OSCP Rapport Annuel 2014

2014 R A P P O R T A N N U E L
DE LOBSERVATOIRE DE LA SCURIT
DES CARTES DE PAIEMENT
bservatoire
de la scurit
des cartes de paiement
www.observatoire-cartes.fr
bservatoire
de la scurit
des cartes de paiement
31, rue Croix-des-Petits-Champs 75049 Paris Cedex 01
Code Courrier : 11-2323
Rapport annuel 2014
de lObservatoire de la scurit des cartes de paiement
adress
Monsieur le ministre de lconomie,
de l'Industrie et du Numrique
Monsieur le ministre des Finances et des Comptes publics
Monsieur le prsident du Snat
Monsieur le prsident de lAssemble nationale
par
Christian Noyer,
gouverneur de la Banque de France,
prsident de lObservatoire de la scurit des cartes de paiement
LObservatoire de la scurit des cartes de paiement, mentionn au I de larticle L1414 du Code montaire
et financier, a t cr par la loi n 20011062 du 15 novembre 2001 relative la scurit quotidienne.
Sesmissions en font une instance destine favoriser lchange dinformations et la concertation entre toutes les
parties concernes (consommateurs, commerants, metteurs et autorits publiques) par le bon fonctionnement
et la scurit des systmes de paiement par carte.
Conformment lalina 6 de cet article, le prsent rapport constitue le rapport dactivit de lObservatoire
quiestremis au ministre charg de lconomie et au ministre charg des finances et transmis au Parlement.
NB: Pour ses travaux, lObservatoire distingue les systmes de paiement par carte de type interbancaire et ceux de type privatif .
Les premiers correspondent ceux dans lesquels il existe un nombre lev de prestataires de services de paiement metteurs et acqureurs.
Les seconds correspondent ceux dans lesquels il existe un nombre rduit de prestataires de services de paiement metteurs et acqureurs.
Sommaire
SYNTHSE
chapitre 1 : tat des lieux de la scurisation des paiements
par carte sur internet
1| tat davancement de la scurisation des paiements par carte sur internet
1|1 La quasitotalit des porteurs est dsormais quipe dau moins un dispositif
dauthentification renforce
1|2 Le taux dchec sur les transactions authentifies de manire renforce
se rapproche de celui sur les transactions nonauthentifies
1|3 Le recours lauthentification via 3D-Secure continue progresser,
port par un meilleur taux dquipement des ecommerants
2|Les actions menes par les instances nationales et europennes pour promouvoir
7
11
11
11
12
12
le renforcement de la scurit des paiements sur internet
13
2|1 Les actions menes par la Banque de France et lObservatoire

2|2 Laction des autorits europennes
2|3 Les Assises nationales des paiements ont reconnu le rle de lauthentification renforce
pour dvelopper des moyens de paiement faciles et srs utiliser
13
13
3|Conclusion
chapitre 2 : Statistiques de fraude pour 2014
1|Vue densemble
2|Rpartition de la fraude par type de carte
3|Rpartition de la fraude par zone gographique
4|Rpartition de la fraude par type de transaction
5|Rpartition de la fraude selon son origine
chapitre 3 : UTILISATION DES TECHNIQUES BIOMTRIQUES
LORS DES OPRATIONS AVEC DES CARTES DE PAIEMENT
1|Rappel du contexte
2|Dfinition de la biomtrie et application la carte de paiement
2|1 Dfinition
2|2 Application la carte de paiement
2|2|1 Quels cas dusage de la biomtrie pour les paiements par carte ?
2|2|2 Les limitations du recours la biomtrie
2|2|3 Les standards existants
3| tat des lieux des dispositifs biomtriques utiliss
14
14
15
16
17
17
18
22
27
27
27
27
29
29
30
31
pour des oprations de paiement par carte
32
3|1 tapes prliminaires la mise en uvre dun dispositif biomtrique

3|1|1 Lenrlement des utilisateurs
3|1|2 Le stockage des empreintes de rfrence des utilisateurs
3|1|3 Laccs au service conditionn par le dispositif biomtrique
3|2 Apport possible de lauthentification biomtrique par rapport aux dispositifs existants
3|3 Application au paiement distance
3|4 Application au paiement de proximit
3|5 Application au retrait
32
32
33
33
34
34
35
35
36
4|Conclusion
Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014
Sommaire
chapitre 4 : Les nouveaux moyens de paiement :

de nouveaux enjeux de scurit
Synthse de la confrence du 22 octobre 2014
organise par la Banque de France et la Banque centrale europenne
1|Lmergence de nouveaux enjeux de scurit
2|La coopration des autorits europennes en matire de scurit des moyens de paiement
3|Les attentes en matire de scurit sur les nouveaux moyens de paiement
3|1 La scurit des paiements par tlphone mobile
3|2 La scurit des paiements par internet
3|3 Les dfis scuritaires lis lmergence des tiers de paiement
annexes
Annexe 1 : Conseils de prudence lusage des porteurs
Annexe 2 : Protection du titulaire dune carte en cas de paiement non autoris
Annexe 3 : Missions et organisation de lobservatoire
Annexe 4 : Liste nominative des membres de lobservatoire
Annexe 5 : Dossier statistique
Annexe 6 : Dfinition et typologie de la fraude relative aux cartes de paiement
37
37
39
39
39
41
41
A1
A3
A7
A11
A13
A19
Synthse
e douzime rapport annuel dactivit de lObservatoire de la scurit des cartes de paiement,

relatif lexercice 2014, comprend quatre parties dont les principales conclusions sont
reprises ciaprs.
1re partie: tat des lieux de la scurisation des paiements par carte
sur internet
La poursuite de la baisse du taux de fraude sur les paiements par carte sur internet tmoigne des
efforts raliss par les metteurs et les e-commerants pour mieux scuriser ces transactions.
Plus de 90% des porteurs de carte sont ainsi quips de dispositifs dauthentification renforce.
Chez les e-commerants, le taux dquipement est proche de 60 %, ce qui reprsente une
hausse significative(43% lan pass), principalement due une adoption du mode de scurisation
3D-Secure chez les petits e-commerants et la possibilit de dclencher une authentification
sur la base dune analyse de risques.
Le taux dchec sur les transactions authentifies est rest un niveau quivalent celui du taux
dchec des transactions non authentifies, confirmant ainsi labsence dobstacle ladoption de
ce type de dispositif de scurisation pour les e-commerants.
Dans ce contexte, lObservatoire rappelle lensemble des acteurs concerns que la gnralisation
des dispositifs dauthentification renforce est galement une priorit, tant de lEurosystme, que
de lAutorit bancaire europenne, dont les recommandations relatives la scurit des moyens
de paiement sur internet entrent envigueur au 1er aot2015.
2e partie: statistiques de fraude pour lanne2014

Le taux de fraude sur les paiements et les retraits sur les cartes mises enFrance est rest stable
en2014 pour la deuximeanne conscutive, 0,069%. Enincluant les transactions des cartes
mises dans dautres pays, le taux de fraude global reste stable galement, 0,080% pour la
troisimeanne conscutive.
Cette stabilisation du taux de fraude global rsulte toutefois de tendances contraires:
P
our la premire fois depuis 2004, le montant de fraude sur les transactions nationales
diminue 235millions deuros(239millions deuros en2013), alors mme que le montant de
transactions continue de progresser. Le taux de fraude sur les transactions nationales est ainsi
endiminution, 0,043%(contre 0,046% en2013), de mme que le taux de fraude sur les
paiements de proximit(0,010%, aprs 0,013% en2013).
Pour la troisime anne conscutive, le taux de fraude sur les paiements distance continue
de se rduire, 0,248%(contre 0,269% en2013). Toutefois, dans un contexte de croissance
soutenue du e-commerce, les montants de fraude sur les paiements distance continuent
daugmenter. Les paiements distance reprsentent toujours la majeure partie de la fraude
enmontant(66,5%) alors quils ne constituent que 11,6% du montant total des paiements.
77
Synthse
ce titre, certains secteurs dactivit, notamment celui de la tlphonie et des communications,

prsentent des taux de fraude pour les transactions enligne nettement suprieurs lensemble
des e-commerants, appelant une vigilance renforce des acteurs concerns.
linverse, le taux de fraude sur les retraits continue progresser(0,034%, aprs 0,033%
en2013), dans un contexte o le piratage de distributeurs de billets et le vol de cartes avec
code restent des malversations prises des rseaux de fraude organiss.
Par ailleurs, les premires donnes statistiques relatives aux paiements enmode sans contact
font ressortir un taux de fraude limit sur les neuf derniers mois de2014, 0,015%, soit un
niveau intermdiaire entre celui des paiements de proximit et celui des retraits aux distributeurs
automatiques de billets. Cette fraude a presque exclusivement pour origine le vol ou la perte
de la carte, confirmant ainsi lanalyse faite par lObservatoire quun risque de fraude lie la
technologie sans contact demeure trs limit.
La fraude sur les transactions internationales continue daugmenter, 266 millions
deuros(contre 231,3millions en2013), mais enraison dune croissance forte de lactivit,
le taux de fraude sur les transactions internationales est orient la baisse, 0,456%, aprs
0,480% en2013. Il reste toujours plus de dix fois suprieur celui des transactions nationales.
De ce fait, les transactions internationales reprsentent 41% du montant total de la fraude sur
les cartes mises enFrance, alors quelles ne comptent que pour 6% de la valeur totale des
transactions ralises.
En particulier, les taux de fraude sur les paiements distance de cartes franaises dans
ou hors zone SEPA restent des niveaux levs (respectivement 0,910 % et 0,960 %),
notamment sous leffet dune meilleure scurisation des transactions distance sur les sites
franais et donc dun report des fraudeurs vers des sites situs ltranger. Lentre envigueur
lt2015 des orientations de lAutorit bancaire europenne prvoyant la gnralisation du
recours lauthentification renforce des payeurs devrait permettre de lutter plus efficacement
contre la fraude sur les paiements distance dans la zone SEPA.
3e partie: travaux de veille technologique sur lusage de la biomtrie

