Jeu en ligne qui connaissent galement de manire durable des taux de fraude suprieurs la moyenne.
LObservatoire appelle ainsi les acteurs de ces deux secteurs renforcer les mesures visant lutter contre lafraude.
Graphique
Taux de fraude nationale sur les paiements distance par secteur dactivit
(en %)
V
o
y
a
g
e
, t
r
a
n
s
p
o
r
t
S
e
r
v
ic
e
s
a
u
x
p
a
r
t
ic
u
lie
r
s
C
o
m
m
e
r
c
e
g
r
a
lis
t
e

e
t
s
e
m
i-
g
r
a
lis
t
e
T
l
p
h
o
n
ie
e
t
c
o
m
m
u
n
ic
a
t
io
n
P
r
o
d
u
it
s
t
e
c
h
n
iq
u
e
s
e
t
c
u
lt
u
r
e
ls
q
u
ip
e
m
e
n
t
d
e
la
m
a
is
o
n
,
a
m
e
u
b
le
m
e
n
t
, b
r
ic
o
la
g
e
A
p
p
r
o
v
is
io
n
n
e
m
e
n
t
d
u
n
c
o
m
p
t
e
,
v
e
n
t
e
d
e
p
a
r
t
ic
u
lie
r

p
a
r
t
ic
u
lie
r
S
e
r
v
ic
e
s
a
u
x
p
r
o
f
e
s
s
io
n
n
e
ls
J
e
u
e
n
lig
n
e
A
lim
e
n
t
a
t
io
n
A
s
s
u
r
a
n
c
e
S
a
n
t
, B
e
a
u
t
, H
y
g
i
n
e
Taux de fraude 2012 Taux de fraude 2013 Taux moyen 2013 : 0,269 % Taux moyen 2012 : 0,299 %
0,000
0,100
0,200
0,300
0,400
0,500
0,600
0,800
0,700
D
iv
e
r
s
1 Cf. annexe 6 pour une description des secteurs retenus.
22
selon sonorigine
La typologie dfnie par lObservatoire distingue
les origines de fraudesuivantes:
carte perdue ou vole: le fraudeur utilise une carte
de paiement obtenue suite une perte ou unvol ;
carte non parvenue: la carte a t intercepte lors
de son envoi par lmetteur son titulairelgitime ;
carte falsife ou contrefaite: une carte de paiement
authentique est falsife par modifcation des donnes
magntiques, dembossage ou de programmation ;
une carte entirement fausse est ralise partir de
donnes recueillies par lefraudeur ;
numro de carte usurp: le numro de carte dun
porteur est relev son insu ou cr par moulinage
( laide de gnrateurs alatoires de numros de
carte) et utilis ensuite en vente distance ;
une catgorie autres , qui regroupe, en
particulier pour les cartes de type privatif , la
fraude lie louverture frauduleuse de compte
par usurpationdidentit.
Lhistogramme suivant (cf. graphique 4) indique les
volutions constates dans ce domaine au niveau
national pour lensemble des cartes de paiement (la
rpartition porte uniquement sur lespaiements).
Lorigine de fraude la plus importante (64,6 % des
montants), en lgre augmentation par rapport
2012, est celle lie aux numros de cartes
usurps, utiliss pour les paiements frauduleux
distance.
Cette volution conduit lObservatoire renouveler
sa recommandation concernant la gnralisation
des dispositifs tels que 3D-Secure permettant
lauthentifcation renforce du porteur de la carte
par lensemble dese-commerants.
La fraude lie aux pertes et vols de cartes reprsente
encore 34,2 % des paiements nationaux frauduleux,
mais elle est de nouveau en diminution (34,9 %
en2011) aprs la hausse constate en2011.
La contrefaon de cartes nest lorigine que de 0,2 %
des paiements nationaux frauduleux, en diminution
sensible (2,6 % en2011). Cette diminution sexplique
principalement par ladoption de technologies
de cartes puce par certains systmes de cartes
privatives et par le renforcement de la scurit des
cartes puce EMVexistantes
8
.
Enfn, on observe une diminution de la rubrique
autres , qui est gnralement utilise par les
systmes de carte de type privatif pour indiquer
les fraudes par ouverture frauduleuse dun compte
ou dun dossier de crdit (fausse identit) et qui
est trs signifcative pour ce type de carte (prs
de33 %).
Tableau 5
Rpartition de la fraude nationale selon son origine et par type de carte en 2013
(montants en millions deuros, part en %)
Tous types
de cartes
Cartes
de type interbancaire
Cartes
de type privatif
Montant Part Montant Part Montant Part
Carte perdue ou vole 81,7 34,2 81,0 34,6 0,6 14,7
Carte non parvenue 0,9 0,4 0,6 0,3 0,3 7,4
Carte altre ou contrefaite 0,5 0,2 0,2 0,1 0,3 6,5
Numro usurp 154,0 64,6 152,3 65,1 1,7 38,5
Autres 1,5 0,6 0,0 0,0 1,5 32,9
Total 238,6 100,0 234,1 100,0 4,4 100,0
8 Migration de la technologie dauthentification SDA Static Data Authentication vers le DDA Dynamic Data Authentication.
23
Graphique 4
Rpartition de la fraude nationale selon son origine (transactions nationales en valeur)
(en %)
Cartes perdues ou voles
Cartes non parvenues
Cartes altres ou contrefaites
Numro de carte usurp
Autres
0
20
40
60
80
100
2007
50
5
2
2
2
2
3
0
43 38 34 36 35 34
40
51
55
60 60
61
65
4 3 3 2 1 1 1
2008 2009 2010 2011 2013 2012
1
1
1
1
1
1
1
Encadr 3
Indicateurs des services de police et de gendarmerie
Pour lanne2013, les services de police et de gendarmerie enregistrent nouveau une baisse des interpellations
pour fraude la carte bancaire, faisant tat de 103personnes interpelles contre122 en 2012, 234 en2011,
235 en2010, 190 en2009 et 154 en2008. Cette diminution sexplique par la prononciation de peines
demprisonnement plus svres par la Justice ayant entrain ds n2011 une chute trs nette de lactivit
lie aux ofcines de contrefaon de cartes bancairestrangres.
Les piratages de distributeurs automatiques de billets (DAB) sont en lgre diminution avec1028piratages de
DAB en2013 (contre 1109 en2012, 634 en2011, 527 en2010, 526 en2009, 427 en2008, 411 en2007,
526 en2006, 200 en2005 et 80 en2004). ceux-ci sajoutent 188piratages lis aux points de vente
(contre91 en2012 et 30 en2011) dont 85 ciblant les terminaux de paiement(contre 60 en2012) et 103 les
distributeurs automatiques de carburant (contre 31 en2012). Ces chiffres en nette augmentation conrment
dans les faits la tendance haussire des statistiques releves par lObservatoire concernant la fraude en retraits
et paiements distance effectus hors zone SEPA avec des cartes franaises.
25
CHAPITRE 3
25
Veille technologique
1| La scurit des terminaux
de paiement
Les terminaux de paiement voluent rgulirement
au gr des changements technologiques lis par
exemple la carte de paiement utilise (notamment
le support du protocole sans contact NFC
NearField Communication qui tend se gnraliser),
lutilisation de nouveaux supports pour initier
les paiements tel le tlphone portable (utilisable
galement en mode sans contactNFC) ainsi que,
plus rcemment, au dveloppement de nouveaux
quipements transformant un tlphone portable en
terminal de paiement et permettant de rpondre la
volont de dvelopper les possibilits dacceptation
de paiements par carte dans des environnements
o le terminal de paiement traditionnel navait pas
encore russi simplanter.
Ces dernires annes, lObservatoire a analys
plusieurs de ces volutions, en particulier, sur les
rseaux dautomates de paiement (rapport2008,
chapitre3, p.36), sur les nouveaux terminaux
de paiement lgers (rapport2009, chapitre3,
p.38) et sur le mobile comme terminal de paiement
(rapport2011, chapitre3, p.31).
Le nombre de cas de compromission de terminaux
de paiement ayant fortement augment lors des
deux annes prcdentes (on relve 188piratages
lis aux points de vente en2013 contre seulement
30en2011), lObservatoire a souhait, dans le cadre
de son programme de travail2013-2014, dune
part, faire ltat des lieux de la mise en uvre des
recommandations quil avait formules prcdemment
sur la scurit des terminaux de paiement et dautre
part, actualiser ses analyses au regard de lvolution
des techniques de fraude telle que prsente dans
son rapport2012 (chapitre3, 2|, p.32).
1|1 Rappel sur les diffrents types
de terminaux de paiement
Les terminaux de paiement lectronique(TPE)
permettent un commerant dot dun point de
vente physique daccepter les paiements par carte.
Ils disposent gnralement de plusieurs interfaces
dchange avec linstrument
1
de paiement du
porteur: un coupleur de carte microprocesseur,
un lecteur de piste magntique et une antenneNFC,
lorsque le terminal supporte les paiements sans
contact, ainsi que dun clavier numrique pour
la saisie du code PIN (Personal Identifcation
Number) associ linstrument de paiement et dune
imprimante pour gnrer le reu remis au client.
Ilsafchent les informations destines au porteur
et au commerant (par exemple, le montant du
paiement et le rsultat de la demande dautorisation),
et ils assurent des fonctions de reconnaissance et
de validation de linstrument de paiement et des
fonctions de transmission des donnes de transaction
vers les serveurs de lacqureur.
Certains modles de terminaux permettent galement
d'intgrer la signature manuelle du porteur, voire
ofrent des moyens de reconnaissance biomtrique
du porteur.
On distingue gnralement deux types de terminaux
de paiement:
les TPE autonomes: il sagit dquipements
ddis aux seules oprations de paiement. Cesont
des matriels sophistiqus permettant de raliser
de nombreux contrles montiques afn de vrifer
lauthenticit de la carte et du porteur. Ils interagissent
avec la puce de linstrument de paiement et mettent
en jeu des mcanismes de contrles cryptographiques
complexes, pour indiquer si linstrument est valide
et si le porteur est bien le titulaire de celui-ci.
Ils mettent galement en uvre lensemble des
traitements montiques qui permettent de valider
un paiement, y compris en mode hors-ligne, et ils
changent directement avec les serveurs dacquisition
de ltablissement acqureur du commerant;
les TPE en mode grappe ou concentrs:
ilsagit dquipements qui assurent principalement
les fonctions dinterfaage avec linstrument
de paiement et avec le porteur, y compris les
mcanismes de contrles cryptographiques. Ils font
1 Une carte le plus frquemment ou, le cas chant, un tlphone portable.
26
VEILLE TECHNOLOGIQUE
excuter la majeure partie des autres fonctions de
scurit (parexemple, le contrle de validit de
linstrument) sur un contrleur montique distant
auquel le terminal est connect en permanence.
Ce concentrateur montique peut tre situ chez
le commerant ou chez un prestataire externe.
Le concentrateur montique efectue la liaison
avec les serveurs dacquisition de ltablissement
acqureur du commerant. Cette approche permet
de diminuer les cots et de faciliter la gestion des
changements applicatifs lorsque le commerant
dispose de plusieurs points dacceptation (par
exemple de plusieurs caisses) car ceux-ci peuvent
tre efectus de manire centralise, soit par une
mise jour sur le serveur, soit par la mise jour de
tous les terminaux, commande depuis le serveur.
Les terminaux en mode concentr sont principalement
utiliss dans le commerce de grande distribution, par
les pages dautoroute, les automates de distribution
de carburant. On notera que les solutions qui
permettent de transformer un tlphone mobile
de type smartphone en systme dacceptation de
paiements par carte peuvent en gnral tre classes
dans cette catgorie.
1|2 Rappel des principaux risques et
des mesures pouvant tre mises
en uvre pour les matriser
On se contentera ici de rappeler, tout en invitant
le lecteur consulter le chapitresur les techniques
de fraude qui fgure dans le rapport2012 de
lObservatoire (chapitre3, p.32), que les attaques
visant les terminaux de paiement peuvent tre de
type physique ou de type logique et quelles peuvent
cibler tant le terminal directement que le lien utilis
pour lchange des donnes entre le terminal et le
concentrateur montique ou bien le concentrateur
montique lui-mme.
Ces attaques visant directement les terminaux
peuvent tre mises en uvre pour:
capturer des donnes qui seront ensuite utilises
pour contrefaire des cartes de paiement ou pour
efectuer des paiements frauduleux distance;
tromper le commerant en lui faisant croire que
le paiement a t valid;
Encadr 1
Principe de fonctionnement d'un terminal autonome
Serveurs dacquisition
Systme de paiement Terminal autonome
Principe de fonctionnement des terminaux grapps ou concentrs
Serveurs dacquisition Concentrateur montique Systme de paiement
Terminaux de paiement
concentrs
27
forcer le terminal de paiement accepter un
paiement ralis avec une carte contrefaite et/ou
falsife, en rendant inoprantes les fonctions de
contrle qui auraient d conduire son refus;
modifer le montant de la transaction.
Les mesures mises en uvre pour protger les terminaux
contre les attaques physiques peuvent reposer sur:
des moyens de protection contre laccs physique
aux composants internes du terminal;
des mesures de lutte contre linjection de code
malveillant;
des mesures de protection des rseaux, en
particulier dans le cas des terminaux concentrs;
des mesures permettant dempcher la substitution
de terminaux de paiement en point de vente;
et des consignes de vigilance qui doivent tre
appliques par les porteurs et par les commerants.
Tous les systmes de paiement par carte oprant
enFrance exigent lagrment pralable des terminaux
de paiement avant que ceux-ci puissent tre utiliss par
les commerants pour accepter les paiements des cartes
mises par les participants dun systme. Cet agrment
repose sur une valuation scuritaire pralable du matriel
au regard dexigences dfnies par le gestionnaire du
systme de paiement par carte. Lvaluation vise
sassurer du respect des exigences et du niveau requis de
robustesse des mcanismes de protection implments
par le fabricant dans son modle de terminal.