comme facteur dauthentification
Certains modes dauthentification reposant sur la biomtrie, dj utilise quotidiennement par
une part croissante du grand public, pourraient venir renforcer la scurisation doprations
de paiement par carte, quelles soient distance ou de proximit, ou de retrait. De ce fait,
lObservatoire asouhait faire un tat des lieux de ces techniques dauthentification et de leurs
conditions de mise enuvre.
Lutilisation de techniques biomtriques tant strictement encadre enFrance par la loi Informatique
et Liberts, lObservatoire rappelle que leur application au sein de solutions de paiement requiert
le dpt dune demande dautorisation auprs de la CNIL.
Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice2014
Synthse
LObservatoire constate que les exprimentations menes enFrance visent enpriorit tester
lergonomie des dispositifs biomtriques. Avant tout dploiement grande chelle, lObservatoire
estime ncessaire quune analyse des risques lis lusage de lauthentification biomtrique soit
conduite afin que le niveau de protection des solutions mises enuvre soit au moins quivalent
celui offert par les techniques djenplace(code confidentiel et carte puce pour le paiement
de proximit, code non rejouable pour le paiement distance).
Par ailleurs, soulignant le manque dlments dapprciation du niveau de scurit des dispositifs
biomtriques par rapport aux technologies actuellement enuvre(carte puce, carte SIM des
tlphones portables, etc.), lObservatoire appelle les acteurs dvelopper des rfrentiels de
scurit permettant de qualifier les solutions proposes enprenant encompte lensemble de leurs
composants et paramtres (matriels de capture de lempreinte biomtrique et de traitement,
algorithmes, cas dusage).
LObservatoire appelle galement les acteurs tre vigilants durant les phases dexprimentation
de solutions fondes sur la biomtrie, la compromission dempreintes biomtriques utilises par
celles-ci pouvant mettre encause le dploiement de solutions futures plus grande chelle.
Enfin, du fait des limitations inhrentes la biomtrie et du manque de maturit de lvaluation
scuritaire de ces dispositifs, lObservatoire recommande de toujours conserver un moyen
dauthentification alternatif capable de se substituer au dispositif biomtrique.
4e partie: synthse de la confrence Les nouveaux moyens

depaiement: de nouveaux enjeux de scurit du 22 octobre2014
La Banque de France a organis le 22 octobre2014 Paris, encollaboration avec la Banque
centrale europenne, une confrence internationale sur les nouveaux dfis enmatire de scurit
des moyens de paiement. Cette journe a t loccasion de dvelopper un dialogue entre
institutions europennes, autorits nationales et acteurs de march autour de ces sujets. Trois
grands axes qui conditionneront lavenir des travaux sur la scurit des moyens de paiement se
sont ainsi dgags des changes.
En premier lieu, la coopration la fois entre les diffrentes autorits concernes au niveau
europen, au travers denceintes telles que le forum europenSecure Pay1, mais aussi entre ces
autorits et les nombreuses parties prenantes du march des paiements(banques, entreprises,
fournisseurs de solutions, consommateurs), est apparue comme une rponse efficace au
besoin dun dveloppement cohrent des exigences scuritaires sur le march europen.
Le forum europen SecuRe Pay, coprsid par la BCE et lABE, runit les banques centrales et superviseurs bancaires nationaux sur les sujets
relatifs la scurit des moyens de paiement scripturaux.
Synthse
10
Ensuite, la prise en compte en permanence des volutions du march, dans un contexte o

linnovation fait voluer rapidement les usages des consommateurs, doit faire partie intgrante
du fonctionnement des autorits europennes. ce titre, les travaux conduits au niveau du
forum SecuRe Pay et de lAutorit bancaire europenne concernant la scurit des paiements
sur internet illustrent cette volont dinvestir les segments les plus innovants en matire de
dveloppement de services de paiement srs et efficaces.
Enfin, dans un secteur enforte volution, la recherche dun quilibre entre innovation et scurit
est galement un paramtre intgrer dans laction des autorits, qui doivent veiller ce que
les exigences rglementaires ne constituent pas une barrire au dveloppement de nouveaux
services. Les rflexions conduites dans le cadre de la rvision de la directive sur les services de
paiement, concernant enparticulier lencadrement des activits des tiers de paiement et de leurs
conditions de scurit, illustrent cette volont de permettre louverture du march des paiements
linnovation tout enmatrisant les risques pour lensemble des acteurs et les consommateurs.
la finance solidaireCou
hapitre
thique
1
tat des lieux de la scurisation

des paiements par carte sur internet
La fraude sur les paiements par carte sur internet et
les moyens mis en uvre par les acteurs de la chane
de paiement afin de sen prmunir font lobjet dun
suivi rgulier par lObservatoire.
Parmi les mesures que lObservatoire recommande,
la gnralisation progressive de lauthentification
renforce du porteur par lutilisation dun
code de validation non rejouable, chaque fois
que cela est possible et pertinent, occupe une
placeprpondrante.
Le prsent chapitre rend compte du suivi de la
mise en uvre de cette recommandation(partie1)
ainsi que des actions menes par lObservatoire,
la Banque de France et les initiatives au niveau
europen pour promouvoir le renforcement de
la scurit des paiements sur internet(partie2).
1| tat davancement
de la scurisation des paiements
par carte sur internet
La multiplication des tentatives de fraude et
attaques visant compromettre des donnes ou
des moyens de paiement oblige les acteurs sadapter
en permanence aux volutions des scnarios de
fraude mis en uvre et aux mesures dployes
pour y rpondre. Parmi celles-ci, la gnralisation
de lauthentification renforce du porteur reste une
priorit de lObservatoire.
Dans ce contexte, un suivi statistique semestriel
du dploiement des solutions dauthentification
est ralis par lObservatoire auprs des principaux
tablissements bancaires.
Ce suivi statistique, portant sur un primtre de
58,8millions de cartes de paiement et 39,6milliards
deuros de paiements(dont 12,4milliards scuriss
par le dispositif 3D-Secure1), permet de mesurer

lvolution quantitative et qualitative de la mise en
uvre de lauthentification renforce.
La neuvime campagne de collecte, qui portait sur
la priode du 1ernovembre2014 au 30avril2015,
met en vidence trois principaux enseignements.
1|1 La quasi-totalit des porteurs

est dsormais quipe
dau moins un dispositif
dauthentification renforce
Le taux moyen de porteurs quips dau moins un
dispositif dauthentification renforce a fortement
progress sur les trois dernires annes, passant de
77% plus de 90%. La lgre baisse en moyenne
observe sur la dernire collecte(90,9% en avril2015,
Graphique 1
Distribution des taux dquipement des porteurs
dun dispositif dauthentification renforce (AR)
(en%)
120
100
80
60
40
20
0
Avril
Oct.
Avril
Avril
Oct.
Oct.
Avril
2012
2013
2014
2015
Proportion des porteurs quips AR
dans l'tablissement le plus en retard
Proportion des porteurs quips AR
dans l'tablissement le plus en avance
Proportion des porteurs quips AR au niveau de la Place
cart dans lequel se situent
les donnes de 50 % des tablissements
Source: Observatoire de la scurit des cartes de paiement.
Protocole interbancaire de scurisation des paiements par carte en ligne permettant lauthentification du porteur.
11
11
tat des lieux de la scurisation des paiements par carte sur internet
12
contre 93,3% en octobre2014) sexplique par la

migration de la clientle dun grand metteur de la
Place vers un nouveau mode dauthentification forte.
En considrant le primtre des porteurs ayant
effectivement ralis une opration de paiement
par internet sur les six derniers mois, le taux est
proche de 100%.
Parmi les dispositifs dauthentification proposs, le
SMS OTP2 reste toujours largement majoritaire.
1|2 Le taux dchec3 sur les

transactions authentifies de
manire renforce se rapproche
de celui sur les transactions
nonauthentifies
LObservatoire a pu constater lvolution favorable
du taux dchec sur les paiements authentifis au
fil des collectes ralises, passant de 18% en2011
14,6% sur la dernire collecte.
rduit, tmoignant dune meilleure comprhension

des dispositifs dauthentification renforce par les
porteurs, permise notamment par la gnralisation du
systme 3D-Secure par de grands ecommerants.
Ainsi, ce taux dchec est mme devenu
en2014 lgrement infrieur au taux dchec
sur les paiements non authentifis, collect par
lObservatoire depuis2013, et qui se situe 14,9%.
LObservatoire note ainsi quil se confirme
que lauthentification renforce du porteur,
chaque fois que cela est possible et pertinent,
ne constitue pas un obstacle au dveloppement
du commerce lectronique.
1|3 Le recours lauthentification

via 3D-Secure continue
progresser, port par un
meilleur taux dquipement des
e-commerants
De plus, les carts constats sur ce taux dchec

entre les tablissements sonds sest fortement
La part des transactions authentifies en valeur

progresse sur un an de 29,7% 31,3% des montants.
Cette volution positive contribue la diminution
du taux de fraude des paiements distance en2014.
Graphique 2
Distribution du taux dchec 3DSecure (3DS)
En outre, la proportion de commerants quips

en dispositifs dauthentification renforce progresse
significativement, passant en un an de 43% 58%.
(en%)
50
Graphique 3
Part des paiements en ligne scuriss
par 3DSecure (en montant)
40
30
(en%)
20
35
30
10
25
0
Avril
2012
Oct.
Avril
2013
Oct.
Avril
2014
Oct.
Avril
2015
Taux d'chec 3D-S dans l'tablissement le moins affect

Taux d'chec 3D-S dans l'tablissement le plus affect
Taux d'chec 3D-S au niveau de la Place
Taux d'chec non 3D-Secure
cart dans lequel se situent les donnes
de 50 % des tablissements
2
3
23,00
27,47 27,75
24,90 25,54
29,72
31,10 31,29
20 17,90
15
10
5
0
Avril Oct. Avril Oct. Avril Oct. Avril Oct. Avril
2011
2012
2013
2014
2015
SMS OneTime Password : principe de rception par SMS dun code unique chaque transaction pour authentifier le porteur de la carte.
Sont inclus dans les motifs dchec les abandons porteur (tous motifs confondus), les problmes techniques (tous motifs confondus), les
tentatives de fraude, les saisies errones.
Graphique 4
Distribution du taux dquipement
des e-commerants en dispositif 3DSecure
(en%)
100
80
60
40
20
0
Avril
2012
Oct.
Avril
Oct.
Avril
Oct.
Avril
2013
2014
2015
Taux de commerants quips en 3D-Secure
dans l'tablissement le moins avanc
dans l'tablissement le plus avanc
au niveau de la Place
cart dans lequel se situent
les donnes de 50 % des tablissements
Cette hausse sexplique notamment par une adoption

de ce mode de scurisation des paiements chez les
petits e-commerants et la possibilit de dclencher
une authentification 3D-Secure sur la base dune
analyse de risques.
2| Les actions menes

par les instances nationales
et europennes pour promouvoir
le renforcement de la scurit
des paiements sur internet
2|1 Les actions menes
par la Banque de France
et lObservatoire
La Banque de France a poursuivi son action de
sensibilisation des e-commerants et de leurs
prestataires de services de paiement la lutte
contre la fraude, dans le prolongement des actions
inities en2013 la demande de lObservatoire. Par
ailleurs, la Banque de France a mis en place auprs
des acteurs impliqus dans la chane du paiement un

processus de remonte des incidents de production
lis ltape dauthentification des porteurs. Ces
informations visent mieux identifier les points
de faiblesse des dispositifs dploys conduisant le
cas chant dtriorer le taux de transformation4
des paiements authentifis.
LObservatoire constate, sur lexercice 2014,
que la majorit des grands e-commerants rencontrs
a dploy des plans daction visant rduire le taux
de fraude, en particulier au moyen de mcanismes
dauthentification renforce des porteurs. Cette
dmarche devrait faciliter la mise en uvre en France
des volutions rglementaires europennes visant
renforcer la scurit des paiements par internet.
2|2 Laction des autorits europennes

LAutorit bancaire europenne(ABE) a publi
en dcembre2014 une orientation sur la scurit
des paiements sur internet. Celles-ci, reprenant
largement les recommandations mises par le
forum SecuRePay en2013, visent notamment
gnraliser lauthentification forte du client
enprconisant:
dune part, aux metteurs de cartes de permettre
lauthentification forte du titulaire de la carte;
dautre part, aux prestataires de services de
paiement dexiger que leurs commerants en ligne
favorisent des solutions permettant lmetteur de
procder une authentification forte du titulaire de
la carte pour les oprations effectues sur internet.
LABE prcise que lutilisation de mesures alternatives
dauthentification peut tre envisage pour des
catgories prdfinies doprations faible risque,
par exemple sur la base dune analyse du risque
inhrent lopration.
Les recommandations de lABE sur la scurit des
paiements par internet sont applicables partir
du 1er aot2015. Elles ont t incorpores au sein
des cadres de surveillance de lEurosystme sur les
moyens de paiement.
Le taux de transformation, ou taux de conversion, vise chez un commerant en ligne mesurer le nombre dachats raliss par rapport au
nombre de visites reues sur un site.
13
14
Le recours systmatique lauthentification renforce

pour les paiements par internet sera en outre pris en
compte dans la rvision de la directive sur les services
de paiement(dite DSP2), dont la publication est
prvue au second semestre2015 et qui ncessitera
une transposition en droit national5.
2|3 Les Assises nationales

des paiements ont reconnu
le rle de lauthentification
renforce pour dvelopper
des moyens de paiement faciles
et srs utiliser
Les Assises nationales des paiements, organises
sous lgide du ministre des Finances et des
Comptes publics, Michel Sapin, et du ministre
de lconomie, de lIndustrie et du Numrique,
Emmanuel Macron, se sont tenues le 2juin2015.
Elles visaient dfinir les contours dune stratgie
nationale de modernisation des moyens de paiement
avec pour objectifs, dune part, de rpondre aux
besoins des utilisateurs en terme de rapidit, de
scurit et daccessibilit des moyens de paiement,
et, dautre part, de dvelopper lusage de moyens
de paiement innovants et la comptitivit de
lindustrie nationale des paiements.
La gnralisation des dispositifs dauthentification
renforce des payeurs lors de paiements distance
sinscrit ainsi dans la perspective du dveloppement
de moyens de paiement faciles et srs utiliser,
au regard la fois de la part trs importante que
reprsente la fraude sur les paiements distance dans
le total de la fraude constate pour les paiements
par carte, et de la dynamique de dveloppement
du commerce en ligne.
Les propositions formules dans le cadre des travaux

prparatoires aux Assises nationales des paiements
prconisent notamment dencourager les initiatives
permettant une meilleure diffusion de lauthentification
renforce, en intensifiant les efforts de communication
et dducation mens auprs des commerants et
des utilisateurs, et le dveloppement de solutions
dauthentification renforce dites de deuxime
gnration, dont certaines prsentent lavantage
de ne pas ncessiter un quipement spcifique des
commerants en ligne ou par exemple fondes
sur lusage de la biomtrie. Lavnement de ces
dispositifs nouveaux viserait notamment rpondre
aux proccupations exprimes par les ecommerants,
en particulier au regard du fort dveloppement
des paiements par tlphone mobile et au manque
dergonomie des solutions existantes sur ce type
de terminal. ce titre, les nouvelles solutions qui
russiront simposer dans les prochaines annes
seront vraisemblablement celles qui allieront facilit
dutilisation et scurit, tout en reposant sur des
modles conomiques viables.
3| Conclusion
LObservatoire appelle lensemble des acteurs
du paiement poursuivre le renforcement de la
scurit des paiements par internet. Au regard de
laugmentation significative de la part des sites
decommerce quips(prs de 60% avril2015),
lObservatoire note que la gnralisation des
dispositifs dauthentification renforce est bien
amorce mais doit rester une priorit, permettant de
se conformer aux recommandations de lEurosystme
et de lAutorit bancaire europenne relatives la
scurit des moyens de paiement sur internet, qui
entrent en vigueur au 1er aot2015.
Voir prcisions sur le dispositif rglementaire de la DSP2 au chapitre 4.
hapitre
thique
2
Statistiques de fraude pour2014

Depuis2003, lObservatoire tablit des statistiques
de fraude sur les cartes de paiement de type
interbancaire et de type privatif, sur la base
de donnes recueillies auprs des metteurs et des
accepteurs. Ce recensement statistique suit une
dfinition et une typologie harmonises, tablies
ds la premireanne de fonctionnement de
lObservatoire et reprises enannexe 6 du prsent
rapport. Une synthse des statistiques pour2014
est prsente ci-aprs. Ellecomporte une vue
gnrale de lvolution de la fraude, selon le type
de carte(interbancaire ou privatif), le type
de transaction effectue(transactions nationales
ou internationales, transactions de proximit ou
distance, transactions de paiement ou de retrait)
et lorigine de la fraude(carte perdue ou vole, carte

non parvenue, carte altre ou contrefaite, numro
de carte usurp). Afin dassurer une cohrence avec
les chiffres et taux de fraude europens disponibles
auprs de la BCE1, les donnes concernant les seules
cartes mises en France sont prsentes sparment.
Ellesnincluent donc pas, par construction, la
fraude subie en France par des cartes mises dans
dautres pays et que lObservatoire est en mesure
de recenser. LObservatoire publie par ailleurs
cetteanne et pour la premirefois des donnes
partielles de fraude concernant les cartes de paiement
sans contact. Enfin, en complment, une srie
dindicateurs dtaills est prsente dans lannexe5
de ce rapport.
Encadr 1
Statistiques de fraude: les contributeurs

Afin dassurer la qualit et la reprsentativit des statistiques de fraude, lObservatoire recueille les donnes
de lensemble des metteurs de cartes de type interbancaire ou privatif.
Les statistiques calcules par lObservatoire pour lanne 2014 portent ainsi sur:
558,7milliards deuros de transactions ralises en France et ltranger au moyen de 71,0millions
de cartes de type interbancaire mises en France(dont 1,98million de porte-monnaie lectroniques
et 30,6millions de cartes sans contact);
17,2milliards deuros de transactions ralises(principalement en France) avec 14,6millions de cartes de
type privatif mises en France;
49,0milliards deuros de transactions ralises en France avec des cartes de paiement trangres de types
interbancaire et privatif.
Les donnes recueillies proviennent:
de 10 metteurs de cartes privatives: American Express, Banque Accord, BNP Paribas Personal Finance,
Crdit Agricole Consumer Finance(Finaref et Sofinco), Cofidis, Cofinoga, Diners Club, Franfinance, JCB
et UnionPay International;
des 130 membres du Groupement des Cartes Bancaires CB. Les donnes ont t obtenues par
lintermdiaire de ce dernier, ainsi que de MasterCard et de Visa Europe France;
des metteurs du porte-monnaie lectronique Moneo.
1 Cf. Third report on card fraud, fvrier 2014, rapport disponible enanglais sur le site de la BCE: https://www.ecb.europa.eu/pub/pub/paym/
html/index.en.html
15
15
Statistiques de fraude pour 2014
1| Vue densemble
16
En2014, le montant total de la fraude affectant les

cartes de paiement franaises sur les transactions de
paiement et de retrait ralises en France et ltranger
slve 395,6millions deuros, enaugmentation de
5,0% par rapport 2013, pour un montant total
de transactions qui atteint 575,9milliards deuros,
en augmentation de 4,9% par rapport 2013.
Compte tenu de ces lments, le taux de fraude
sur les cartes de paiement franaises reste
stable 0,069% aprs troisannes conscutives
daugmentation.
Le nombre de cartes franaises pour lesquelles au
moins une transaction frauduleuse a t enregistre
au cours de lanne2014 slve 905 600(+5,2%
par rapport 2013).
Graphique1
volution du montant des transactions
des cartes franaises
(en milliards deuros)
600
500
400
300
200
472,5
504,1
528,7
575,9
453,6
549,2
439,7
2008
2009
2010
2011
2012
2013
2014
100
0
Graphique3
volution du taux de fraude des cartes franaises
(en %)
0,070
0,065
0,069
0,069
2013
2014
0,065
0,060
0,061
0,055 0,057
0,059
0,057
0,050
2008
2009
2010
2011
2012
En incluant galement les transactions ralises en