1|3 tat des lieux de la mise en uvre
des prcdentes recommandations
de lObservatoire (2008 2012)
1|3|1 Processus dagrment
des terminaux
Dans le cadre du systme CB, le Groupement des
Cartes Bancaires CB dicte pour le domaine des
terminaux de paiement des rgles de recevabilit
lagrment qui comprennent entre autres:
une conformit au standard EMV Level 2
2
,
tablie par un laboratoire EMV;
une conformit au standard CB Manuel de
paiement lectronique CB qui prcise les exigences
fonctionnelles qui sappliquent aux terminaux de
paiement pour lacceptation des paiements au
standard CB;
une conformit scuritaire au standard PCI
3

PTS POI (Payment Card Industry PIN Transaction
Security Point of Interaction) dont lobjet est la
protection au sein du terminal du code PIN et des
donnes de compte du porteur.
Ces rgles sont compatibles de facto avec les rgles
dagrment des systmes de paiement par carte
internationaux.
Lagrment est prorog chaque renouvellement
des certifcations qui le sous-tendent. Dans le cas
o lune de ces certifcations, dordre scuritaire ou
fonctionnel, choit, le produit agr change de statut
et nest plus commercialisable. Des chances de fn
de vie des terminaux dploys peuvent galement
tre appliques par les gestionnaires de systmes
de paiement par carte.
Ces rgles visent sassurer que le niveau de protection
physique des terminaux de paiement agrs est
propre garantir un haut niveau de scurit pour
les donnes traites.
Elles sappliquent galement aux dispositifs
permettant de transformer un tlphone portable de
type smartphone en terminal de paiement. Dansson
rapport annuel2011, lObservatoire a men une
tude ddie cette volution du mode dacceptation
des paiements par carte, en constatant que les
smartphones tant, par essence, multiapplicatifs,
multitches et dpourvus dlments de scurit,
ils apparaissent a priori peu adapts aux requis
habituellement exigs sur les terminaux de paiement
traditionnels, ddis cette fonction. Notamment,
2 La conformit EMV Level2 couvre notamment le processus de slection de lapplication de paiement carte, et englobe galement EMV Level1,
cest--dire la conformit physique et lectrique des composants au standard.
3 Les standards PCI sont dvelopps par lorganisme PCI SSC (Payment Card Industry Security Standard Council), fond par AmericanExpress,
Discover Financial Services, JCB International, MasterCard Worldwide et Visa Inc.
28
la question de leur conformit lensemble des
exigences scuritaires PCI reste ce jour pose,
en labsence dun quipement spcifque qui leur
est adjoint (on se reportera pour plus de dtails au
rapport2011, chapitre3, p.31).
La prise en compte de ltat de lart en matire de
dveloppement, recommande prcdemment par
lObservatoire, fait bien lobjet dun point dattention
dans les processus de certifcation et dagrment. Ce
contrle repose actuellement sur des valuations
conduites par un laboratoire choisi par le fabricant du
terminal lui-mme sur la base de critres dfnis par
les gestionnaires de systmes de paiement par carte,
selon des mthodologies prcises dans les standards.
Depuis juin2013, la nouvelle version du standard
PCIPTSPOI comprend une analyse plus pousse du
code source, mme si cette tche est toujours rendue
difcile, principalement par labsence doutil efcace
permettant dautomatiser cette analyse et par les cots
importants que ncessite donc une analyse humaine.
Les standards de scurit intgrent des exigences
en matire de durcissement de la scurit des
systmes dexploitation des terminaux de paiement,
notamment en dsactivant ou en supprimant les
composants logiciels et les fonctionnalits inutiliss, et
en mettant en place des restrictions daccs certaines
donnes, comme recommand prcdemment
par lObservatoire. Toutefois, les terminaux
hbergent la fois des applications de paiement
des gestionnaires de systmes de paiement par carte
et des applications tierces dveloppes pour les
commerants, parexemple, la gestion de programmes
de fdlisation, et ces applications ne font pas partie
aujourdhui du primtre decertifcation.

La ralisation de tests rguliers incluant le systme
dexploitation et les applications embarques des
terminaux de paiement, afn dvaluer de faon continue
le niveau de scurit de lensemble et sa capacit de
rsistance des attaques, prconise prcdemment
par lObservatoire, nest actuellement pas exige par
les gestionnaires de paiement par carte dans leurs
processus dagrment et ce test nest en pratique ralis
qu loccasion de lvaluation initiale du produit.
LObservatoire note toutefois que les rgles dfnies
par les gestionnaires de systmes de paiement par
carte exigent la mise en place par le fabricant dun
processus de veille scuritaire sur lensemble des
composants du produit, et que ce processus est
valu lors de la certifcation. Chaque nouvelle
version dun produit doit par ailleurs faire lobjet
dune certifcation propre. Ces rgles permettent
donc en pratique de mesurer rgulirement le
niveau de scurit de lensemble et sa capacit de
rsistance des attaques.
LObservatoire note galement que les gestionnaires
de systmes de paiement par carte ont la possibilit de
demander aux fabricants de terminaux de procder
des contrles spcifques sur les modles agrs et, en
cas de rsultat ngatif, dengager les actions ncessaires.
1|3|2 Exploitation et maintenance
des terminaux
LObservatoire a pu constater que sa recommandation
sur la mise en uvre par les systmes de paiement
par carte et par les tablissements acqureurs dune
traabilit rigoureuse du matriel dacceptation
dploy en point de vente, navait pas t sufsamment
prise en compte. En efet, si les tablissements
acqureurs sont bien en mesure dassurer une bonne
traabilit des terminaux de paiement dont ils sont
les propritaires, par exemple lorsque le terminal
est lou au commerant, il leur est en pratique plus
difcile dassurer la qualit de cette traabilit lorsque
le terminal est la proprit du commerant ou la
proprit dun prestataire retenu par le commerant.
Fin2012, une attaque est survenue sur un modle
particulier de terminal utilis dans un contexte
de montique intgre, correspondant au modle
de terminaux concentrs. Lattaque consistait en
la substitution dun terminal, situ sur un point
de vente, par un terminal modif pralablement
par ajout dun dispositif de skimming. Celui-ci
permet lenregistrement des donnes de la piste
magntique et du code PIN, et leur transmission
distance par Bluetooth. Le recensement des
points de vente utilisant le modle de terminal
cibl par cette attaque a ncessit plus de sixmois
de dlais, en raison principalement dun dfaut
de traabilit technique des points dacceptation.
Une mise jour des protocoles montiques a t
engage par le Groupement des Cartes Bancaires
CB pour permettre la collecte de toutes les
informations ncessaires au recensement des
terminaux dploys, ycompris lorsque ceux-ci
sont relis un concentrateur.
29
Lexprience tire de cette attaque a permis de
dmontrer lefcacit des dispositifs dappairage
entre les terminaux et le reste du systme montique
(notamment la caisse). Cet appairage, qui peut
consister en une simple reconnaissance du numro
de srie du terminal par la caisse, a la vertu de limiter
les possibilits de substitution ou dinsertion de
terminaux frauduleusement modifs. Lappairage
pourrait aller jusqu la mise en uvre dune vritable
authentifcation mutuelle entre les lments du
systme, qui ncessiterait alors la mise en uvre
de certifcats.
De mme, lattaque a permis de dmontrer lintrt
de la sensibilisation des commerants et de leur
personnel la ncessit de rester tout moment
vigilants lgard de leurs matriels dacceptation.
Concernant les recommandations sur la mise jour
rgulire des systmes dexploitation des terminaux
et sur la mise en uvre des correctifs distance et
de manire scurise, lObservatoire a pu constater
que les fabricants de concentrateurs fournissaient
gnralement des solutions permettant la mise jour
des terminaux grapps partir des concentrateurs
auxquels ils sont relis.
De telles solutions ne sont pas encore disponibles
pour les terminaux autonomes, et la mise en uvre
des correctifs ncessite toujours pour ces derniers
une intervention locale sur le terminal.
Si les tablissements acqureurs sont bien en
mesure de mettre jour, distance, lesTPE dont
ils sont les propritaires, par exemple lorsque le
terminal est lou au commerant, il apparat que
ces oprations concernent principalement les
paramtres de fonctionnement du terminal et plus
rarement leurs systmes dexploitation.
1|4 Recommandations
de lObservatoire
la lumire de la tendance haussire des attaques
visant les terminaux de paiement, lObservatoire
appelle lensemble des acteurs une vigilance accrue
dans ce domaine.
LObservatoire recommande plus particulirement
que les processus dagrment des dispositifs
dacceptation par les systmes de paiement par carte
soient renforcs afn de mieux grer les terminaux
dfaillants ou en fn de vie.
LObservatoire souligne que les eforts engags pour
disposer dune meilleure traabilit des quipements,
avec pour consquence une volution attendue
des protocoles montiques mis en uvre, doivent
galement se poursuivre et aboutir dans les meilleurs
dlais car ils permettront une gestion plus rigoureuse
des parcs de terminaux dploys, quils soient la
proprit de lacqureur, du commerant ou dun
prestataire technique de ce dernier.
Dans ce contexte, lObservatoire invite les
gestionnaires de systmes de paiement par carte,
en collaboration avec les autres acteurs et notamment
les commerants, tudier la conception et la mise
en uvre de dispositifs techniques permettant aux
acqureurs ou aux metteurs de ne plus accepter
de paiements laide de terminaux non agrs ou
dont lagrment nest plus valide ou a t retir.
Enfn, lObservatoire renouvelle sa recommandation
concernant la mise jour rgulire des systmes
dexploitation des terminaux et invite tous les acteurs
concerns gnraliser les solutions permettant
la mise jour des TPE (logiciel et paramtres),
distance et de manire scurise.
2| tat des lieux des
techniques dauthentification
renforce duporteur
LObservatoire constate depuis plusieurs annes, dans
son suivi statistique, un cartimportant
4
entre les
taux de fraude observs sur les paiements de proximit
et ceux raliss en vente distance (VAD). Pour
cette raison, la scurisation des paiements par carte
en vente distance et sur Internet en particulier a
fait lobjet de plusieurs recommandations visant
renforcer lauthentifcation desporteurs.
Ainsi, la progression continue de la fraude VAD a
pouss lObservatoire recommander ds2008 un
4 Cf.le chapitre 2 du prsentrapport.
30
renforcement des mcanismes dauthentifcation
du porteur qui taient jusqualors majoritairement
fonds sur la saisie du numro de carte et du
cryptogramme visuel. Ladfnition des modalits
techniques de lauthentifcation forte (ou non
rejouable) promue a t laisse au libre choix des
systmes de paiement carte ainsi que des metteurs,
en charge de gnraliser le dispositif lensemble
desporteurs.
Dbut2014, la gnralisation de lquipement
des porteurs en dispositif dauthentifcation non
rejouable tait quasiment atteinte avec environ
93,7 % de porteursquips
5
.
Paralllement, la BCE a publi en janvier2013 un
ensemble de recommandations et bonnes pratiques
sur la scurit des paiements par Internet, issues
des travaux du forum europen sur la scurit
des paiements de dtail (forumSecuRe Pay). Ces
recommandations, en particulier celles visant
scuriser lenrlement du porteur et lquiper
dune solution dauthentification renforce
pour les paiements distance, confortent celles
de lObservatoire. La mise en uvre de ces
recommandations par tous les acteurs concerns est
attendue en Europe le 1
er
fvrier2015 au plustard.
La prsente tude vise dresser un tat des lieux
des techniques dauthentifcation renforce mises
en uvre par les systmes de paiement par carte
et metteursfranais.
2|1 Caractristiques
de lauthentification renforce
duporteur
Lauthentifcation a pour but de vrifer lidentit dont
une entit se rclame. Gnralement lauthentifcation
est prcde dune identifcation qui permet
cette entit de se faire reconnatre du systme par
un lment dont on la dot pralablement (par
exemple un identifant)
6
. Sil est ais de dfnir
lauthentifcation statique par lutilisation dun simple
mot de passe, lauthentifcation renforce fait appel
des concepts quil est ncessaire de prciser. Dans
son rapport sur la scurit des paiements par Internet,
la BCE dfnit lauthentifcationrenforce
7
par un
ensemble de procdures fondes sur lutilisation dau
moins deux des trois lments caractrisant la possession,
la connaissance ou lidentit propre dunepersonne:
lment possd par la personne (token ou jeton
dauthentifcation, carte puce, tlphone portable,etc.) ;
lment connu par la personne et elle seule (mot de
passe, identifant,etc.) ;
lment constitutif de lidentit de la personne
(empreinte biomtrique,etc.).
Ces trois lments doivent tre indpendants dans le
sens o la compromission de lun ne doit pas entraner
la compromission de lautre. En outre, lun de ces
trois facteurs au moins doit tre non rejouable et non
reproductible (except pour labiomtrie).
Ainsi, lutilisation en proximit de la carte puce
assortie de la saisie dun PIN (Personal Identifcation
Number) pour valider un paiement correspond bien
la dfnition de lauthentifcation renforce. Les
chapitres suivants visent prsenter un inventaire
des principales solutions dauthentifcation renforce
utilises dans le cadre des paiements distance,
dabord sur Internet en rgle gnrale, puis plus
spcifquement lors dun paiement efectu depuis
un mobile et enfn par courrier ou au moment
dune commande passe au tlphone auprs
dunoprateur.
2|2 Authentification renforce
du porteur lors dun paiement
Internettraditionnel
Lauthentifcation renforce du porteur constitue
un maillon essentiel du dispositif de lutte contre la
fraude aux paiements par carte, lui-mme plus large
et permettant ainsi de lutter plus efcacement contre
les tentatives dinitiations doprations de paiement
frauduleuses. Ce chapitre vise dresser un tat des
lieux des principales techniques dauthentifcation
renforce utilises dans le cadre dun paiement
5 Collecte statistiques 3D-Secure , novembre2013 fin avril2014.
6 Dfinition ANSSI(http://www.securite-informatique.gouv.fr/gp_rubrique33.html).
7 Strong customerauthentication.
31
par Internet traditionnel, correspondant un
usage dInternet depuis un ordinateur. Chaque
metteur tant libre de ses choix de dispositifs
dauthentifcation, divers types de solutions ont t
dploys en fonction des tablissements metteurs
ainsi que de la typologie declientle.