France avec les cartes mises dans dautres pays, le
montant total de la fraude slve 500,6millions
deuros en2014, en augmentation de 6,5%
par rapport 2013, pour un montant total des
transactions qui atteint 624,9milliards deuros, en
croissance galement de 6,5% par rapport 2013.
Compte tenu de ces lments, le taux de fraude
global sur les transactions traites dans les systmes
franais, comprenant les paiements et les retraits
raliss en France et ltranger avec des cartes
franaises et les paiements et les retraits raliss
en France avec des cartes trangres, reste stable
0,080% pour la deuximeanne conscutive
aprs cinqannes daugmentation.
Le montant moyen dune transaction frauduleuse
est en diminution, pour stablir 112euros, contre
116euros en2013.
Graphique2
volution du montant de la fraude
des cartes franaises
Graphique4
volution du montant des transactions
traites dans les systmes franais
(en millions deuros)
(en milliards deuros)
500
700
600
400
500
300
400
200
300
100
249,2
265,6
269,4
306,8
345,2
376,6
395,6
200
100
+6%
299,0 318,3
+8%
+7%
345,1 368,5
+7%
395,1
+9%
+ 8 %+ 3 %
+4%
477,3 498,2
430,7 464,0
+7%
+5%
533,7 561,5
+7%
+4%
586,5 624,9
0
2008
2009
2010
2011
2012
2013
2014
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
Graphique5
volution du montant de la fraude sur les transactions
(en millions deuros)
600
500
400
300
+12 %
- 12 % - 2 % + 7 %
+7%
+ 19 %
+6%
200
273,7 241,6
235,9 252,6 268,5
100 245,2
+ 9 %+ 4 %
+ 12 %
+8%
368,9
320,2 342,4
413,2
conscutives daugmentation. Le taux de fraude

pour les cartes de type privatif stablit
0,062% en2014(contre 0,065% en2013), en
diminution pour la troisimeanne conscutive
aprs quatreannes daugmentation.
+7%
450,7 469,9
500,6
0
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
Graphique6
volution du taux de fraude sur les transactions
(cartes franaises et trangres)
(en %)
0,090
0,086
Pour les cartes de type interbancaire, la valeur

moyenne dune transaction frauduleuse est de
112euros, contre 122euros en2013. Pour les
cartes de type privatif, elle slve 297euros,
contre 352euros en2013.
3| Rpartition de la fraude
par zone gographique
Le montant de la fraude sur les transactions
domestiques est en diminution pour la
premirefois depuis la cration de lObservatoire.
Il slve 234,6millions deuros, pour un taux de
fraude de 0,043%, contre 238,6millions deuros
et un taux de fraude de 0,046% en2013.
0,085
0,080 0,080 0,080
0,077
0,080 0,082
0,074
0,072
0,075
0,070
0,069
0,070
0,064 0,064
0,065
0,060
0,062
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
par type de carte
Le taux de fraude pour les cartes de type
interbancaire stablit 0,080% en2014,
niveau stable depuis deuxannes, aprs cinqannes
Tableau 1
Rpartition de la fraude par type de carte
(taux en%, montants enmillions deuros)
2010
2011
2012
2013
0,074
0,077
0,080
0,080
0,080
(351,5)
(394,9)
(434,4)
(455,8)
(486,4)
Cartes de type
privatif
0,080
0,083
0,076
0,065
0,062
(17,4)
(18,3)
(16,3)
(14,0)
(14,2)
Total
0,074
0,077
0,080
0,080
0,080
(368,9)
(413,2)
(450,7)
(469,9)
(500,6)
Cartes de type
interbancaire
2014
linverse, le montant de la fraude sur les

transactions internationales est en augmentation
266,0millions deuros(+15,0% par rapport
2013) pour devenir sensiblement suprieur
celui de la fraude sur les transactions domestiques,
alors que ces deux montants taient rests proches
ces trois derniresannes. Le taux de fraude
sur les transactions internationales, bien quen
diminution notable en2014(0,316%, contre
0,350% en2013), demeure toujours plus de
septfois suprieur au taux de fraude sur les
transactions domestiques.
Ainsi les transactions internationales reprsentent
53,1% du montant total de la fraude alors quelles
ne comptent que pour 13,5% de la valeur totale
des transactions.
On continue observer, parmi ces transactions
internationales, une meilleure matrise de la fraude
sur les transactions ralises avec la zoneSEPA
que sur celles ralises avec les pays situs hors de
la zoneSEPA:
pour les cartes franaises, le taux de fraude sur les
transactions effectues hors zoneSEPA(0,636%) est
prs de deuxfois suprieur celui des transactions
effectues au sein de la zoneSEPA(0,374%);
17
18
Tableau 2
Rpartition de la fraude par zone gographique
Transactions domestiques
Transactions internationales
dont carte franaise et accepteur hors SEPA
dont carte franaise et accepteur SEPA
dont carte trangre hors SEPA
et accepteur franais
dont carte trangre SEPA
et accepteur franais
Total
2010
0,036
(163,8)
0,423
(205,0)
0,728
(54,9)
0,331
(50,6)
0,831
(64,5)
0,195
(35,0)
0,074
(368,9)
2011
0,044
(211,5)
0,367
(201,7)
0,638
(51,0)
0,255
(44,3)
0,892
(81,3)
0,122
(25,1)
0,077
(413,2)
2012
0,045
(226,4)
0,380
(224,3)
0,759
(62,5)
0,316
(56,3)
0,639
(78,2)
0,132
(27,3)
0,080
(450,7)
2013
0,046
(238,6)
0,350
(231,3)
0,688
(70,2)
0,366
(67,9)
0,404
(64,1)
0,135
(29,1)
0,080
(469,9)
2014
0,043
(234,6)
0,316
(266,0)
0,636
(70,0)
0,374
(91,0)
0,336
(65,6)
0,134
(39,3)
0,080
(500,6)
pour les cartes mises dans dautres pays que

la France, le taux de fraude sur les transactions
effectues en France avec des cartes mises hors
de la zoneSEPA(0,336%) est deuxfois et demie
suprieur celui des cartes mises au sein de la
zoneSEPA(0,134%).
soient renouveles au standardEMV au cours de

lanne2015, soit environ la moiti du parc actuel.
Ces rsultats rcompensent les efforts raliss depuis

plusieursannes en Europe et, dans une moindre
mesure et de faon plus tardive, dans le monde
entier, pour migrer lensemble des cartes et des
terminaux de paiement vers le standardEMV;
ilssoulignent galement, en France, lamlioration de
la dtection des tentatives de fraude par contrefaon
de piste magntique provenant de pays situs hors
zoneSEPA.
La typologie de transaction de paiement par carte adopte

par lObservatoire distingue troistypes doprations:
Dans ce contexte, les mesures incitativesannonces

par Visa, MasterCard, American Express et
Discover (Diners Club International) visant
encourager ladoption du standardEMV sur
le plan international mritent dtre soulignes.
Eneffet, la mise en uvre par de nouveaux pays,
dun transfert de responsabilit de lmetteur de la
carte vers le commerant en cas de fraude pour les
points de vente qui nauront pas migrs versEMV,
devrait fortement inciter lafois les metteurs
adopter rapidement ce standard pour toutes les
nouvelles cartes mises et les commerants engager
la migration de leurs terminaux. Il est ainsi prvu
aux tats-Unis que prs de 500millions de cartes
par type de transaction
les paiements de proximit et sur automate,(raliss

au point de vente ou sur les automates de distribution
de carburant, de billets de transport, de parking,etc.),
y compris les paiements sans contact;
les paiements distance(raliss sur internet,
par courrier ou par tlphone/fax);
et les retraits.
Pour une meilleure lisibilit, les dveloppements
qui suivent distinguent les donnes des transactions
domestiques des donnes des transactions internationales.
En ce qui concerne les transactions domestiques
(cf.tableau3), on observe que:
le taux de fraude sur les paiements de proximit et sur
automate est en diminution 0,010%. Cespaiements
reprsentent 66% du montant des transactions
nationales pour seulement 16% du montant de la fraude;
le taux de fraude sur les retraits est en lgre

augmentation pour stablir 0,034%. Cette
augmentation sexplique principalement par le
nombre toujours lev de piratages de distributeurs
automatiques de billets(plus de 1000 en2014)
et de points de vente(560 en2014, soit troisfois
plus de cas quen2013), qui sont devenus des cibles
privilgies pour les rseaux de fraude organise,
ainsi que par un nombre toujours important de
vols de carte avec code confidentiel.
Face la confirmation de ces tendances observes
depuis2011, lObservatoire ritre ses conseils de
prudence aux porteurs et rappelle les bonnes pratiques
suivre lors dune opration de paiement chez un
commerant ou lors dun retrait(cf.annexe1).
le taux de fraude sur les paiements distance
est galement en diminution 0,248% pour la
troisimeanne conscutive.
Cependant, ce taux demeure plus de vingtfois plus lev

que le taux de fraude sur les paiements de proximit.
Ainsi, les paiements distance, qui ne reprsentent
que 11,6 % de la valeur des transactions
domestiques, comptent pour plus de 66,5%
du montant de la fraude.
Le niveau de la fraude sur les paiements
distance conduit lObservatoire renouveler ses
recommandations visant au dploiement, par les
e-commerants, notamment ceux dentre eux qui
connaissent les montants de transactions frauduleuses
les plus levs, de dispositifs tels que 3D-Secure
permettant lauthentification renforce du porteur
de la carte pour les paiements les plus risqus.
Lentre en vigueur lt2015 des orientations
de lAutorit bancaire europenne relatives aux
paiements sur internet viendra dailleurs appuyer ces
recommandations(cf.chapitre1 du prsent rapport).
Tableau 3
Rpartition du taux de fraude domestique par type de transaction
Paiements
dont paiements de proximit
et sur automate
dont paiements distance
dont par courrier/tlphone
dont sur internet
Retraits
Total
2010
0,041
(137,3)
0,012
(36,2)
0,262
(101,1)
0,231
(27,3)
0,276
(73,9)
2011
0,049
(177,8)
0,015
(48,1)
0,321
(129,6)
0,259
(25,4)
0,341
(104,2)
2012
0,049
(190,0)
0,015
(51,2)
0,299
(138,8)
0,338
(29,4)
0,290
(109,4)
2013
0,050
(199,9)
0,013
(45,8)
0,269
(154,2)
1,122
(29,2)
0,229
(125,0)
2014
0,046
(193,0)
0,010
(37,8)
0,248
(155,9)
0,147
(2,8a))
0,251
(153,0a))
0,024
0,029
0,031
0,033
0,034
(26,5)
(33,7)
(36,4)
(38,6)
(41,4)
0,036
0,044
0,045
0,046
0,043
(163,8)
(211,5)
(226,4)
(238,6)
(234,6)
a) La diminution trs importante par rapport 2013, du montant de la fraude sur les paiements distance effectus par courrier ou
par tlphone, et linverse laugmentation de celle sur les paiements sur internet, sexpliquent pour grande partie par une modification
de la mthodologie statistique utilise par le Groupement des Cartes Bancaires (CB). Cette modification, qui naffecte pas le montant
total de la fraude ni le taux de fraude des paiements distance tous canaux confondus, impacte la rpartition de celle-ci entre le
canal internet et le canal courrier/tlphone. Une tude conduite par le Groupement CB a dmontr quil tait prfrable daffecter
dsormais au canal internet la fraude non qualifie par les enseignes de commerce distance, qui tait auparavant affecte par
dfaut au canal courrier/tlphone. Sur le mme sujet, on rappellera laction similaire, conduite en 2013, qui avait galement permis
damliorer la qualit des donnes dactivit (voir le rapportannuel 2013 de lObservatoire). LObservatoire encourage ce titre toutes
les parties prenantes poursuivre les actions visant amliorer la qualit des donnes qui lui sont dclares.
19
Encadr 2
20
Fraude aux paiements par carte sans contact

LObservatoire a collect, pour la premirefois cetteanne, les donnes permettant dvaluer le taux de fraude
sur les paiements sans contact. Ainsi, sur lensemble de lanne2014, 72,2millions de paiements sans contact
ont t enregistrs pour un montant total de 780,9millions deuros, soit un montant moyen de 11euros par
opration. Les donnes de fraude, quant elles, sont collectes de manire exhaustive depuis le 1er avril2014.
Sur les neufderniers mois de lanne2014, 9 600 paiements frauduleux ont t recenss pour un montant
total de 108000euros. Le taux de fraude sur les transactions sans contact peut tre estim 0,015% sur
cette priode, et stablirait donc un niveau intermdiaire entre le taux de fraude des paiements de proximit
tous modes confondus(0,010%), et celui des retraits(0,034%).
La fraude aux paiements sans contact a pour origine quasi exclusive le vol ou la perte de la carte; la technologie
sans contact elle-mme ne semble donc pas avoir prsent de faille exploitable pour les fraudeurs(de type
coute passive des donnes de carte lors dune transaction, ou activation distance de la carte dans des lieux
publics, par exemple), confirmant ainsi lanalyse des risques conduite par lObservatoire et publie dans son
rapportannuel2012. En outre, la mise en place par les metteurs de carte de plafonds sur le montant maximum
dune transaction unitaire(gnralement fix 20 ou 25euros) et sur le cumul des transactions conscutives
pouvant tre effectues sans la saisie du code confidentiel(gnralement fix 100euros), permet de limiter
le prjudice subi en cas de perte ou de vol dune carte.
On rappellera cette occasion que le porteur est protg par la loi en cas de fraude. Il dispose en France de
treizemois1 pour contester les transactions non autorises auprs de son prestataire de services de paiement,
qui doit alors le rembourser dans les plus brefs dlais. Les porteurs sont par ailleurs invits faire opposition le
plus rapidement possible auprs de ltablissement metteur de la carte lorsque celle-ci est perdue ou vole.
Dansle cas de fraudes rsultant dun paiement effectu en mode sans contact suite une perte ou un vol de sa
carte, onnotera que le porteur ne supportera aucune perte lie cette opration de paiement non autorise2.
Dans un contexte de fort dveloppement du taux dquipement des porteurs, avec plus de 30millions de cartes
disposant de la fonctionnalit de paiement sans contact en circulation fin dcembre2014, lObservatoire
appelle les metteurs toute la vigilance ncessaire, et rappelle les engagements pris concernant la
possibilit de dsactiver la fonction sans contact des cartes, soit en mettant des tuis de protection 3 la
disposition des utilisateurs, soit en mettant en uvre la dsactivation distance de la fonction sans contact4,
soitenpermettant le remplacement, la demande du porteur, dune carte sans contact par une carte dpourvue
de cette fonctionnalit.
La Banque de France dans son rle de surveillant des moyens de paiements scripturaux assure un suivi de la
mise en uvre de ces mesures.
1
2
3
4
Voir dtails enannexe 2.

Voirannexe 1: une opration de paiement par carte en mode sans contact est en effet effectue sans lutilisation du dispositif
personnalis de scurit de la carte (absence de saisie de code), ce qui signifie que mme avant opposition suite la perte
ou vol du moyen de paiement, le porteur ne peut pas supporter de pertes lies un paiement non autoris.
tuis de carte bloquant les ondes de communications de type NFC, permettant dviter toute activation non sollicite de la carte.
La fonction sans contact est alors dsactive par lexcution dun scriptEMV sur la carte, qui est ralise au moment de
linsertion dans un distributeur automatique de billets ou un terminal de paiement lectronique.
En ce qui concerne les transactions internationales

(cf.tableaux4), on remarque que la fraude sur les
paiements distance raliss par les cartes franaises
auprs des e-commerants trangers a trs fortement
augment en2014(104,5millions deuros, contre
81,2millions deuros en2013). Ce phnomne
peut sexpliquer par ladoption progressive par
les sites de commerce en ligne situs en France
de dispositifs de scurisation des paiements sur
internet, et par le report des fraudeurs vers des
sites trangers moins scuriss.
renforce, sous limpulsion notamment des

recommandations du forum europen SecuRe Pay sur
la scurit des moyens de paiement et des orientations
de lAutorit bancaire europenne(cf.chapitre1)
devrait toutefois permettre dinfirmer cette tendance
en zoneSEPA.
Enfin, on note la poursuite de la diminution de la
fraude sur les paiements de proximit et les retraits
raliss par les cartes franaises dans la zoneSEPA,
o lutilisation dEMV est dsormais gnralise.
On notera en particulier que le taux de fraude sur
les retraits effectus en zoneSEPA(0,033%) est
prs de 25fois infrieur celui des retraits effectus
hors zoneSEPA(0,890%), o la piste magntique
est encore trs utilise dans certains pays.
On constate ainsi des taux de fraude sur les paiements

distance particulirement levs lafois hors
zoneSEPA(0,960%) et en zoneSEPA(0,910%).
Le dploiement de dispositifs dauthentification
Tableau 4a
Rpartition de la fraude internationale par type de transaction Cartes franaises
Carte franaise Accepteur tranger hors SEPA
2011
2012
2013
2014
Paiements
0,561
0,687
0,547
0,532
(30,5)
(37,8)
(40,3)
(41,7)
dont paiements de proximit et sur automate
0,369
0,456
0,377
0,350
(16,0)
(19,8)
(17,7)
(19,2)
1,320
1,551
0,848
0,960
(14,5)
(18,0)
(22,6)
(22,5)
1,011
1,150
1,234
4,955
(3,1)
(4,0)
(6,4)
(7,5)
dont sur internet
1,440
1,720
0,755
0,682
(11,4)
(14,1)
(16,2)
(14,9)
Retraits
0,800
0,904
1,054
0,890
(20,5)
(24,7)
(29,9)
(28,3)
Total
0,638
0,759
0,688
0,636
(51,0)
(62,5)
(70,2)
(70,0)
0,300
0,372
0,434
0,434
(43,1)
(55,3)
(66,8)
(89,8)
0,140
0,131
0,089
0,067
(12,6)
(11,7)
(8,2)
(7,8)
0,571
0,735
0,937
0,910
Carte franaise Accepteur tranger SEPA