2|2|1 Le SMSOTP
La scurisation des transactions par lenvoi dun
SMS contenant un code non rejouable sur le
mobile du porteur (SMSOTP
8
) est la solution
dauthentifcation renforce la plus utilise par
les metteurs du march franais, en particulier
travers le protocole de scurisation des paiements
3D-Secure . Si, ce jour, les dploiements sont
dans les faits achevs, leur utilisation efective par
les metteurs a pu prendre plus de temps, en raison
dune ncessaire fabilisation des numros de mobile
enregistrs dans leurs bases dedonnes.
Si ce dispositif permet de rpondre au besoin
dauthentifcation renforce du porteur, il prsente
nanmoins plusieurs faiblesses en termes de scurit:
le canal de communication utilis lors de lenvoi
du SMS nest passcuris
9
, la prsence dun
logiciel malveillant install sur le tlphone peut
compromettre la scurit du dispositif et enfn la
possibilit, sous certaines conditions, de dsactiver la
carte SIM du porteur lgitime et dactiver une carte
SIM difrente mais pointant sur le mme numro
peut faciliter la ralisation doprationsfrauduleuses.
Des mesures existent toutefois afn de pallier ces
limites. En premier lieu, il est ncessaire de rappeler
que lutilisation dun dispositif dauthentifcation par
SMS OTP sinscrit dans un mcanisme plus global
de lutte contre la fraude. En particulier, les outils
de gestion de risque et de scoring des transactions
mis en place par les systmes de paiement par
carte, les metteurs ou encore les commerants,
comme les contrles efectus par les metteurs
lors dune demande dautorisation, viennent
complter lauthentifcation renforce du porteur
et participent la dtection de transactions dorigine
frauduleuse. Ensuite, sagissant de la problmatique
des logiciels malveillants, lenvironnement technique
des tlphones mobiles continue dvoluer pour
ofrir des fonctionnalits amliorant leur scurit,
notamment travers la scurisation des systmes
dexploitation mobiles afn de prvenir lexcution
dapplications malveillantes non autorises. Ilest
ce titre ncessaire que les progrs raliss dans ce
domaine se poursuivent. Enfn, en ce qui concerne
la lutte contre la dsactivation illgitime dune carte
SIM, un renforcement des procdures existantes
a t mis en place par les oprateurs de tlphonie
mobile mais les eforts doivent tre intensifs afn
de rendre ces mesures plusefcaces.
Fort de ces constats, il semble important que
lObservatoire reste vigilant quant la scurit de
ce moyen dauthentifcation renforce du porteur,
dont lefcacit nest toutefois pas remise en cause
cejour.
Par ailleurs, lusage du SMS OTP savre
paradoxalement peu adapt aux paiements raliss
depuis un tlphone mobile, supprimant de fait la
scurisation de la transaction par lusage de deux
canaux de communication distincts, mais galement
par le manque dergonomie entre la rception dun
SMS et le processus de paiement sur mobile, quil
soit ralis au moyen dun navigateur ou dune
applicationmobile
10
.
2|2|2 La carte virtuelledynamique
La carte virtuelle dynamique (CVD) permet un
porteur de ne pas saisir son vritable numro de
carte lors dun paiement sur Internet. Pour ce faire,
8 One-timepassword.
9 Absence de chiffrement des donnes transmises par SMS permettant une interception des donnes enclair.
10 Il convient cependant de souligner lutilit du canal SMS lorsquil sagit dinformer en temps rel le porteur doprations atypiques (transaction
l'tranger, de montant lev,etc.) et ainsi lui permettre de faire opposition rapidement en cas doprationfrauduleuse.
32
un environnement ddi, gnralement accessible
depuis la banque en ligne du porteur, lui permet de
gnrer un ensemble de codesuniques
11
et valables
pour une seule transaction quil pourra saisir la
place des donnes prsentes sur le support physique
de sa carte. Laccs au code dynamique ntant pas
ralis sur un canal de communication distinct,
il est ncessaire que laccs lenvironnement de
gnration de lOTP soit lui-mme scuris par
une authentifcation renforce. Par consquent,
la CVD ne peut tre considre comme dispositif
dauthentifcation renforce que si laccs au dispositif
est bien protg par une authentifcationrenforce.
2|2|3 Le lecteur de carte physique
pour gnrer unOTP
Le mini-lecteur autonome de cartes de paiement
permet la gnration dun code usage unique en
insrant la carte dans celui-ci et en sauthentifant
par la saisie de son code PIN. Ce dispositif prsente
lavantage dun niveau descurit
12
proche de celui
des paiements de proximit, ce qui le place parmi
les dispositifs dauthentifcation renforce les plus
dploys parmi les principaux metteurs de cartes
aprs le SMS OTP. En raison du cot du terminal
ainsi que des contraintes lies au dploiement
dune solution matrielle, ce type de solution
est privilgi sur certaines typologies de porteurs
(professionnels, porteurs ne souhaitant pas utiliser
le SMS OTP,etc.).
Un second type de lecteur de carte
cettefois-ciconnect
13
lordinateur personnel
du porteur est galement dploy dans certains
pays. Il permet de valider un paiement via une
application ddie installe sur le poste de lutilisateur.
Ce type de solution a dj fait lobjet dune large
tentative de dploiement sur le march franais
mais sanssuccs.
2|2|4 Cartes quipes de fonctions
daffchage (displaycard)
Les avances technologiques dans la miniaturisation
de certains composants ont permis aux fabricants
de cartes dy intgrer une zone dafchage et un
clavier numrique permettant une interaction avec
son porteur. Lors dun paiement authentifer et
comme vu dans le dispositif prcdent, le porteur
sera invit saisir un code confdentiel sur sa carte,
ce qui lui permettra dobtenir un code usage
unique quil pourra renseigner dans la page de
validation du paiement. Ce dispositif, dj ofert
par certaines banques ltranger, fait actuellement
lobjet de pilotes en France. Ilprsente lavantage
de ne pas avoir quiper le porteur dun dispositif
matriel supplmentaire et bnfcie dun niveau
de scurit quivalent celui dun lecteur de carte
gnrateur dOTP (ou dun jeton dauthentifcation,
voirci-aprs).
2|2|5 Le jeton dauthentifcation(token)
11 PAN (Primary Account Number ou numro de la carte de paiement), date de validit de la carte et cryptogrammevisuel.
12 En particulier du fait de la certification exige sur les lecteurs de carte.
13 Gnralement au moyen dune connexion de typeUSB.
33
Le jeton dauthentification est un dispositif
matriel de la taille dune cl USB permettant de
gnrer un code usage unique, le plus souvent
synchronis avec un serveur dauthentifcation
distant et changeant au bout dun laps de temps
donn (par exemple 60 secondes). Ce code est
ensuite saisi sur la page dauthentifcation lors du
processus de paiement par carte. Des dispositifs
de type mini-calculette existent galement et
permettent dajouter un clavier numrique. Celui-ci
permet une interaction supplmentaire: un code
usage unique valide ne peut tre obtenu quaprs
avoir tap un code confdentiel connu seulement
du porteur du dispositif. Alternativement et en
fonction du dispositif concern, lors de ltape
dauthentifcation lie un paiement, le serveur
distant peut aussi prsenter un nombre alatoire
quil sera ncessaire de saisir afn dobtenir un
code usage unique en retour. De faon similaire
au lecteur de carte physique, ces dispositifs sont
dploys en tant que solution complmentaire par
les principaux metteurs, en ciblant par exemple
certaines catgories de leursporteurs.
du porteur lors
dun paiementmobile
Le dveloppement de lInternet sansfl
14
etmobile
15

a favoris lusage de nouveaux terminaux adapts des
environnements de mobilit comme les tablettes ou
les tlphones mobiles volus, de typesmartphones.
Dans ce contexte, les solutions dauthentifcation
renforce utilises sur le canal Internet traditionnel
soit ne sont plus adaptes, soit sont confrontes
des problmatiques dergonomie. Lerecours au
SMS OTP peut crer par ailleurs une faiblesse dun
point de vue scuritaire dans le cas dun paiement
mobile. En efet, pour un paiement efectu
partir dun ordinateur personnel reli Internet, la
phase dauthentifcation repose sur un second canal
utilis, celui du rseau du tlphone mobile, ce qui
renforce la scurit de lensemble. Ce nest plus le
cas ds que le paiement et ltape dauthentifcation
ont lieu sur le mmequipement.
De nouvelles solutions apparaissent afin de
rpondre aux exigences du canal mobile.
cetitre, il convient de mentionner lessor des
portefeuilleslectroniques
16
permettant de rpondre
notamment aux problmatiques dergonomie
propres au canal mobile puisque lenregistrement
des donnes sensibles de paiement est ralis une
seulefois lors de ltape denrlement, vitant ainsi
au porteur la saisie des coordonnes de sa carte de
paiement sur un terminal nonscuris.
Le niveau de scurit de ces dispositifs a fait lobjet
de recommandations parlObservatoire
17
et plus
rcemment par le forum europen SecuRePay
18
.
Ainsi, ces recommandations portent sur le recours,
par le gestionnaire du portefeuille lectronique,
une authentifcation renforce du porteur par
lmetteur de la carte de paiement au moment
de lenrlement des donnes de celle-ci au sein
du portefeuille lectronique. Legestionnaire du
portefeuille lectronique doit galement mettre
en uvre une analyse de risques conduisant au
dclenchement dune authentifcation renforce
pour les paiements considrs comme risqus. Les
portefeuilles lectroniques respectant a minima ces
deux recommandations sont mme de protger
efcacement les paiements efectus surmobile.
Dautres solutions innovantes, actuellement en phase
pilote, apparaissent pour scuriser les paiements
efectus depuis un tlphone mobile. Lune dentre
elles consiste par exemple enregistrer les donnes
personnelles et de paiement dans un portefeuille
lectronique, puis initier les paiements par la lecture
au moyen de son smartphone dun QRcode
19
afch
sur le terminal de paiement lectronique (TPE)
habituel du commerant. Lutilisateur visualise
alors le montant payer sur son smartphone, valide
celui-ci et dclenche la saisie dun code secret sur le
TPE du commerant. Cette solution, reposant sur
deux facteurs didentifcation et deux canaux distincts
rpond aux critres de lauthentifcationrenforce.
14 De type Wifi public oupriv.
15 De type GPRS, 3G, 4G,etc.
16 Solutions ayant fait lobjet dune tude dans le rapport2011 delObservatoire.
17 Cf.rapport2011, chapitre 3, 2|: Portefeuille lectronique et paiement parcarte .
18 https://www.ecb.europa.eu/pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinalversionafterpc201301en.pdf
19 Quick response code: code base en deux dimensions permettant de stocker des informations en vue dinitier, notamment, des oprations de paiement.
34
Il existe galement des initiatives qui visent
intgrer au sein des smartphones de dernire
gnration des dispositifs dauthentification
biomtrique, reposant notamment sur la lecture
dempreinte digitale
20
. La difusion de cette
fonctionnalit pourrait lavenir jouer un rle
dans la scurisation des paiements mobiles, dans la
mesure o les dispositifs dauthentifcation retenus
savreraient particulirement robustes dun point
de vue scuritaire et ne pourraient tre aisment
contourns par lexploitation de failles de scurit
du dispositif biomtrique ou des composants
priphriques qui lui sont attachs. Lamise en
place de processus dvaluation et de certifcation
scuritaires de ces lments pourrait uvrer en cesens.
Enfn, il convient de mentionner lexistence de
tlphones mobiles quips dlments de scurit
spcifques embarqus (appels secure elements ),
permettant ainsi disoler les fonctionnalits de
paiement du reste des applications mobiles. Ces
solutions, bien que ne faisant pas lobjet dun
dploiement important en raison de leur cot de
mise en uvre, sont oprationnelles et utilises
dans des secteurs dactivit requrant un haut
niveau de scurisation des changes par le canal
du tlphonemobile.
sur le canalMO/TO
En raison du dveloppement soutenu du commerce
par Internet, le paiement carte par courrier ou
tlphone (Mail Order/Telephone Order MO/TO)
est en diminution sensible. Cependant, ces deux
canaux demeurent toujours utiliss dans certaines
situations (coupons papiers, abonnements,etc.) et
peuvent donc constituer une cible pour les fraudeurs,
avec le risque de voir une partie de la fraude se
dplacer du canal Internet, aujourdhui mieux
scuris, vers ces canaux de vente plustraditionnels.
ce jour, le paiement carte par courrier reste difcile
scuriser, car il est peu adapt ce canal. Pour les
paiements raliss par tlphone, lauthentifcation
du porteur par la gnration dun code usage
unique est envisageable et vient renforcer lanalyse
produite par des outils de scoring des transactions
chez le commerant, largement utiliss pour la
vente distance surInternet
21
. Pareillement, des
mcanismes connus de protection des donnes
sensibles du paiement par carte sont mis en place
au niveau des commerants afn de les protger
contre le risque de vol de cesdonnes.
Par ailleurs, le dveloppement des portefeuilles
lectroniques pourrait galement bnfcier
la scurisation des paiements par carte raliss
par tlphone. Les donnes sensibles lies au
paiement tant dj enregistres dans le portefeuille
lectronique, le payeur na plus qu communiquer
son identifant (gnralement son numro de
tlphone), puis valider la demande de paiement
dans une application mobile ou par pushSMS
22
.
Ainsi, le commerant ne voit plus circuler les
donnes sensibles depaiement.
3| Conclusion
Le secteur de la vente distance connaissant un taux
de fraude prs de vingtfois suprieur celui des
paiements de proximit, les eforts en matire de lutte
contre la fraude doivent tre poursuivis, notamment
en renforant lauthentification du porteur,
conformment aux recommandations formules par
lObservatoire depuis2008. Lesmetteurs demeurant
libres du choix des dispositifs mettre en place,
lObservatoire constate quun ensemble diversif
de solutions, tant en termes de fonctionnalits
que de robustesse face aux attaques de scurit,
est propos sur lemarch.
20 On peut aussi mentionner les solutions ltude reposant sur une authentification du porteur dun portefeuille lectronique par savoix.