Paiements
(30,5)
(43,6)
(58,6)
(82,0)
0,643
0,532
1,566
1,317
(5,6)
(6,5)
(11,3)
(13,9)
dont sur internet
0,557
0,788
0,856
0,856
(24,9)
(37,1)
(47,3)
(68,1)
Retraits
0,040
0,036
0,036
0,033
(1,2)
(1,1)
(1,1)
(1,2)
Total
0,255
0,316
0,366
0,374
(44,3)
(56,3)
(67,9)
(91,0)
21
22
Tableau 4b
Rpartition de la fraude internationale par type de transaction Cartes trangres
Carte trangre hors SEPA Accepteur franais
2011
2012
2013
2014
Paiements
1,056
0,735
0,451
0,380
(80,7)
(77,7)
(63,2)
(65,0)
0,353
0,230
0,162

dont sur internet
()
(30,3)
(25,3)
(21,9)
2,378
1,268
1,213
()
(47,4)
(37,9)
(43,1)
0,737
0,930
1,018
()
(8,8)
(9,2)
(7,7)
4,833
1,436
1,265
()
(38,6)
(28,7)
(35,4)
Retraits
0,042
0,033
0,051
0,026
(0,6)
(0,6)
(0,9)
(0,6)
Total
0,892
0,639
0,404
0,336
(81,3)
(78,2)
(64,1)
(65,6)
0,155
0,158
0,158
0,156
(24,3)
(26,6)
(28,2)
(38,5)
0,046
0,039
0,026
Carte trangre SEPA Accepteur franais

Paiements
dont sur internet
()
(5,7)
(4,9)
(5,1)
0,466
0,458
0,476
()
(20,9)
(23,2)
(33,1)
0,216
0,308
0,397
()
(3,8)
(3,8)
(4,8)
0,626
0,506
0,492
()
(17,1)
(19,4)
(28,6)
Retraits
0,017
0,017
0,025
0,018
(0,8)
(0,7)
(0,9)
(0,9)
Total
0,122
0,132
0,135
0,134
(25,1)
(27,3)
(29,1)
(39,3)
selon son origine
La typologie dfinie par lObservatoire distingue
les origines de fraude suivantes:
carte perdue ou vole: le fraudeur utilise une carte
de paiement obtenue suite une perte ou un vol;
carte non parvenue: la carte a t intercepte lors
de son envoi entre lmetteur et le titulaire lgitime;
carte falsifie ou contrefaite: une carte de paiement

authentique est falsifie par modification des donnes
magntiques, dembossage ou de programmation;
une carte entirement fausse est ralise partir de
donnes recueillies par le fraudeur;
numro de carte usurp: le numro de carte
dun porteur est relev son insu ou cr par
moulinage(laide de gnrateurs alatoires
de numros de carte) et utilis ensuite en vente
distance.
Encadr 3
Fraude domestique en vente distance selon le secteur dactivit

LObservatoire a collect des donnes permettant de fournir des indications sur la rpartition1 de la fraude par
secteur dactivit pour les paiements distance. Ces chiffres ne portent que sur les transactions domestiques.
Tableau
Ventilation de la fraude domestique sur les paiements distance par secteur dactivit
(montants en millions d'euros, part en %)
Secteur
Montant de fraude
Services aux particuliers et aux professionnels

Voyage, transport
Commerce gnraliste et semi-gnraliste
Tlphonie et communication
quipement de la maison, ameublement, bricolage
Produits techniques et culturels
Divers
Jeu en ligne
Alimentation
Approvisionnement dun compte, vente de particulier particulier
Sant, Beaut, Hygine
Assurance
Total
31,8
30,8
29,5
26,7
12,7
8,0
6,0
3,2
2,6
2,5
1,8
0,4
155,9
Part du secteur
dans la fraude
20,4
19,7
18,9
17,1
8,2
5,1
3,8
2,0
1,7
1,6
1,1
0,3
100,0
Les secteurs Services aux particuliers et aux professionnels, Voyage/transport, Commerce gnraliste
et semi-gnraliste et Tlphonie et communication reprsentent 76% du montant de la fraude en vente
distance, apparaissant ainsi comme les plus exposs. La comparaison des taux moyens de chacun des
secteurs dactivit complte cette information et permet de constater que certains secteurs, tels les Produits
techniques et culturels, qui comptent pour une plus faible part du total de la fraude, subissent toutefois une
exposition leve.
On note que les taux de fraude par secteur sont presque tous proches voire infrieurs au taux de fraude moyen,
lexception notable du secteur Tlphonie et communication qui connat de manire durable un taux de
fraude trs suprieur la moyenne. LObservatoire appelle tout particulirement les acteurs de ce secteur
renforcer les mesures visant lutter contre la fraude.
Graphique
Taux de fraude domestique sur les paiements distance par secteur dactivit
(en %)
0,800
0,700
0,600
0,500
0,400
0,300
0,200
0,100
Taux de fraude 2013

1
Taux de fraude 2014
Taux moyen 2013 : 0,269 %
Cf.annexe 6 pour une description des secteurs retenus.
su
ran
ce
As
Je
ue
nl
ign
e
Ap
pro
A
ve vi
lim
nte sio
en
tat
de nne
ion
pa me
rtic nt
uli du
er n
p co
art mp
icu te,
Sa
lie
nt
r
,b
ea
ut
,h
yg
in
e
ers
Div
Se
rv
et ices
au au
xp xp
rof ar
es ticu
sio lie
nn rs
els
Vo
ya
ge
, tr
an
sp
Co
ort
mm
et erc
se e g
mi
T
-g n
lp
n ral
ho
ra ist
nie
lis e
te
et
co
mm
un
q
ica
u
tio
am ipem
n
eu en
ble t d
e
m
Pro
en la m
t, b a
du
its
ric iso
tec
ola n,
hn
ge
iqu
es
et
cu
ltu
rel
s
0,000
Taux moyen 2014 : 0,248 %
23
24
Graphique7
Rpartition de la fraude selon son origine (transactions domestiques en valeur)
(en %)
100
3
80
55
2
1
2
1
43
38
2008
2009
61
60
60
20
60
51
40
2
1
2
1
3
1
66
0
0
0
0
36
35
34
32
2011
2012
2013
2014
34
2010
65
Cartes perdues ou voles

Cartes non parvenues
Cartes altres ou contrefaites
Numro de carte usurp
Autres
Le graphique7 indique les volutions constates dans

ce domaine au niveau national pour lensemble des
cartes de paiement(la rpartition porte uniquement
sur les paiements et ninclut donc pas les retraits).
domestiques(32,5%), mais sa part est en diminution

continue(34,2% en2013) depuis troisannes.
La contrefaon de cartes nest lorigine que de
0,1% des paiements domestiques frauduleux, en
diminution sensible depuis plusieursannes(elle
slevait 2,6% en2011). Cette diminution
sexplique principalement par ladoption de
technologies de cartes puce par un nombre
croissant de systmes de cartes privatives et par le
renforcement de la scurit des cartes puceEMV
existantes2.
Lusurpation de numros de cartes pour raliser des

paiements frauduleux distance reste la principale
origine de la fraude(66,4% des montants),
enaugmentation par rapport 2013(64,6%).
La fraude lie aux pertes et vols de cartes reprsente
toujours prs du tiers de la fraude sur les transactions
Tableau 5
Rpartition de la fraude domestique selon son origine et par type de carte en2014
(montants enmillions deuros, part en%)
Tous types
de cartes
Montant
Carte perdue ou vole
Cartes
de type interbancaire
Part
Montant
Part
Cartes
de type privatif
Montant
Part
76,3
32,5
75,6
32,8
0,7
Carte non parvenue
0,9
0,4
0,5
0,2
0,4
9,6
Carte altre ou contrefaite
0,2
0,1
0,1
0,1
0,1
1,5
155,9
66,4
154,3
66,9
1,6
40,0
1,4
0,6
0,1
0,1
1,3
31,6
234,6
100,0
230,6
100,0
4,0
100,0
Numro usurp
Autres
Total
17,3
Migration de la technologie dauthentification des cartes du Static Data Authentication (SDA) vers le Dynamic Data Authentication (DDA).
Encadr 4
25
Indicateurs des services de police et de gendarmerie

Pour lanne2014, les services de police et de gendarmerie enregistrent nouveau une baisse importante des
interpellations pour fraude la carte bancaire, faisant tat de 45personnes interpelles, contre 103 en2013
et 122 en2012, et prs de 200cas paran entre2011 et 2009. Cette diminution est rapprocher de la
rponse pnale dune svrit croissante apporte ces infractions, avec ds fin2011 une chute trs nette
enFrance de lactivit lie aux officines de contrefaon de cartes bancaires trangres.
Le nombre de piratages de distributeurs automatiques de billets(DAB) reste stable avec 1048cas en2014
(environ 1000cas paran depuis2012, autour de 500 cas paran entre2011 et 2006, 200 en2005 et
seulement 80cas en2004). ceux-ci sajoutent 560piratages ciblant les points de vente (contre 188 en2013),
dont 525piratages de distributeurs automatiques de carburant(DAC) et 35 de terminaux de paiement chez
les commerants. Ces chiffres, qui demeurent levs pour les DAB et qui sont en trs nette augmentation
pour lesDAC, confirment dans les faits lintrt constant que portent les rseaux criminels la collecte des
donnes de carte. Ces donnes sont ensuite exploites soit pour contrefaire des cartes piste magntique qui
seront utilises pour des paiements et des retraits ltranger, principalement dans les pays o la technologie
de carte puceEMV est peu dploye; soit pour usurper des numros de carte en paiement distance,
principalement sur les sites de e-commerce qui nont pas encore mis en uvre lauthentification renforce
du porteur de la carte.
Graphique
Nombre dinfractions constates sur les distributeurs et terminaux
1 200
1 000
800
600
400
200
0
2011
2012
2013
Distributeurs automatiques de billets