21 Cf.rapport2009 de lOSCP, chapitre 3|2 sur la scurit des paiements par courrier ettlphone.
22 Push SMS: lutilisateur valide son paiement en rpondant au SMS reu et non par la saisie externe de lOTP.
35
Parmi ces dispositifs, lenvoi dun code non rejouable
par SMS sur un tlphone mobile, ou smartphone,
est aujourdhui la solution la plus utilise en France.
Si, dun point de vue scuritaire, lefcacit de
cette solution nest pas ce jour remise en cause,
lObservatoire considre cependant que les progrs
en termes de scurisation du smartphone en tant
que support dauthentifcation non rejouable
doivent tre poursuivis afn de se prmunir contre
des attaques dcoulant de la prsence de logiciels
malveillants. Ilconviendra galement de renforcer
les procdures visant empcher les fraudeurs de
dsactiver la carte SIM du porteur lgitime et dactiver
une SIM difrente pointant sur le mme numro,
ce qui peut conduire la ralisation doprations
frauduleuses. Fort de ces constats, lObservatoire
restera vigilant quant la scurit de ce dispositif
dauthentifcation renforce duporteur.
Plusieurs autres solutions existent et permettent
un renforcement de lauthentifcation du porteur
lors dun paiement par carte sur Internet. Les cartes
virtuelles dynamiques peuvent par exemple remplir
cette fonction, condition que laccs au dispositif
de gnration des codes uniques utilisables en ligne
soit bien protg par une authentifcation renforce.
LObservatoire constate galement le dploiement
efectif de solutions reposant: sur un lecteur de
carte physique pouvant gnrer des codes usage
unique suite linsertion dune carte de paiement,
sur des cartes de paiement intgrant directement un
cran miniaturis permettant dafcher de tels codes,
ou encore sur des jetons (tokens) dauthentifcation
autonomes prsentant une fonctionsimilaire.
Lessor du paiement en ligne efectu depuis un
smartphone connect Internet pose cependant la
question des dispositifs les plus adapts ce mode
de fonctionnement. Si les solutions reposant sur
lenvoi dun SMS apparaissent dans ce contexte
peu ergonomiques, lObservatoire constate que
le dveloppement des portefeuilles lectroniques
constitue une solution possible ce problme.
Leniveau de scurit de ces dispositifs a fait lobjet
de recommandations par lObservatoire dans son
rapport2011 et plus rcemment par le forum
europen SecuRe Pay, en 2012. Elles portent
ainsi sur une authentification renforce du
porteur par lmetteur de la carte de paiement au
moment de lenrlement des donnes de celle-ci
au sein du portefeuille lectronique et sur le
dclenchement dune authentifcation renforce
pour les paiements considrs comme risqus.
Lesportefeuilles lectroniques respectant a minima
ces deux recommandations sont mme de protger
efcacement les paiements efectus surmobile.
Enfn, lObservatoire note que les rcentes volutions
technologiques visant intgrer des dispositifs
biomtriques sur les smartphones pourraient tre
de nature renforcer la scurit des oprations de
paiement mobile. Ilapparat toutefois ncessaire
que les dispositifs dauthentifcation mis en uvre
sur le smartphone soient particulirement robustes.
Dans cette perspective, la mise en place de processus
dvaluation et de certifcation des composants
biomtriques utiliss devrait favoriser le dploiement
grande chelle de tels dispositifs pour un usage
enpaiement.
37
CHAPITRE 4
37
Si dans le domaine du paiement par carte
enproximit, lutilisation de la carte puce au
standard EMV permet notamment dassurer
lauthentifcation du porteur de manire renforce,
il nenest pas de mme pour les paiements par
carte distance qui peuvent tre initis avec un
nombre limit dinformations (numro de carte,
date dexpiration et cryptogramme visuel
1
), les
rendant ainsi particulirement exposs la fraude.
Le dveloppement rapide des paiements par carte
distance a ainsi cr de nouveaux besoins entermes
de lutte contre la fraude, incitant le dveloppement
doutils visant identifer les comportements
frauduleux et permettre aux commerants
dauthentifer le porteur de manire renforce au
travers de leur prestataire de services de paiement,
par exemple par un dispositif tel que 3D-Secure,
chaque fois que cela est possible et pertinent.
Dans ce contexte, les donnes caractre personnel
sont devenues un enjeu crucial pour les acteurs de la
lutte contre la fraude qui les utilisent afn dvaluer le
niveau de risque dun paiement par carte distance et
procder si besoin des vrifcations supplmentaires
(comme par exemple lauthentifcation renforce
du porteur) ou s'ils sont habilits le faire, refuser
la transaction encas de risque jug trop lev.
Le recours des traitements utilisant ces donnes,
fussent-ils pour lutter contre la fraude, est encadr
par la loi Informatique et liberts, dont la bonne
application est garantie par la Commission nationale
de l'informatique et des liberts(CNIL).
Dans un contexte dvolution rapide des technologies
relatives la lutte contre la fraude distance, lObservatoire
a souhait comprendre les dfs de la rglementation
applicable enmatire de traitement de donnes caractre
personnel dans le cadre de la lutte contre la fraude.
Aprs avoir rappel la dfnition et le primtre
des donnes concernes, la prsente tude propose
de faire un point sur les pratiques enmatire de
traitement de lutte contre la fraude, les dispositions
rglementaires actuelles les encadrant ainsi que sur
les perspectives dvolution. Il convient de noter que
bienque cette problmatique de la protection des
donnes personnelles dans le cadre des traitements
de lutte contre la fraude porte dans la prsente
tude sur les paiements par carte, elle sapplique de
manire gnrale aux autres moyens de paiement.
1| La protection des donnes
caractre personnel:
une prise encompte ncessaire
dans les dispositifs de lutte
contre la fraude
Les dispositifs de lutte contre la fraude ont pour principal
objectif de sassurer que lopration de paiement a bient
initie et valide par le porteur lgitime de la carte.
En France, et plus gnralement en Europe,
lutilisation de la carte puce au standard EMV
permet dassurer une authentifcation renforce du
porteur enproximit, garantissant un niveau de
fraude trs faible sur ce canal (0,013% en2013).
Enlabsence dun dispositif similaire pour les
paiements par carte distance, la collecte et
lexploitation de donnes dites caractre personnel,
c'est--dire qui permettent didentifer une personne
physique
2
, sont devenues un vritable enjeu pour
les acteurs de la lutte contre la fraude.
Protection des donnes personnelles
dans le cadre des traitements
de lutte contre la fraude
1 Connu aussi sous le terme CVX2.
2 Le lgislateur a dfini la notion de donne caractre personnel comme toute information relative une personne physique identifie ou qui
peut tre identifie, directement ou indirectement, par rfrence un numro didentification ou un ou plusieurs lments qui lui sont propres.
Pour dterminer si une personne est identifiable, il convient de considrer lensemble des moyens envue de permettre son identification dont
dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne.
38
PROTECTION DES DONNES PERSONNELLES DANS LE CADRE DES TRAITEMENTS DE LUTTE CONTRE LA FRAUDE
Ainsi, grce notamment aux volutions
technologiques, ces derniers ont la possibilit dlargir
le nombre et la nature des donnes caractre
personnel collectes lors dune transaction sur
Internet afn de vrifer la cohrence entre ces
donnes et augmenter le degr de certitude quant
la personne initiant la transaction de paiement.
1|1 Les acteurs de la lutte
contre la fraude
Un paiement par carte fait intervenir de
nombreuxacteurs jouant chacun un rle dans les
dispositifs de lutte contre la fraude selon la nature
des informations dont ils disposent et selon leur
positionnement dans la chane du paiement.
Les principaux acteurs sont les suivants:
Lmetteur de la carte de paiement dispose par
nature du champ le plus large de donnes sur
lutilisation de la carte par le porteur. Il est par
ailleurs responsable des dispositifs de scurit relatifs
linstrument de paiement dlivr au porteur,
notamment ence qui concerne lauthentifcation
renforce pour les paiements par carte sur Internet.
Il dispose nanmoins dune connaissance trs limite
sur la nature de lachat ralis par son porteur auprs
du commerant.
Lacqureur des ordres de paiement est encharge
du traitement des oprations de paiement par
carte pour le compte de laccepteur (commerant).
Ildispose parnature dune connaissance limite
du porteur mais peut construire des outils de
lutte contre la fraude sur la base de lensemble
des transactions traites en tant quacqureur
(parexemple enempchant lutilisation auprs
dun commerant dune carte ayant dj fait
lobjet dune fraude auprs dun autre commerant
dont il a la charge
3
).
Laccepteur, savoir le commerant, dispose
essentiellement des informations relatives lachat
ralis (nature du bienpar exemple, mode de
livraison, etc.) et le cas chant des informations
relatives au client lui-mme lorsque celui-ci est
djconnu.
Les systmes de paiement par carte qui ont la vision la
plus transversale de lensemble des oprations de paiement
ralises par les porteurs et/ou auprs des commerants
aflis au systme de paiement. cetitre, ils ralisent
des traitements de lutte contre la fraude destination
de leurs adhrents(metteurs et/ou acqureurs).
Les prestataires techniques spcialiss, qui peuvent
se voir confer des traitements de lutte contre la fraude
par chacun des acteurs prcdents, apportant ainsi
une expertise et une mutualisation de traitements
des acteurs souhaitant dlguer cette fonction.
Dautres acteurs indirectement lis la chane de
paiement contribuent galement aux dispositifs de
lutte contre la fraude.
Les autorits judiciaires et de police ont encharge
les enqutes et les poursuites encas de fraude avre
et peuvent avoir besoin le cas chant daccder et
de conserver les difrentes donnes collectes par
chacun des acteurs cits prcdemment par voie
de rquisitions judiciaires.
Les socits de logistique, en particulier les
transporteurs de marchandises, peuvent galement
disposer dinformations utiles la fois sur les points
de distribution centraliss comme sur ladresse
physique de livraison dun bienachet sur Internet,
permettant le cas chant aux commerants enligne
damliorer la qualit des informations collectes
lors des traitements de lutte contre la fraude.
Enfn, le porteur de la carte est un acteur cl dans la
scurit du dispositif, enveillant notamment conserver
son code personnel confdentiel et enprotgeant les
donnes de sa carte. Il peut enoutre jouer un rle
important dans la dtection des oprations frauduleuses,
enparticulier lorsque son metteur a mis enplace des
systmes dalerte (parexemple par lenvoi de SMS)
sur les oprations ralises. Ces dispositifs dalerte, si
mis enplace enquasi-temps rel, permettent enefet
lmetteur de ragir rapidement encas de fraude et
de bloquer ainsi toute nouvelle tentative de fraude sur
une carte compromise. LObservatoire rappelle ce
titre lobligation pour le porteur de carte de signaler
dans les meilleurs dlais toute dtection dopration
non autorise lmetteur de sa carte et dela mettre
enopposition.
3 Il appartient aux acteurs de s'assurer de la correcte information pralable du porteur lgitime en cas de blocage d'une opration de paiement.
39
1|2 Lvolution des technologies permet
dlargir le nombre et la nature
des donnes personnelles collectes
et damliorer ainsi les traitements
de lutte contre la fraude mis enuvre
par les diffrents acteurs
Enlabsence de dispositif dauthentifcation renforce
gnralis permettant de sassurer que le porteur
lgitime ralise un paiement avec sa carte, les
dispositifs de lutte contre la fraude ont eu tendance,
grce notamment aux volutions technologiques,
largir le nombre et la nature des donnes,
certaines tant caractre personnel, collectes
lors dune transaction sur Internet afn de vrifer
la cohrence entre ces donnes et daugmenter le
degr de certitude quant la personne initiant la
transaction de paiement.
Ainsi, aux cts des donnes traditionnellement
collectes relatives lidentit et aux coordonnes
de la personne initiant la transaction (nom, prnom,
adresse postale, adresse de livraison, e-mail, numro
de tlphone, etc.), les outils de lutte contre la
fraude ont progressivement intgr:
les habitudes de consommation du porteur de la
carte (nombre et dtail des commandes, anciennet
de la relation, priodicit et montant des achats,
habitudes de consommation, moyens de paiements
utiliss, etc.);
sa localisation (par exemple par ladresseIP de
lordinateur utilis);
les outils utiliss pour accder Internet
(parexemple par la prise dune empreinte numrique
du terminal daccs Internet
4
consistant relever
des caractristiques techniques propres au terminal
et ses composants matriels et logiciels);
des donnes lies son comportement (analyse
du temps de remplissage de formulaires, type de
saisie clavier, etc.).
Llargissement du primtre de donnes traites
permet ainsi de mettre enplace des traitements
plus subtils, plus cibls qui permettent de faire
des rapprochements dinformations, de construire
des algorithmes sophistiqus conduisant une
analyse prdictive des comportements frauduleux
au moyendoutils dit de scoring des transactions.
Laugmentation du nombre de critres retenus
dans la dtermination du score dune transaction
vise ainsi obtenir une meilleure fabilit dans la
pertinence du niveau de risque valu.
Au-delde lefcacit de ces traitements se pose
la question du risque datteinte la vie prive. Les
acteurs de la chane du paiement par carte sont
ainsi passs dune logique dclarative o le client
communique ses donnes (donnes didentit,
coordonnes, etc.) une logique de collecte
automatique de donnes lies lenvironnement
informatique du client, sans que ce dernier ensoit
systmatiquement inform. Les technologies utilises
permettent alors de tracer les actions et habitudes
des clients, ce qui peut se traduire le cas chant
par lenregistrement de comportements dlictuels
prsums dans des listes dites noires ou grises.
2| Les traitements de lutte
contre la fraude reposant
sur lexploitation de donnes
personnelles font lobjet
dune rglementation
spcifique amene voluer
2|1 Un rgime dautorisation
assorti de nombreuses garanties
entourant la protection
des donnes
Larticle 25-I-4 de la loi du 6janvier1978 soumet
au rgime dautorisation pralable les fchiers
comportant des informations destines prvenir
la fraude ou fcher les fraudeurs, ds lors quils
privent les personnes fches d'un droit ou du
bnfce d'un contrat
5
. Ilenest de mme pour tous
les traitements qui ont pour rsultat d'tablir une
prsomption de fraude la charge de la personne
objet du traitement et qui peuvent conduire au
blocage total ou partiel dune carte de paiement.
4 Technique dite du device fingerprinting .
5 Par exemple en refusant une commande passe lors d'un achat par Internet.
40
Pour obtenir cette autorisation dans les cas viss
par la loi, lentit responsable du fchier de donnes
et/ou des traitements de lutte contre la fraude doit
soumettre un dossier prcisant enparticulier un
certain nombre de garanties relatives:
1. la fnalit du traitement: celle-ci doit tre
dtermine et lgitime
6
, permettant ainsi de vrifer
que les donnes seront exploites pour la ou les
fnalits dclares par le responsable du traitement.
2. la nature des donnes collectes: leresponsable
du traitement prcise de manire exhaustive les
donnes caractre personnel qui seront utilises
dans les systmes de lutte contre la fraude qui
remonteront des alertes sur les transactions risques,
celles-ci devant tre adquates, pertinentes et non
excessives. Concernant plus prcisment la collecte
de donnes lies la carte de paiement, la CNIL
a mis jour ses recommandations
7
en2013 sur
leurs conditions de collecte, de conservation et
derutilisation.
3. la nature des traitements raliss: chaquetype
de traitement ralis doit faire lobjet dune description
prcise. Ainsi, llaboration doutils de scoring
doittre fonde sur des modles statistiquement
tablis et fables et ne doit pas porter atteinte aux
droits et aux liberts individuelles. Dans un souci
de proportionnalit, les difrents niveaux danalyse
oprs par les difrents acteurs intervenant dans
le cadre de la lutte contre la fraude doivent tre
complmentaires. Parailleurs, lorsque des documents
justifcatifs complmentaires sont demands aux
clients, il appartiendra au responsable de traitement
de sassurer que cette demande est proportionne
la fnalit du traitement. titre dexemple, la
CNIL prconise de ne conserver que la copie du
verso de la carte didentit et proscrit la collecte
de toute photocopie dune carte de paiement ou
de relevs bancaires dans le cadre dune demande
de justifcatifs complmentaires.
4. Au droit dinformation, de consultation et
de suppression: les responsables des traitements
doivent donc informer les personnes concernes de la
mise enuvre des traitements et des droits associs
conformment aux dispositions de larticle32-II
de la loi du 6janvier1978 modife, ainsi que les
modalits dexercice de ces droits enprcisant les
difrents organismes auprs desquels la personne
peut exercer ses droits (par exemple si recours un
prestataire extrieur).
5. Au dlai de conservation des donnes: le dlai
de conservation doit tre adapt enfonction du type
de traitement ralis et de la fnalit poursuivie.
6. la scurit physique et logique des donnes:
ceci constitue une obligation majeure pour le
responsable du traitement qui doit sassurer de
la confdentialit et de lintgrit des donnes
collectes. cette fn, lensemble des donnes doit
faire lobjet dune politique de scurit adapte aux
enjeux, passant par le recours des mcanismes
de protection physique et logique des serveurs et
applications hbergeant les donnes collectes,
mais aussi par la mise enplace dune piste daudit
permettant de dtecter et danalyser tout accs,
modifcation ou suppression de donnes dans la
base du responsable du traitement.
7. Au recueil du consentement: dans certain cas,
il convient de faire application des dispositions de
larticle32-II de la loi du 6janvier1978 modife qui
requiert le consentement explicite de la personne selon
les modalits prvues dans la dlibration portant
recommandation n2013-378 du 5dcembre2013.
Cest le cas enparticulier du stockage dinformations
sur lquipement dun utilisateur ou de laccs des
informations pralablement stockes
8
.
En dpit de lusage doutils de lutte contre la
fraude par les acteurs de la chane du paiement
par carte, notamment les commerants enligne, la
majorit dentre eux na pas efectu de demande
dautorisation pralable conformment au requis
de la CNIL. Dans ce contexte, cette dernire
a engag des travaux en vue de simplifer les
formalits dclaratives relatives aux traitements
visant plus particulirement la lutte contre la
fraude. Cestravaux seront loccasion de prendre
encompte un certain nombre de points dattention
souligns par les acteurs de la flire.
6 Par exemple dtection et prvention des fraudes par carte bancaire .
7 Dlibration n 2013-358 du 14 novembre 2013.
8 Ainsi, les cookies , ces fichiers prsents au sein des navigateurs Internet et comportant des informations sur lusage du site par un visiteur,
sont concerns par cette disposition, comme tout autre mcanisme similaire.
41
2|2 La simplification des formalits
dclaratives sera loccasion
de prendre encompte
les dernires volutions relatives
aux traitements de lutte
contre la fraude
Dans le cadre des changes mens au sein de
lObservatoire pour la prsente tude, plusieurs
freins relatifs la protection des donnes personnelles
ont t identifs dans le cadre de la lutte contre
la fraude:
dans la mesure o de nombreux accepteurs ont
dans les faits recours des prestataires externaliss
pour raliser les traitements de lutte contre la fraude,
la question de leur responsabilit au regard des
traitements externaliss mriterait dtre clarife;
une facilitation de la mutualisation des
informations collectes est souhaite entre certains
acteurs, notamment lorsquil sagit de listes noires
permettant didentifer des fraudeurs avrs, afn
de lutter plus efcacement contre la fraude.
Cette mutualisation facilite pourrait tre bnfque
pour les commerants dans certains secteurs, comme
cela est djle cas dans celui de la tlphonie
mobile(GIE Prventel).
Une mutualisation est par ailleurs actuellement
envisage entre les forces de lordre dans le cadre
dune procdure de dpt de plaintes enligne, afnde
faciliter linstruction des fraudes aux paiements par
carte sur Internet;
lexploitation des donnes didentifcation des
nouveaux canaux daccs Internet (ordinateurs
mais aussi smartphones, tablettes, etc.) par les
responsables de traitements de lutte contre la fraude
demeure aujourdhui strictement encadre et limite.
Danslamesure o la personne concerne y donne
son consentement, la CNIL a cependant rcemment
autoris certains acteurs mettre enuvre des
traitements reposant sur de telles donnes, dans
le cadre dun dispositif de lutte contre la fraude;
les rgles relatives aux dures de conservation
des donnes personnelles des fns de lutte contre
la fraude sont claires, mais certains acteurs ont
soulign que ces dures peuvent fortement varier
en fonction des situations rencontres, ce qui peut
tre source de confusion (cf. encadr);
enfn, dans un contexte o la matrise du taux de
fraude dun e-commerant revt un enjeu fnancier et
concurrentiel important, il conviendrait dharmoniser
les rgles de protection des donnes personnelles
dans le cadre des traitements de lutte contre la
fraude au niveau europen. Il est noter ce titre
que les autorits europennes de protection des
donnes se sont runies au sein dunG29, avec pour
mission de contribuer une application uniforme
des rgles de l'Union europenne enmatire de
protection des donnes. Cependant, ce jour, de
nombreuses dispositions font encore lobjet dune
apprciation difrente selon le pays dans lequel est
ralis le traitement.
Pour rpondre ces problmatiques, la CNIL
a engag des travaux en vue de ladoption
dune autorisation dite unique en matire de
lutte contre la fraude aux moyens de paiement.
Cette autorisation unique permettrait ainsi
dencadrer la collecte et le traitement des
donnes afin que la lutte contre la fraude, qui
correspond lintrt lgitime des professionnels,
soit proportionne au respect des droits des
personnes. ce titre, il pourra tre rappel que
le recours des dispositifs, tel que 3D-Secure,
permettant lauthentification renforce du
porteur au moment du paiement, peut tre
de nature limiter le besoin de recourir une
collecte de donnes personnelles juge excessive.
Enoutre, cette autorisation unique faciliterait
laccomplissement des formalits pralables
pour les responsables de traitements et devrait
parailleurs saccompagner dune clarifcation relative
la responsabilit des auteurs des traitements,
enparticulier lorsque ceux-ci font appel un
prestataire externalis pour les raliser dans le cadre
dun dispositif de lutte contre la fraude.
42
Encadr
Rgles de la CNIL relatives la dure de conservation des donnes personnelles
dans le cadre de la lutte contre la fraude
Il convient de distinguer notamment la dure de conservation des donnes analyses et gnres dans le cadre
de lmission dalertes de celle des donnes contenues en listes noires (entranant un score ngatif immdiat)
ou grises (ne gnrant pas ncessairement un score ngatif immdiat mais indiquant le besoin dinformations
complmentaires pour mener bien une transaction).
Les alertes mises dans le cadre de la lutte contre la fraude nont pas, en soi, vocation tre conserves mais
peuvent donner lieu des contrles auprs des personnes concernes, conrmant ou inrmant la fraude. La
dure de conservation est ncessairement courte et lie ces vrications. Certains responsables de traitement
souhaitent toutefois conserver les donnes issues des alertes, pour afner et faire voluer leur modle de score.
Cette conservation pourrait tre faite de manire anonymise.
Les donnes inscrites en liste noires/grises sont lies aux fraudes et aux tentatives de fraude conrmes (hors
impays rsultant dun dfaut de provision du compte) la suite notamment dune enqute. Dans cecas,
la CNIL prconise une dure de conservation nexcdant pas troisans, dure qui correspond au dlai de
prescription des dlits.
Lorsqu'une procdure judiciaire est engage, les donnes relatives la transaction sont conserves jusqu'au
terme de la procdure.
Enn, les donnes faisant l'objet de mesures d'archivage sont conserves, dans le cadre d'un systme
d'information distinct accs restreint, pour une dure n'excdant pas les dlais de procdures contentieuses.
3| Conclusion
Enlabsence dun dispositif similaire la carte
puce au standard EMV pour les paiements par
carte distance, la collecte et l'exploitation de
donnes dont certaines caractre personnel, sont
devenues un vritable enjeu pour les acteurs de la
lutte contre la fraude.
Grce aux volutions technologiques, ces derniers
ont la possibilit dlargir le nombre et la nature
des donnes caractre personnel collectes lors
dune transaction sur Internet afn de vrifer la
cohrence entre ces donnes et d'augmenter le degr
de certitude que la personne initiant la transaction
de paiement est bien le dtenteur lgitime de la carte.
Les acteurs de la lutte contre la fraude sont ainsi passs
dune logique dclarative o le client communique
ses donnes (donnes didentit, coordonnes, etc.)
une logique de collecte automatique de donnes
lies lenvironnement informatique du client, sans
que ce dernier ensoit systmatiquement inform.
Si les traitements de lutte contre la fraude utilisant
les donnes personnelles rpondent une fnalit
lgitime de protection contre les oprations non
autorises, et viennent complter lensemble des
dispositifs de scurisation existants, ils restent
encadrs par la loi Informatique et liberts,
dont la bonne application est garantie par la CNIL.
Cette dernire a toutefois engag des travaux envue
de simplifer les formalits dclaratives relatives aux
traitements de lutte contre la fraude.
Ces travaux seront ainsi loccasion de prendre
encompte les points dattention souligns parles
acteurs de la lutte contre la fraude, comme le besoin
de clarifer la responsabilit des acteurs ayant recours
des prestataires externaliss, celui de l'ventuelle
mutualisation des donnes de fraude entre les
43
acteurs afn de gagner enefcacit, la possibilit le
cas chant davoir recours de nouvelles donnes
didentifcation issues des nouvelles technologies
ou encore le besoin de clarifer les rgles relatives
la dure de conservation des donnes personnelles
utilises des fns de lutte contre la fraude.
Une autorisation simplife permettrait, dans les
cas prvus larticle 25 de la loi Informatiques
et liberts, d'encadrer la collecte et le traitement
des donnes afn que la lutte contre la fraude, qui
correspond lintrt lgitime des professionnels, soit
proportionne au respect des droits des personnes.
ce titre, ilpourratre rappel que le recours des
dispositifs, tels que 3D-Secure, permettant
lauthentifcation renforce du porteur au moment
du paiement, peut tre de nature limiter le besoin
de recourir une collecte de donnes personnelles
juge excessive.
Enfn, dans un contexte o la matrise du taux de
fraude dun e-commerant revt un enjeu fnancier
et concurrentiel important, la protection des donnes
personnelles ncessite dtre aborde sur le plan europen.
Ainsi, la Commission europenne a propos un projet de
rglement relatif la protection des donnes directement
applicable aux pays membres de lUnioneuropenne afn
que lEurope se dote de rgles uniformes en cohrence
avec les directives sur les services de paiement. Ce futur
rglement europendevrait tre adopt courant2015
et devrait permettre une harmonisation des obligations
imposes aux acteurs ralisant des traitements de lutte
contre la fraude reposant sur lexploitation de donnes
caractre personnel.
ANNEXES
ANNEXE 1 : CONSEILS DE PRUDENCE LUSAGE DES PORTEURS A1
ANNEXE 2 : PROTECTION DU TITULAIRE DUNE CARTE EN CAS DE PAIEMENT NON AUTORIS A3
ANNEXE 3 : MISSIONS ET ORGANISATION DE LOBSERVATOIRE A7
ANNEXE 4 : LISTE NOMINATIVE DES MEMBRES DE LOBSERVATOIRE A11
ANNEXE 5 : DOSSIER STATISTIQUE A13
ANNEXE 6 : DFINITION ET TYPOLOGIE DE LA FRAUDE RELATIVE AUX CARTES DE PAIEMENT A19
A1
ANNEXE 1
Conseils de prudence lusage des porteurs
Votre comportement concourt directement la scurit de lutilisation de votre carte. Veillez respecter
les conseils lmentaires de prudence qui suivent afn de protger vos transactions.
Soyez responsables
Votre carte est strictement personnelle : ne la prtez personne, mme pas vos proches.
Vrifez rgulirement quelle est en votre possession.
Si votre carte comporte un code confdentiel, gardez-le secret. Ne le communiquez personne.
Apprenez-le par cur, vitez de le noter et surtout ne le rangez jamais avec votre carte.