Distributeurs automatiques de carburant
Terminaux de paiement lectroniques
2014
hapitre
thique
3
Utilisation des techniques biomtriques

lors des oprations avec des cartes
de paiement
1| Rappel du contexte
La scurisation des oprations de paiement par carte
repose notamment sur celle du canal dinitiation de
lordre de paiement au moyen de lauthentification
du payeur et du bnficiaire. Si lauthentification du
bnficiaire prsente des dispositifs prouvs et prennes
(terminaux installs chez le commerant, certificats
numriques pour les paiements par internet, etc.),
lauthentification du payeur pour les oprations de
paiement par carte, principalement distance mais aussi
en proximit, demeure un enjeu fort. Dans ce contexte,
le forum europen sur la scurit des paiements de dtail
(forum SecuRePay) a publi en janvier2013 un ensemble
de recommandations et bonnes pratiques sur la scurit
des paiements par internet. Ces recommandations
sont en cohrence avec les positions exprimes au
sein de lObservatoire, en particulier sur la mise en
uvre de lauthentification renforce du porteur dans
le contexte des paiements les plus risqus sur internet
et, plus gnralement, pour toutes les oprations
sensibles (par exemple, lors de lenregistrement dune
carte dans un portefeuillelectronique).
Les recommandations du forum SecuRe Pay
dfinissent lauthentification renforce 1 par un
ensemble de procdures fondes sur lutilisation dau
moins deux des trois lments caractrisant la possession,
la connaissance ou lidentit propre dune personne:
lment possd par la personne (token ou jeton
dauthentification, carte puce, tlphone portable, etc.);
lment connu par la personne et elle seule (mot de
passe, identifiant, etc.);
lment constitutif de lidentit de la personne
(empreinte biomtrique, etc.).
Les lments retenus doivent tre indpendants dans le

sens o la compromission de lun ne doit pas entraner la
compromission de lautre. En outre, lun de ces facteurs
au moins doit tre non rejouable et non reproductible
(except pour la biomtrie).
Certaines des techniques biomtriques, djutilises
quotidiennement par une part croissante du grand
public, pourraient venir renforcer la scurisation
doprations de paiement, quelles soient distance
ou de proximit, ou de retrait. La prsente tude
vise dresser un tat des lieux de lutilisation des
techniques biomtriques lors des oprations de
paiement ou de retrait par carte.
2| Dfinition de la biomtrie
et application la carte
de paiement
2|1 Dfinition
La Commission nationale de linformatique
et des liberts (CNIL), qui a pour mission
principale de protger les donnes personnelles
dont les donnes biomtriques font partie,
dfinit la biomtrie comme lensemble des
techniques informatiques permettant de reconnatre
automatiquement un individu partir de ses
caractristiques physiques, biologiques, voire
comportementales. Les donnes biomtriques
sont des donnes caractre personnel car elles
permettent didentifier une personne. Elles ont,
pour la plupart, la particularit dtre uniques
et permanentes (ADN, empreintes digitales...).
Elles se rapprochent ainsi de ce qui pourrait tre
dfini comme un identificateur unique universel,
permettant de fait le traage des individus2.
1 Strong customer authentication.

2 Cf. http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/la-biometrie-sur-les-lieux-de-travail/
27
27
Utilisation des techniques biomtriques lors des oprations avec des cartes de paiement
Encadr
28
Point de vue de la CNIL sur lauthentification biomtrique

Lutilisation de la biomtrie en tant que facteur dauthentification pour accder des moyens de paiement,
ou effectuer des oprations distance, na jusquprsent t autorise par la CNIL que dans le cadre
dexprimentations. Lobjectif des autorisations temporaires accordes ce titre est de mesurer lintrt port
la solution par les clients, ainsi que la fiabilit de la technologie biomtrique utilise lorsquelle est couple
un moyen de paiement sur internet.
Lexprimentation permet ainsi didentifier les problmes rencontrs afin de dfinir de nouvelles pistes
damlioration. Les exprimentations ont une dure limite au temps ncessaire lobtention de rsultats
concluants, et la CNIL exige quun bilan dtaill lui soit remis leur issue. En outre, elles ne sont possibles que
sur la base du volontariat, le systme biomtrique ne pouvant en tout tat de cause tre impos aux utilisateurs.
Sur la base des bilans remis par les organismes et en tenant compte du paysage lgislatif en volution tant au
niveau national (proposition de loi visant limiter lusage des techniques biomtriques en cours dexamen) quau
niveau europen (proposition de rglement europen relatif la protection des donnes), la CNIL sattache
dgager des principes directeurs applicables aux dispositifs biomtriques.
Bien que la biomtrie grand public (hors du cadre professionnel) nait pas encore fait lobjet de cadre de
rfrence, certaines constantes peuvent tre soulignes. Le positionnement de la CNIL marque sa volont de
ne pas voir imposer la biomtrie dans tous les usages du quotidien et de garantir aux personnes concernes
la matrise de leurs donnes biomtriques.
Ainsi, le recours la biomtrie ne saurait tre le seul moyen daccder un service mais doit pouvoir tre
utilis de manire alternative un autre moyen. Lutilisateur du service doit donc tre en mesure de choisir
une technique quivalente en termes de facilit dusage, prsentant les mmes conditions daccs que le
dispositif biomtrique (le choix dune autre technologie ne doit pas avoir pour effet, par exemple, dajouter des
contraintes telles quun dlai, un cot, etc.).
De plus, la matrise par les personnes de leurs donnes biomtriques est indniablement rduite lorsque
le gabarit 1 biomtrique est stock dans des serveurs distants et non sur un support plac sous le contrle
exclusif de la personne concerne. La compromission du support individuel emporte des consquences bien
moins importantes que celle dune base centralisant plusieurs gabarits. Sur la base de ces premiers constats,
la CNIL marque une prfrence pour le stockage de la biomtrie sur support individuel, plac sous le contrle
exclusif de la personne concerne.
Par ailleurs, la CNIL exige une information renforce des personnes notamment sur le dispositif biomtrique,
son caractre facultatif (lexistence dun dispositif alternatif), les modalits de stockage de la donne; les
personnes doivent avoir la possibilit de revenir tout moment sur leur choix et dobtenir la suppression de
leur gabarit biomtrique le cas chant.
Enfin, de nombreux acteurs sont susceptibles dintervenir sur la chane de traitement lie lauthentification
biomtrique (par exemple, que ce soit en fournissant/grant le support de stockage des gabarits ou en proposant
lutilisation du facteur dauthentification biomtrique). Une attention accrue est donc ncessaire pour clarifier
la rpartition des responsabilits et prendre en compte les rgles de protection des donnes ds la conception
des services concerns.
1
Ensemble des donnes biomtriques servant de rfrence lors d'une authentification.
En France, les dispositifs de reconnaissance

biomtrique sont soumis lautorisation pralable
de la CNIL. Concrtement, la mise en place et
lexploitation dun tel systme ncessitent le dpt
dune demande dautorisation ou dune dclaration
de conformit (suivant la finalit du traitement
et le type dempreinte biomtrique) la CNIL.
Cette dernire option nest aujourdhui toutefois
pas ouverte la biomtrie applique aux moyens
de paiement, les cadres de rfrence proposs par
la CNIL ne couvrant pas cette finalit.
La CNIL distingue plus particulirement troistypes
de dispositifs par rapport la caractristique physique
ou biologique utilise:
les dispositifs biomtriques traces: les
empreintes digitales et palmaires. On les appelle
traces car les personnes les laissent leur insu
sur tous les objets quelles touchent. Le risque de ces
techniques rside dans le fait que ces traces peuvent
ventuellement tre captures et reproduites linsu
des personnes (fabrication dun faux doigt);
les dispositifs biomtriques sans traces: le contour
de la main, le rseau veineux des doigts de la main;
les dispositifs biomtriques dits intermdiaires:
la voix, liris de lil, la forme du visage.
Mme si ce dcoupage reste dactualit, les moyens
les plus rcents de capture et la prolifration
dinformations personnelles volontaires ou
non sur internet (photos en haute rsolution,
enregistrements vido, etc.) permettent de
reconstituer lempreinte biomtrique de ces diffrents
types de dispositifs et tendent par consquent en
effacer les frontires; tous les dispositifs tendent
ainsi devenir progressivement traces.
Dans la dfinition dun dispositif biomtrique, il est
ncessaire de distinguer deuxmodes dutilisation:
en identification, lempreinte biomtrique est
compare lensemble des empreintes de rfrence
pour dterminer lidentit du porteur;
en authentification, lidentit du porteur lgitime
est djconnue et lempreinte biomtrique est
compare uniquement son empreinte de rfrence
pour sassurer de son identit.
Dans le domaine des oprations par cartes de

paiement, cest la fourniture de la carte de paiement
ou des donnes de la carte de paiement qui permet
didentifier le porteur; le dispositif biomtrique
contribue ensuite lauthentification de ce dernier.
2|2 Application la carte