Lorsque vous composez votre code confdentiel, veillez le faire labri des regards indiscrets. Nhsitez
pas en particulier cacher le clavier du terminal ou du distributeur de votre autre main.
Vrifez rgulirement et attentivement vos relevs de compte.
Soyez attentifs
Lors des paiements chez un commerant
Vrifez lutilisation qui est faite de votre carte par le commerant. Ne la quittez pas des yeux.
Pensez vrifer le montant afch par le terminal avant de valider la transaction.
Lors des retraits sur les distributeurs de billets
Vrifez laspect extrieur du distributeur, vitez si possible ceux qui vous paratraient avoir t altrs.
Suivez exclusivement les consignes indiques lcran du distributeur : ne vous laissez pas distraire par
des inconnus, mme proposant leur aide.
Mettez immdiatement en opposition votre carte si elle a t avale par lautomate et que vous ne
pouvez pas la rcuprer immdiatement au guichet de lagence.
Lors des paiements sur Internet
Protgez votre numro de carte : ne le stockez pas sur votre ordinateur, ne lenvoyez pas par simple
courriel et vrifez la scurisation du site du commerant (cadenas en bas de la fentre, adresse commenant
par https , etc.).
Assurez-vous du srieux du commerant, vrifez que vous tes bien sur le bon site, lisez attentivement
les conditions gnrales de vente.
Protgez votre ordinateur, en activant les mises jour de scurit proposes par les diteurs de logiciel
(en rgle gnrale gratuites) et en lquipant dun antivirus et dun pare-feu.
Lors de vos dplacements ltranger
Renseignez-vous sur les prcautions prendre et contactez ltablissement metteur de votre carte
avant votre dpart, afn notamment de connatre les mcanismes de protection des cartes qui peuvent
tre mis en uvre.
Pensez vous munir des numros internationaux de mise en opposition de votre carte.
ANNEXE 1
A2
Sachez ragir
Vous avez perdu ou on vous a vol votre carte
Faites immdiatement opposition en appelant le numro que vous a communiqu ltablissement
metteur de la carte. Pensez le faire pour toutes vos cartes perdues ou voles.
En cas de vol, dposez galement plainte auprs de la police ou de la gendarmerie au plus vite.
En faisant opposition sans tarder, vous bnfcierez des dispositions plafonnant les dbits frauduleux, au
pire des cas, 150 euros. Si vous ne ragissez pas rapidement, vous risquez de supporter lintgralit des
dbits frauduleux prcdant la mise en opposition. partir de la mise en opposition, votre responsabilit
ne peut plus tre engage.
Vous constatez des anomalies sur votre relev de compte,
alors que votre carte est toujours en votre possession
Nhsitez pas galement faire opposition afn de vous prmunir contre toute nouvelle tentative de fraude
qui utiliserait les donnes usurpes de votre carte.
Sauf en cas de ngligence grave de votre part (par exemple, vous avez laiss la vue dun tiers le numro
et/ou le code confdentiel de votre carte et celui-ci en a fait usage sans vous prvenir) ou en cas de
non-respect intentionnel de vos obligations contractuelles en matire de scurit (par exemple, vous avez
commis limprudence de communiquer un proche le numro et/ou le code confdentiel de votre carte et
celui-ci en a fait usage sans vous prvenir), il faut dposer une rclamation auprs de ltablissement metteur
de la carte, ds que possible et dans un dlai fx par la loi, de 13 mois compter de la date de dbit de
lopration conteste. Dans ces conditions, votre responsabilit ne peut tre engage. Les sommes contestes
doivent alors vous tre immdiatement rembourses sans frais. Attention, lorsque le dtournement a lieu
dans un pays non europen, le dlai de contestation est ramen 70 jours compter de la date de dbit
de lopration conteste. Ce dlai peut ventuellement tre prolong par votre tablissement metteur
sans pouvoir dpasser 120 jours.
Bien entendu, en cas dagissement frauduleux de votre part, les dispositions protectrices de la loi ne
trouveront pas sappliquer et vous resterez tenu des sommes dbites avant comme aprs lopposition ainsi
que des ventuels autres frais engendrs par ces oprations (par exemple, en cas dinsufsance deprovision).
A3
ANNEXE 2
Protection du titulaire dune carte
en cas de paiement non autoris
Lordonnance de transposition de la directive concernant les services de paiement au sein du march
intrieur, entre en vigueur le 1
er
novembre 2009, a modif les rgles relatives la responsabilit du
titulaire dune carte de paiement.
La charge de la preuve incombe au prestataire de services de paiement. Ainsi, lorsquun client nie avoir autoris
une opration, il incombe son prestataire de services de paiement de prouver que lopration en question a
t authentife, dment enregistre, comptabilise et quelle na pas t afecte par une dfcience technique
ou autre. La loi encadre dsormais strictement les conventions de preuve puisquelle prvoit que lutilisation
de linstrument telle quenregistre par le prestataire de services de paiement ne suft pas ncessairement
en tant que telle prouver que lopration a t autorise par le payeur ou que celui-ci na pas satisfait par
ngligence grave aux obligations lui incombant en la matire.
Il convient toutefois de distinguer si lopration de paiement conteste est efectue ou non sur le territoire
de la Rpublique franaise ou au sein de lEspace conomique europen afn de dterminer ltendue de la
responsabilit du titulaire de la carte.
Oprations nationales ou intracommunautaires
Les oprations de paiement vises sont les oprations efectues en euros ou en francs CFP sur le territoire
de la Rpublique franaise
1
. Sont galement concernes les oprations efectues avec une carte de paiement
dont lmetteur est situ en France mtropolitaine, dans les dpartements doutre-mer, Saint-Martin ou
Saint-Barthlemy, au proft dun bnfciaire dont le prestataire de services de paiement est situ dans un
autre tat partie laccord sur lEEE (Union europenne + Liechtenstein, Norvge et Islande), en euros ou
dans la devise nationale de l'un de ces tats.
Concernant les oprations non autorises, cest--dire en pratique les cas de perte, vol ou dtournement
(ycompris par utilisation frauduleuse distance ou contrefaon) de linstrument de paiement, le titulaire
de la carte devra contester, auprs de son prestataire dans un dlai de 13 mois suivant la date de dbit de
son compte, avoir autoris lopration de paiement. Son prestataire devra alors rembourser immdiatement
l'opration non autorise au titulaire de la carte et, le cas chant, rtablir le compte dbit dans ltat dans
lequel il se serait trouv si lopration non autorise navait pas eu lieu. Une indemnisation complmentaire
pourra aussi ventuellement tre verse. Nonobstant lextension du dlai maximal de contestation 13mois,
le porteur devra, lorsquil a connaissance du vol, de la perte, du dtournement ou de toute utilisation non
autorise de son instrument de paiement, en informer sans tarder son prestataire de services de paiement.
Une drogation ces rgles de remboursement est cependant prvue pour les oprations de paiement
ralises en utilisant un dispositif de scurit personnalis, par exemple la frappe dun code secret.
1 Lordonnance dextension la Nouvelle-Caldonie, la Polynsie franaise et aux les Wallis et Futuna des dispositions de lordonnance de
transposition est entre en vigueur le 8 juillet 2010.
ANNEXE 2
A4
Avant information aux fins de blocage de la carte
Avant opposition
2
, le payeur pourra supporter, concurrence de 150 euros, les pertes lies toute opration
de paiement non autorise en cas de perte ou de vol de la carte si lopration est efectue avec lutilisation
du dispositif personnalis de scurit. En revanche, si lopration est efectue sans lutilisation du dispositif
personnalis de scurit, le titulaire de la carte ne voit pas sa responsabilit engage.
La responsabilit du titulaire de la carte nest pas non plus engage si lopration de paiement non autorise
a t efectue en dtournant son insu linstrument de paiement ou les donnes qui lui sont lies. Elle
nest pas plus engage en cas de contrefaon de la carte si elle tait en possession de son titulaire au moment
o lopration non autorise a t ralise.
En revanche, le titulaire de la carte supporte toutes les pertes occasionnes par des oprations de paiement
non autorises si ces pertes rsultent dun agissement frauduleux de sa part ou sil na pas satisfait
intentionnellement ou par ngligence grave ses obligations de scurit, dutilisation ou de blocage de
sa carte, convenues avec son prestataire de services de paiement.
Enfn, si le prestataire de services de paiement metteur de la carte ne fournit pas de moyens appropris
permettant la mise en opposition de la carte, le client ne supporte aucune consquence fnancire, sauf
avoir agi de manire frauduleuse.

Aprs information aux fins de blocage de la carte
Aprs mise en opposition de la carte, le payeur ne supporte aucune consquence fnancire rsultant de
lutilisation de la carte ou de lutilisation dtourne des donnes qui lui sont lies.
L encore, les agissements frauduleux du titulaire de la carte le privent de toute protection et il demeure
responsable des pertes lies lutilisation de sa carte.
Linformation aux fns de blocage peut tre efectue auprs du prestataire de services de paiement ou
auprs dune entit que ce dernier aura indique son client, suivant les cas, dans le contrat de services
de paiement ou dans la convention de compte de dpt.
Lorsque le titulaire de la carte a inform son prestataire de services de paiement de la perte, du vol, du
dtournement ou de la contrefaon de sa carte, ce dernier lui fournit sur demande et pendant 18mois,
les lments lui permettant de prouver quil a procd cette information.
Oprations extra-europennes
La directive sur les services de paiement nest applicable quaux oprations intracommunautaires. Cependant
la lgislation franaise existant avant ladoption de cette directive protgeait les titulaires de cartes sans
distinction de la localisation du bnfciaire de lopration non autorise. Il a t dcid de maintenir une
protection quivalente celle laquelle le client avait droit auparavant. cette fn, les rgles applicables
aux oprations nationales ou intracommunautaires sont applicables avec des adaptations.
2 La loi utilise dsormais le terme information aux fins de blocage de linstrument de paiement.
A5
ANNEXE 2
Ainsi, les oprations de paiement concernes par ces adaptations sont les oprations efectues avec
une carte de paiement dont lmetteur est situ en France mtropolitaine, dans les dpartements
doutre-mer
3
, Saint-Martin ou Saint-Barthlemy, au proft dun bnfciaire dont le prestataire de
services de paiement est situ dans un tat non europen
4
, quelle que soit la devise dans laquelle lopration
est ralise. Sont galement concernes les oprations efectues avec une carte dont lmetteur est situ
Saint-Pierre-et-Miquelon, en Nouvelle-Caldonie, en Polynsie franaise ou Wallis et Futuna, au
proft dun bnfciaire dont le prestataire est situ dans un tat autre que la Rpublique franaise, quelle
que soit la devise utilise.
Dans ces cas, le plafond de 150 euros trouve sappliquer pour les oprations non autorises en cas de
perte ou de vol de la carte, mme si lopration a t ralise sans utilisation du dispositif personnalis
de scurit.
Par ailleurs, le dlai maximal de contestation de lopration est ramen 70 jours et conventionnellement
tendu 120 jours. En revanche, le remboursement immdiat de lopration non autorise est tendu.
3 Y compris Mayotte depuis le 31 mars 2011.
4 Qui nest pas partie laccord sur lEEE (UE + Liechtenstein, Norvge et Islande).
A7
ANNEXE 3
Missions et organisation de lObservatoire
Les missions, la composition et les modalits de fonctionnement de lObservatoire de la scurit des cartes
de paiement sont prcises par les articles R. 141-1, R. 141-2 et R. 142-22 R. 142-27 du Codemontaire
et fnancier.
Cartes concernes
Lancien article L. 132-1 du Code montaire et fnancier, dans sa rdaction antrieure au 1
er
novembre 2009
1
,
dfnissait une carte de paiement comme toute carte mise par un tablissement de crdit permettant
son titulaire de retirer ou de transfrer des fonds. Lordonnance n 2009-866 du 15 juillet 2009 relative
aux conditions rgissant la fourniture de services de paiement et portant cration des tablissements de
paiement, ayant maintenu le primtre de comptence de lObservatoire, il a t dcid de continuer de
sappuyer sur cette dfnition en ltendant aux prestataires de services de paiement qui sont, aux termes
du I de larticleL.521-1 du Code montaire et fnancier, les tablissements de crdit, les tablissements de
monnaie lectronique et les tablissements de paiement.
En consquence, les comptences de lObservatoire concernent les cartes mises par les prestataires de
services de paiement ou par les institutions assimiles
2
et dont les fonctions sont le retrait ou le transfert
de fonds. Elles ne couvrent pas les cartes parfois appeles cartes purement privatives qui peuvent tre
mises par une entreprise sans avoir obtenir un agrment dlivr par lAutorit de contrle prudentiel et
de rsolution. Il sagit, dune part, des cartes monoprestataires mises par une seule entreprise et acceptes
en paiement dun bien ou dun service dtermin par elle-mme ou par des accepteurs ayant nou avec elle
un accord de franchise commerciale
3
et, dautre part, des cartes multiprestataires, qui ne sont acceptes,
pour lacquisition de biens ou de services, que dans les locaux de lmetteur de la carte ou, dans le cadre
dun accord commercial avec ce dernier, dans un rseau limit de personnes ou pour un ventail limit de
biens ou de services
4
.
Le march franais compte de nombreuses ofres en matire de cartes de paiement qui relvent des comptences
de lObservatoire. Parmi celles-ci, on distingue gnralement les cartes dont le schma dacceptation des
paiements et des retraits repose sur :
un nombre rduit de prestataires de services de paiement metteurs et acqureurs (cartes gnralement
qualifes de privatives ) ;
un nombre lev de prestataires de services de paiement metteurs et acqureurs (cartes gnralement
qualifes d interbancaires ).

1 Cet article a t supprim par lordonnance de transposition de la directive europenne sur les services de paiement. En effet, il ntait pas
compatible avec la directive qui fixe les rgles applicables aux oprations de paiement en fonction de la cinmatique du paiement, ceci afin
dassurer une neutralit technologique entre les diffrents instruments de paiement utiliss.
2 Les institutions assimiles sont, aux termes du II de larticle L. 521-1 du Code montaire et financier, la Banque de France, lInstitut dmission
des dpartements doutre-mer, le Trsor public et la Caisse des dpts et consignations.
3 Ces cartes sont dispenses dagrment par le 5 du I de larticle L.511-7, larticle L.525-6 et le II in fine de larticle L. 521-3 du Code montaire
et financier.
4 Ces cartes sont dispenses dagrment par le II de larticle L. 511-7, larticle L. 525-5 et le I de larticle L. 521-3 du Code montaire et financier.
ANNEXE 3
A8
Ces cartes peuvent ofrir des fonctions diverses qui conduisent la typologie fonctionnelle suivante en
matire de cartes de paiement :
les cartes de dbit sont des cartes associes un compte de paiement
5
permettant son titulaire
defectuer des retraits ou des paiements qui seront dbits selon un dlai fx par le contrat de dlivrance
de la carte. Ce dbit peut tre immdiat (retrait ou paiement) ou difr (paiement) ;
les cartes de crdit sont adosses une ligne de crdit, avec un taux et un plafond ngocis avec le client,
et permettent defectuer des paiements et/ou des retraits despces. Elles permettent leur titulaire de
rgler lmetteur lissue dun certain dlai (suprieur quarantejours en France). Laccepteur est rgl
directement par lmetteur sans dlai particulier li au crdit ;
les cartes nationales permettent defectuer des paiements ou des retraits exclusivement auprs daccepteurs
tablis sur le territoire franais ;
les cartes internationales permettent defectuer des paiements et des retraits dans tous les points
dacceptation, nationaux ou internationaux, de la marque ou dmetteurs partenaires avec lesquels le
systme de paiement par carte a sign des accords ;
les porte-monnaie lectroniques sont des cartes sur lesquelles sont stockes des units de monnaie
lectronique. Aux termes de larticle L.315-1 du Code montaire et fnancier, la monnaie lectronique est une
valeur montaire qui est stocke sous une forme lectronique, y compris magntique, reprsentant une crance sur
lmetteur, qui est mise contre la remise de fonds aux fns doprations de paiement dfnies larticleL.133-3
et qui est accepte par une personne physique ou morale autre que lmetteur de monnaie lectronique.
La typologie fonctionnelle rappele ci-dessus inclut galement les paiements sans contact.
Attributions
Conformment aux articles L. 141-4 et R. 141-1 du Code montaire et fnancier, les attributions de
lObservatoire de la scurit des cartes de paiement sont de trois ordres :
il suit la mise en uvre des mesures adoptes par les metteurs et les commerants pour renforcer la
scurit des cartes de paiement. Il se tient inform des principes adopts en matire de scurit ainsi que
des principales volutions ;
il est charg dtablir des statistiques en matire de fraude. cette fn, les metteurs de cartes de paiement
adressent au secrtariat de lObservatoire les informations ncessaires ltablissement de ces statistiques.
LObservatoire met des recommandations afn dharmoniser les modalits de calcul de la fraude sur les
difrents types de cartes de paiement ;
il assure une veille technologique en matire de cartes de paiement, avec pour objet de proposer des
moyens de lutter contre les atteintes dordre technologique la scurit des cartes de paiement. cette
fn, il collecte les informations disponibles de nature renforcer la scurit des cartes de paiement et les
met la disposition de ses membres. Il organise un change dinformations entre ses membres dans le
respect de la confdentialit de certaines informations.
5 Les comptes de paiement qui sont, aux termes du I de larticle L. 314-1 du Code montaire et financier, des comptes dtenus au nom dune
ou plusieurs personnes, utiliss aux fins de lexcution doprations de paiement, correspondent aux comptes de dpts vue ouverts sur les
livres des banques et aux comptes ouverts sur les livres des autres prestataires de services de paiement.
A9
ANNEXE 3
En outre, le ministre charg de lconomie et des fnances peut, aux termes de larticle R. 141-2 du Code
montaire et fnancier, saisir pour avis lObservatoire en lui impartissant un dlai de rponse. Les avis
peuvent tre rendus publics par le ministre.
Composition
Larticle R. 142-22 du Code montaire et fnancier dtermine la composition de lObservatoire. Conformment
ce texte, lObservatoire comprend :
un dput et un snateur ;
huit reprsentants des administrations ;
le gouverneur de la Banque de France ou son reprsentant ;
le secrtaire gnral de lAutorit de contrle prudentiel et de rsolution ou son reprsentant ;
dix reprsentants des metteurs de cartes de paiement, notamment de cartes bancaires, de cartes privatives
et de porte-monnaie lectroniques ;
cinq reprsentants du collge consommateurs du Conseil national de la consommation ;
cinq reprsentants des commerants issus notamment du commerce de dtail, de la grande distribution,
de la vente distance et du commerce lectronique ;
trois personnalits qualifes en raison de leurs comptences.
La liste nominative des membres de lObservatoire fgure en annexe 4.
Les membres de lObservatoire autres que les parlementaires, ceux reprsentant ltat, le gouverneur de
la Banque de France et le secrtaire gnral de lAutorit de contrle prudentiel et de rsolution sont
nomms pour troisans. Leur mandat est renouvelable.
Le prsident est dsign parmi ces membres par le ministre charg de lconomie et des fnances. Sonmandat
est de trois ans, renouvelable. Monsieur Christian Noyer, gouverneur de la Banque de France, assure cette
fonction depuis le 17 novembre 2003.
Modalits de fonctionnement
Conformment larticle R. 142-23 et suivants du Code montaire et fnancier, lObservatoire se runit sur
convocation de son prsident, au moins deux fois par an. Les sances ne sont pas publiques. Lesmesures
proposes au sein de lObservatoire sont adoptes si une majorit absolue est constitue. Chaque membre
dispose dune voix ; en cas de partage des votes, le prsident dispose dune voix prpondrante. LObservatoire
a adopt en 2003 un rglement intrieur qui prcise les conditions de son fonctionnement.
ANNEXE 3
A10
Le secrtariat de lObservatoire, assur par la Banque de France, est charg de lorganisation et du suivi des
sances, de la centralisation des informations ncessaires ltablissement des statistiques de la fraude sur
les cartes de paiement, de la collecte et de la mise disposition des membres des informations ncessaires
au suivi des mesures de scurit adoptes et la veille technologique en matire de cartes de paiement.
Lesecrtariat prpare galement le rapport annuel de lObservatoire, remis chaque anne au ministre
charg de lconomie et des fnances et transmis au Parlement.
Des groupes de travail ou dtude peuvent tre constitus par lObservatoire, notamment lorsque le
ministre charg de lconomie et des fnances le saisit pour avis. LObservatoire fxe la majorit absolue
de ses membres le mandat et la composition de ces groupes de travail qui doivent rendre compte de leurs
travaux chaque sance. Les groupes de travail ou dtude peuvent entendre toute personne susceptible
de leur apporter des prcisions utiles laccomplissement de leur mandat. Dans ce cadre, lObservatoire
a constitu deux groupes de travail permanents chargs, lun dharmoniser et dtablir des statistiques en
matire de fraude, lautre dassurer une veille technologique relative aux cartes de paiement. En 2010,
lObservatoire a dcid la cration dun groupe de travail ddi la problmatique du dploiement de la
technologie 3D-Secure .
tant donn la sensibilit des donnes changes, les membres de lObservatoire et son secrtariat, sont tenus
au secret professionnel par larticle R. 142-25 du Code montaire et fnancier, et doivent donc conserver
confdentielles les informations qui sont portes leur connaissance dans le cadre de leurs fonctions.
cette fn, lObservatoire a inscrit dans son rglement intrieur lobligation incombant aux membres
de sengager auprs du prsident veiller strictement au caractre confdentiel des documents de travail.
A11
ANNEXE 4
Liste nominative des membres de lObservatoire
En application de larticle R. 142-22 du Code montaire et fnancier, les membres de lObservatoire autres
que les parlementaires, ceux reprsentant ltat, le gouverneur de la Banque de France et le secrtaire
gnral de lAutorit de contrle prudentiel et de rsolution sont nomms pour trois ans par arrt du
ministre de lconomie, du Redressement productif et du Numrique. Les derniers arrts de nomination
datent des 6 septembre 2013 et 11 dcembre 2013.
Prsident
Christian NOYER
Gouverneur de la Banque de France
Reprsentants des assembles
Philippe GOUJON
Dput
Michle ANDR
Snatrice
Reprsentant du secrtaire gnral de lAutorit
de contrle prudentiel et de rsolution
Emmanuel CARRERE
Philippe RICHARD
Secrtariat gnral
Reprsentants des administrations
Sur proposition du secrtariat gnral de la dfense
nationale :
Le directeur gnral de lAgence nationale
de la scurit des systmes dinformation ou
sonreprsentant :
Dominique RIBAN
Sur proposition du ministre de lconomie, du
Redressement productif et du Numrique :
Le haut fonctionnaire de dfense et de scurit
ou son reprsentant:
Christian DUFOUR
Le directeur gnral du Trsor ou son reprsentant:
Magali CESANA
Fabrice WENGER
Le directeur gnral de la Comptitivit, de
lIndustrie et des Services ou son reprsentant :
Mireille CAMPANA
Le directeur gnral de la Concurrence, de la
Consommation et de la Rpression des fraudes
ou son reprsentant :
Virginie GALLERAND
Sur proposition du garde des Sceaux, ministre
de la Justice :
Le directeur des afaires criminelles et des grces
Nathalie KHOKHOLKOFF
Charles MOYNOT
Rgis PIERRE
Sur proposition du ministre de lIntrieur :
Le chef de lofce central de lutte contre
la criminalit lie aux technologies de
linformation et de la communication ou
son reprsentant :
Valrie MALDONADO
Philippe DEVRED
Sur proposition du ministre de la Dfense :
Le directeur gnral de la gendarmerie nationale
ric FREYSSINET
ANNEXE 4
A12
Reprsentants des metteurs
de cartes de paiement
Frdric COLLARDEAU
Directeur de la flire des paiements
La Banque Postale
Gilbert ARIRA
Administrateur
Groupement des Cartes Bancaires
Jean-Franois DUMAS
Vice-Prsident
American Express France
Willy DUBOST
Directeur Systmes et Moyens de paiement
Fdration bancaire franaise
Caroline SELLIER
Directeur Risk management et Lutte contre la fraude
Natixis Paiements
Franois LANGLOIS
Directeur des Relations institutionnelles
BNPParibas Personal Finance
Frdric MAZURIER
Directeur administratif et fnancier
CarrefourBanque
Grard NEBOUY
Directeur gnral
Visa Europe France
Rgis FOLBAUM
Prsident directeur gnral
MasterCard France
Narinda YOU
Directeur
Stratgie et pilotage interbancaire
Crdit Agricole SA
Reprsentants du collge consommateurs
du Conseil national de la consommation
Rgis CREPY
Confdration nationale
Associations familiales catholiques (CNAFC)
Sabine ROSSIGNOL
Association Lo Lagrange pour la dfense
des consommateurs (ALLDC)
Patrick MERCIER
Prsident
Association de dfense dducation
et dinformation du consommateur (ADEIC)
Frdric POLACSEK
Conseil national des associations familiales laques
(CNAFAL)
Maxime CHIPOY
UFC-Que Choisir
Reprsentants des organisations professionnelles
de commerants
Philippe JOGUET
Directeur Dveloppement durable, RSE, Questions
fnancires
Fdration des entreprises du commerce
et de la distribution (FCD)
Marc LOLIVIER
Dlgu gnral
Fdration du e-commerce et de la vente distance
(Fevad)
Jean-Jacques MELI
Chambre de commerce et dindustrie
du Val dOise
Jean-Marc MOSCONI
Dlgu gnral
Mercatel
Philippe SOLIGNAC
Vice-prsident
Chambre de commerce et dindustrie
de Paris/ACFCI
Personnalits qualies
en raison de leurs comptences
Eric BRIER
Chief Security Ofcer
Ingenico
David NACCACHE
Professeur
cole normale suprieure
Sophie NERBONNE
Directeur adjoint la direction des afaires
juridiques, internationales et de lexpertise
Commission nationale de linformatique
et des liberts (CNIL)
A13
ANNEXE 5
Dossier statistique
Le dossier statistique qui suit a t ralis partir des donnes fournies lObservatoire de la scurit des
cartes de paiement par:
les130membres du Groupement des Cartes Bancaires CB par lintermdiaire de celui ci, MasterCard
et Visa Europe France;
dix metteurs de cartes privatives: American Express, Banque Accord, BNP Paribas Personal Finance,
Crdit Agricole Consumer Finance (Finaref et Sofnco), Cofdis, Cofnoga, Diners Club, Franfnance,
JCB et UnionPay;
les metteurs du porte-monnaie lectronique Moneo.
Total des cartes en circulation en2013: 85,5millions
dont68,4millions de cartes de type interbancaire (CB, MasterCard, Visa et Moneo);
et17,1millions de cartes de type privatif.
Cartes mises en opposition
1
en2013: environ 861000
Les transactions nationales sont celles qui mettent en jeu un metteur franais et un commerant accepteur franais.
Jusquen2009, les transactions internationales taient de deuxtypes:
metteur franaisaccepteur tranger et
metteur trangeraccepteur franais.
partir de2010, lObservatoire distinguant les transactions internationales avec la zone SEPA de celles
avec le reste du monde, les transactions internationales sont donc dsormais de quatre types:
metteur franaisaccepteur tranger hors SEPA;
metteur tranger hors SEPAaccepteur franais;
metteur franaisaccepteur tranger SEPA;
metteur tranger SEPAaccepteur franais.
1 Cartes mises en opposition pour lesquelles au moins une transaction frauduleuse a t enregistre.
ANNEXE 5
A14
Tableau 1
Le march des cartes de paiement en France en2013 mission
(volume en millions ; valeur en milliards d'euros)
metteur franais,
Acqureur franais
metteur franais,
Acqureur tranger
SEPA
metteur franais,
Acqureur tranger
hors SEPA
Volume Valeur Volume Valeur Volume Valeur
Cartes de type interbancaire
Paiements de proximit et sur automate 7688,46 332,48 137,26 8,30 43,25 3,67
Paiements distance hors Internet 17,66 2,46 9,49 0,72 7,13 0,52
Paiements distance sur Internet 709,69 53,40 128,66 5,18 31,38 1,98
Retraits 1496,32 117,51 28,25 3,14 19,97 2,84
Total 9912,14 505,84 303,66 17,34 101,71 9,01
Cartes de type privatif
Paiements distance hors Internet 1,82 0,15 nd nd nd nd
Retraits 3,41 0,31 nd nd nd nd
Total 132,22 14,58 9,77 1,20 7,26 1,20
Total gnral 10044,35 520,42 313,43 18,54 108,97 10,20
Tableau 2
Le march des cartes de paiement en France en2013 Acquisition
(volume en millions ; valeur en milliards d'euros)
metteur franais,
Acqureur franais
metteur tranger
SEPA,
Acqureur franais
metteur tranger
hors SEPA,
Acqureur franais
Cartes de type interbancaire
Retraits 1496,32 117,51 21,68 3,61 7,97 1,74
Total 9912,14 505,84 226,49 20,37 85,73 12,43
Cartes de type privatif
Retraits 3,41 0,31 nd nd 0,27 0,11
Total 132,22 14,58 5,26 1,11 7,43 3,44
Total gnral 10044,35 520,42 231,76 21,48 93,16 15,86
A15
ANNEXE 5
Tableau 3
Rpartition de la fraude selon le type de transaction, son origine et la zone gographique
pour les cartes de type interbancaire en2013 mission
(volume en milliers ; valeur en milliers d'euros)
metteur franais,
Acqureur franais
metteur franais,
Acqureur tranger
SEPA
metteur franais,
Acqureur tranger
hors SEPA
Cartes perdues ou voles 546,3 42988,2 42,9 4217,8 17,9 3748,3
Cartes non parvenues 8,2 410,9 0,5 32,0 0,1 13,3
Cartes altres ou contrefaites 2,9 163,0 7,5 1484,5 56,4 10356,3
Numro de carte usurp 4,3 411,3 10,4 1853,3 11,8 2567,7
Autres 0,3 13,3 1,7 275,9 1,5 277,6
Autres 0,0 0,0 0,3 30,0 2,4 97,9
Autres 0,0 1,5 1,2 77,2 0,2 28,5
Retraits 130,5 38237,8 5,3 1129,3 186,9 29887,4
Autres 0,0 0,0 0,2 35,9 7,9 1343,1
Total 2020,6 234140,8 1043,3 66192,7 446,7 68778,3
ANNEXE 5
A16
Tableau 4
pour les cartes de type interbancaire en2013 Acquisition
metteur franais,
Acqureur franais
metteur tranger
SEPA,
Acqureur franais
metteur tranger
hors SEPA,
Acqureur franais
Autres 0,3 13,3 1,7 342,6 1,6 450,9
Cartes perdues ou voles 0,0 0,3 nd nd nd nd
Cartes non parvenues 0,0 0,0 nd nd nd nd
Cartes altres ou contrefaites 0,0 0,1 nd nd nd nd
Numro de carte usurp 355,9 28946,6 nd nd nd nd
Autres 0,0 0,0 nd nd nd nd
Paiements distance sur Internet 972,2 122969,2 nd nd nd nd
Retraits 130,5 38237,8 11,5 907,8 3,3 945,5
Autres 0,0 0,0 0,0 3,8 0,0 0,8
Total 2020,6 234140,8 205,4 27882,1 307,1 58841,9
A17
ANNEXE 5
Tableau 5
pour les cartes de type privatif en2013 mission
metteur franais,
Acqureur franais
metteur franais,
Acqureur tranger
SEPA
metteur franais,
Acqureur tranger
hors SEPA
Autres 1,45 919,30 0,00 1,30 0,01 0,95
Autres 0,42 282,80 0,04 21,10 0,03 8,72
Total 11,52 4418,26 7,70 1697,56 6,34 1416,86
ANNEXE 5
A18
Tableau 6
pour les cartes de type privatif en2013 Acquisition
metteur franais,
Acqureur franais
metteur tranger
SEPA,
Acqureur franais
metteur tranger
hors SEPA,
Acqureur franais
Paiements de proximit et sur automate 4,23 1 771,38 0,33 200,66 5,66 3 278,05
Cartes altres ou contrefaites 0,73 183,38 0,17 87,80 4,63 2 675,63
Autres 1,45 919,30 0,04 69,53 0,22 146,86
Paiements distance sur Internet 5,28 2 008,95 2,82 741,61 2,82 741,61
Numro de carte usurp 4,18 1 576,17 1,65 378,76 1,65 378,76
Autres 0,42 282,80 0,02 6,13 0,02 6,13
Autres 0,01 2,01 nd nd Nd nd
Total 11,52 4 418,26 2,78 1 208,95 11,58 5 302,60
A19
ANNEXE 6
Dnition et typologie de la fraude
relative aux cartes de paiement
Dfinition de la fraude
des fns de recensement statistique, lObservatoire estime quil convient de considrer comme constitutif
de fraude toute utilisation illgitime dune carte de paiement ou des donnes qui lui sont attaches, ainsi
que tout acte concourant la prparation ou la ralisation dune telle utilisation :
ayant pour consquence un prjudice pour le banquier teneur de compte quil sagisse du banquier du
porteur de la carte ou de celui de laccepteur (commerant, administration pour son propre compte ou
au sein dun systme de paiement
1
), le porteur, laccepteur, lmetteur, un assureur, un tiers de confance
ou tout intervenant dans la chane de conception, de fabrication, de transport, de distribution de donnes
physiques ou logiques, dont la responsabilit civile, commerciale ou pnale pourrait tre engage ;
quels que soient :
les moyens employs pour rcuprer, sans motif lgitime, les donnes ou le support de la carte
(vol, dtournement du support de la carte, des donnes physiques ou logiques, des donnes de
personnalisation et/ou rcupration du code secret, et/ou du cryptogramme, piratage de la piste magntique
et/ou de la puce),
les modalits dutilisation de la carte ou des donnes qui lui sont attaches (paiement ou retrait, en
paiement de proximit ou distance, par utilisation physique de la carte ou du numro de carte, sur
automate),
la zone gographique dmission ou dutilisation de la carte ou des donnes qui lui sont attaches:
-metteur franais et carte utilise en France,
-metteur tranger dans lespace SEPA et carte utilise en France,
-metteur tranger hors de lespace SEPA et carte utilise en France,
-metteur franais et carte utilise ltranger dans lespace SEPA,
-metteur franais et carte utilise ltranger hors de lespace SEPA ;
le type de carte de paiement
2
, y compris les porte-monnaie lectroniques;
que le fraudeur soit un tiers, le banquier teneur de compte, le porteur de la carte lui-mme (dans le
cas par exemple dune utilisation aprs dclaration de vol ou de perte, ou dune dnonciation abusive de
transactions), laccepteur, lmetteur, un assureur, un tiers de confance
1 Dans le cas dInternet, laccepteur peut tre diffrent du fournisseur de service, ou dun tiers de confiance (paiements, dons effectus par des
internautes en soutien dun site, dune idologie).
2 Tel que dfini larticle L. 132-1 du Code montaire et financier dans sa version antrieure au 1
er
novembre 2009.
ANNEXE 6
A20
Typologie de la fraude
LObservatoire a par ailleurs dfni une typologie de la fraude qui distingue les lments suivants.
Les origines de fraude :
carte perdue ou vole : le fraudeur utilise une carte de paiement suite une perte ou un vol;
carte non parvenue : la carte a t intercepte lors de son envoi son titulaire lgitime par lmetteur.
Ce type dorigine se rapproche de la perte ou du vol. Cependant, il sen distingue, dans la mesure o le
porteur peut moins facilement constater quun fraudeur est en possession dune carte lui appartenant et
o il met en jeu des vulnrabilits spcifques aux procdures denvoi des cartes;
carte falsife ou contrefaite : une carte de paiement authentique est falsife par modifcation des
donnes magntiques, dembossage ou de programmation. La contrefaon dune carte suppose la cration
dun support donnant lillusion dtre une carte de paiement authentique et/ou susceptible de tromper
un automate ou une personne quant sa qualit substantielle. Pour les paiements efectus sur automate
de paiement, une telle carte, fabrique par le fraudeur, supporte les donnes ncessaires tromper le
systme. En commerce de proximit, une carte contrefaite est une carte fabrique par un fraudeur, qui
prsente certaines scurits (dont laspect visuel) dune carte authentique, supporte les donnes dune
carte authentique et est destine tromper la vigilance dun accepteur;
numro de carte usurp : le numro de carte dun porteur est relev son insu ou cr par moulinage
(voir le paragraphe sur les techniques de fraude ci-dessous) et utilis en vente distance;
numro de carte non afect : utilisation dun PAN
3
cohrent mais non attribu un porteur, puis
gnralement utilis en vente distance;
fractionnement du paiement : action qui consiste scinder le paiement en vue de passer en dessous
des plafonds fxs par lmetteur.
Les techniques de fraude :
skimming : technique qui consiste en la copie, dans un commerce de proximit ou dans des distributeurs
automatiques, des pistes magntiques dune carte de paiement laide dun lecteur mmoire appel
skimmer. ventuellement, le code confdentiel est galement captur de visu, laide dune camra ou
encore par dtournement du clavier numrique. Ces donnes seront inscrites ultrieurement sur les pistes
magntiques dune carte contrefaite;
hameonnage ou phishing : technique utilise par les fraudeurs visant obtenir des donnes personnelles,
principalement par le biais de courriels non sollicits renvoyant les utilisateurs vers des sites frauduleux
ayant lapparence de sites de confance;
ouverture frauduleuse de compte : ouverture dun compte de rfrence en fournissant de fausses
donnespersonnelles;
3 Personal Account Number.
A21
ANNEXE 6
usurpation d'identit : actes frauduleux lis un paiement par carte et supposant lutilisation de lidentit
dune autre personne;
rpudiation abusive : contestation par le porteur, de mauvaise foi, dun ordre de paiement valide dont
il est linitiateur;
piratage d'automates de paiement ou de retrait : technique qui consiste placer des dispositifs de
duplication de cartes sur des automates de paiement ou des distributeurs automatiques de billets;
piratage de systmes automatiss de donnes, de serveurs ou de rseaux : intrusion frauduleuse sur de
telssystmes;
moulinage : technique de fraude consistant utiliser les rgles, propres un metteur, de cration de
numros de cartes pour gnrer de tels numros et efectuer des paiements.
Les types de paiement :
paiement de proximit, ralis au point de vente ou sur automate;
paiement distance ralis sur Internet, par courrier, par fax/tlphone, ou par tout autre moyen;
retrait (retrait DAB ou autre type de retrait).
La rpartition du prjudice entre :
la banque du commerant, acqureur de la transaction;
la banque du porteur, mettrice de la carte;
le commerant;
le porteur;
les ventuelles assurances;
et les autres types dacteurs.
La zone gographique dmission ou dutilisation de la carte
ou des donnes qui lui sont attaches :
lmetteur et lacqureur sont, tous deux, tablis en France. On dira galement, dans ce cas, que la transaction
est nationale. Pour autant, pour les paiements distance, le fraudeur peut oprer depuis l'tranger;
lmetteur est tabli en France et lacqureur est tabli ltranger dans lespace SEPA ;
lmetteur est tabli en France et lacqureur est tabli ltranger hors espace SEPA ;
lmetteur est tabli ltranger dans lespace SEPA et lacqureur est tabli en France ;
lmetteur est tabli ltranger hors espace SEPA et lacqureur est tabli en France.
ANNEXE 6
A22
Le secteur dactivit du commerant pour les paiements distance :
alimentation : piceries, supermarchs, hypermarchs, ;
approvisionnement dun compte, vente de particulier particulier : sites de vente en ligne entre particuliers, ;
assurance ;
commerce gnraliste et semi-gnraliste : textile/habillement, grand magasin, gnraliste vente sur
catalogue, vente prive, ;
quipement de la maison, ameublement, bricolage ;
jeu en ligne ;
produits techniques et culturels : matriel et logiciel informatiques, matriel photographique, livre, CD/DVD, ;
sant, beaut, hygine ;
services aux particuliers : htellerie, service de location, billetterie de spectacle, organisme caritatif, ;
services aux professionnels : matriel de bureau, service de messagerie, ;
tlphonie et communication : matriel et service de tlcommunication/tlphonie mobile ;
voyage, transport : ferroviaire, arien, maritime ;
divers.
diteur
Banque de France
39, rue Croix-des-Petits-Champs
75001 Paris
Directeur de la publication
Denis Beau,
Directeur gnral des Oprations
Banque de France
Rdacteur en chef
Frdric Hervo,
Directeur des Systmes de paiement et Infrastructures de march
Banque de France
Secrtariat de rdaction
Marcia Toma, Josiane Usseglio-Nanot
Ralisation
Direction de la Communication
de la Banque de France
Oprateurs PAO
Nicolas Besson, Pierre Bordenave, Anglique Brunelle,
AlexandrineDimouchy, Christian Heurtaux, FranoisLcuyer,
Aurlien Lefvre, Carine Otto, IsabellePasquier
Version papier
Observatoire de la scurit des cartes de paiement
011-2323
Tlphone : +1 42 92 96 13
Tlcopie : +1 42 92 31 74
Impression
Banque de France
Dpt lgal
Ds parution
Internet
www.observatoire-cartes.fr
Le rapport de lObservatoire de
la scurit des cartes de paiement
est en libre tlchargement sur
le site internet de l'Observatoire
(www.observatoire-cartes.fr).
Une version imprime peut tre
obtenue gratuitement, jusqu
puisement du stock, sur simple
demande (cf. adresse ci-contre).
LObservatoire de la scurit des
cartes de paiement se rserve le droit
de suspendre le service de la difusion
et de restreindre le nombre de copies
attribues par personne.

Rapport CB

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Rapport CB

Hochgeladen von

Copyright:

Verfügbare Formate

R AP P ORT ANNUEL

Das könnte Ihnen auch gefallen