de paiement
Un nombre croissant de constructeurs de
smartphones et dordinateurs portables ont intgr des
dispositifs de reconnaissance biomtrique, reposant
principalement sur la lecture de lempreinte digitale
(voir le Rapport annuel2013 de lObservatoire).
La commercialisation grande chelle de ces
nouveaux modles concourt la familiarisation
des techniques biomtriques auprs du public
et prsente une opportunit de dploiement et
dutilisation des technologies biomtriques dans
le domaine des paiements.
2|2|1 Quels cas dusage de la biomtrie
pour les paiements par carte?
Dans le cadre des paiements distance,
lauthentification renforce du porteur par code
usage unique nest aujourdhui acquise que
pour un peu plus de 30% des paiements par
carte. Dans le cas de nouveaux modes dinitiation
tels les paiements mobiles ou les portefeuilles
lectroniques, lauthentification du porteur repose
couramment sur lusage dun mot de passe. Bien
que plus complexe quun code confidentiel et
pouvant tre rgulirement renouvel, il demeure
nanmoins toujours rejouable et est gnralement
saisi sur des claviers standards dordinateur ou
de tlphone qui ne prsentent pas le mme
niveau de protection que les claviers agrs
des automates ou des terminaux de paiement.
Lestechniques biomtriques pourraient fournir
une solution complmentaire permettant de
renforcer lauthentification du porteur.
Dans le cadre des paiements de proximit,
lutilisation dune carte puce et du code confidentiel
offre un niveau de scurit lev. Le taux de fraude
mesur par lObservatoire sur ce type de transaction
ces dernires annes est de lordre de 0,015%,
soit environ vingt fois moins que celui mesur en
vente distance.
29
30
Cependant, le code confidentiel reste rejouable:

un fraudeur qui en prendrait connaissance lors
dune opration de retrait ou de paiement, via
la compromission de lautomate bancaire, du
terminal ou de lautomate de paiement ou, plus
simplement, visuellement, pourrait le rutiliser
loccasion dune fraude future en cas de vol
ou de contrefaon de la carte. Les claviers des
automates bancaires, des terminaux et automates
de paiement sont soumis des rgles dagrment
visant limiter les risques de compromission.
Linterception visuelle, par le fraudeur lui-mme
ou laide dune camra miniaturise, lors de la
frappe du code confidentiel, demeure plus difficile
matriser et repose principalement sur la vigilance
du porteur.
Les techniques biomtriques pourraient fournir
une solution complmentaire rduisant le risque
en cas de compromission du code confidentiel, ou
une solution alternative dans certains cas dusage
en rduisant lutilisation du code confidentiel et
son risque de compromission.
2|2|2 Les limitations du recours
la biomtrie
La biomtrie revt un aspect pratique certain
lorsquelle permet de simplifier la procdure
dinitiation dun paiement, den raccourcir la dure,
voire de pouvoir rpondre la demande des personnes
qui rencontrent des difficults mmoriser un code
confidentiel. Cependant, lemploi de la biomtrie
soulve plusieurs problmatiques spcifiques:
le caractre dfinitif de la compromission dune
empreinte: la compromission dune empreinte
biomtrique (par exemple, une empreinte digitale) ne
peut gnralement plus donner lieu la gnration
dune nouvelle empreinte pour le mme lment
physique, contrairement ce qui peut tre fait avec
un support physique (carte puce, token, etc.)
ou un code confidentiel que lon peut facilement
renouveler. Il demeure toutefois possible de changer
par exemple de doigt, de main ou dil mais
avec un nombre doccurrences qui reste au final
toujours limit;
les limites luniversalit du dispositif biomtrique:

certaines personnes peuvent se trouver dans
lincapacit dutiliser leurs empreintes biomtriques
de manire temporaire (usure, salissure, blessure,
etc.) voire permanente (caractristiques physiques
incompatibles avec le dispositif biomtrique,
handicap, etc.);
la difficult dfinir le rglage du niveau de
tolrance du dispositif biomtrique qui influencera le
taux derreur: deux taux sont principalement mesurs
en biomtrie, ceux de faux rejets (False Rejection Rate,
FRR) et de fausses acceptations (False Acceptation
Rate, FAR) parce quils traduisent respectivement
le niveau dexigence et celui de permissivit du
dispositif envers lempreinte biomtrique prise
et compare lempreinte de rfrence. Ainsi des
coupures, brlures aux doigts, voire la simple
transpiration, peuvent conduire un rejet, de la
mme manire que du bruit ambiant peut altrer une
analyse vocale. Ces taux peuvent varier de manire
plus ou moins importante selon la caractristique
physique analyse, la qualit du lecteur biomtrique
et lalgorithme utilis. La difficult vient du fait que
si un rglage du niveau de tolrance est possible, ces
taux voluent gnralement de manire oppose.
Il nexiste aucune donne publique concernant les
taux de faux rejets et ceux de fausses acceptations
pour les dispositifs actuellement disponibles, ce
qui rend difficile la comparaison avec lusage du
code confidentiel. Ce dernier prsente un taux de
faux rejets proche de zro (le bon code nest jamais
rejet et les claviers des terminaux de paiement et
des distributeurs sont conus pour limiter le risque
derreur de frappe) et un taux de fausses acceptations
de 3 sur 100003.
Enfin, outre les problmatiques techniques voques
ci-dessus, la rticence potentielle du public recourir
aux dispositifs biomtriques pour des raisons dthique
ou labsence de confiance dans le dispositif global
peuvent constituer dautres freins au dveloppement
de la biomtrie. Concernant le premier frein, le
recours un dispositif biomtrique est encadr par
la CNIL qui contrle le bien-fond de la solution
propose. Pour le second frein, la perception de la
robustesse des dispositifs biomtriques aux yeux du
Pour un code PIN 4 chiffres et 3 tentatives autorises avant le blocage de la carte.
grand public pourrait tre affecte par lactualit,

par exemple en cas de dcouverte de nouvelles
techniques dattaque ne remettant pas en cause la
fiabilit des dispositifs mais faisant lobjet dune
large mdiatisation (dmonstration en conditions
de laboratoire, etc.). Or le succs dun moyen de
paiement rside autant dans la perception de sa
scurit que dans sa scurit relle.
2|2|3 Les standards existants
Les expriences en cours sappuient sur des dispositifs
prioritaires ou sur des normes djtablies qui ont
gnralement pour origine le domaine du contrle
daccs. LISO (International Organization for
Standardization) fait notamment rfrence la
biomtrie dans plusieurs de ses publications4 sur
les aspects suivants:
description dtaille du point caractristique du
doigt, direction et type;
conditions de prise de vues pour donnes d'image
de la face;
interface de programmation d'applications biomtriques;
cadre de formats d'change biomtriques communs;
mthodologie d'essai de conformit et prcisions
concernant les dfauts;
essais et rapports de performance biomtriques;
essais des mises en uvre biomtriques multimodales.
Cependant, ces normes visent principalement
assurer linteroprabilit entre les diffrents
composants constituant les dispositifs biomtriques
(capteurs, algorithmes).
Les premires valuations scuritaires, conduites

partir de2008, se sont appuyes sur les Critres
Communs pour qualifier des dispositifs ou lecteurs
biomtriques; toutefois, seuls troisproduits
ont reu ce jour une certification 5, laquelle
ne savre de surcrot pas suffisante pour les
paiements par carte 6. Plusieurs acteurs du
domaine de la biomtrie se sont regroups en
association (Biometrics Alliance Initiative, BAI)
pour dfinir un processus de tests, de certification
et dhabilitation permettant de garantir un niveau
de scurit en adquation avec les besoins et
normes internationales, notamment bancaires,
ainsi que les procdures de test qui en dcoulent.
Le projet BEAT (Biometrics Evaluation And
Testing), soutenu par la Commission europenne,
a notamment pour but de mettre en place le
cadre dun standard oprationnel dvaluation
pour les technologies biomtriques.
EMV Co, qui regroupe les principaux systmes de
paiement par carte (Visa, MasterCard, American
Express, Discover, JCB et Union Pay) tudie
lutilisation des techniques biomtriques en tant
qualternative la saisie du code confidentiel 7
dans le cadre des travaux mens par le Card and
Terminal Working Group.
En France, le Groupement des Cartes Bancaires
aprvu dintgrer la biomtrie dans son rfrentiel
sur lauthentification (disponible courant2015)
et de dfinir des cas dusage possible en fonction
du niveau de rsistance intrinsque aux attaques
mesur lors dvaluations scuritaires.
Enfin, plusieurs parties prenantes du domaine des
paiements ont fond en2013 une association, Natural
Security Alliance, pour promouvoir lutilisation
de la biomtrie et dvelopper des standards dans
ledomaine.
4 Notamment dans les normes suivantes: ISO/IEC19784,19785,19794 et19795.

5 Cf. http://www.ssi.gouv.fr/administration/glossaire/c/
6 Le profil de protection mis en uvre relve du niveau de scurit EAL 2 (avec rsistance basique aux attaques) alors que le niveau EAL 4+ (avec
rsistance leve aux attaques) est requis pour les systmes de paiement par carte.
7 noter que Visa, MasterCard et Discover sont aussi membres de lAlliance FIDO (Fast IDentity Online), un consortium industriel lanc en
fvrier2013 qui dveloppe des spcifications afin de simplifier et de renforcer lauthentification lors des transactions en ligne et ainsi dvelopper
une alternative viable aux mots de passe.
31
32
3| tat des lieux

des dispositifs biomtriques
utiliss pour des oprations
de paiement par carte
3|1 tapes prliminaires
la mise en uvre
d'un dispositif biomtrique
Lutilisation dun dispositif biomtrique pour
accder un service ncessite de suivre plusieurs
tapes qui sont communes tous les types
dempreintebiomtrique.
3|1|1 Lenrlement des utilisateurs

Chaque utilisateur doit suivre une procdure
permettant de capturer une empreinte de rfrence
qui servira par la suite le reconnatre. Par exemple,
dans le cas dun dispositif fond sur la reconnaissance
de lempreinte digitale, cette tape consistera en
une premire prise dempreinte qui pourra tre
multiple8 pour en assurer une meilleure qualit.
Cette tape peut tre ralise dans un environnement
scuris et contrl comme dans une agence bancaire
ou dans un environnement banalis, ou sur un
Encadr
Exemples de fonctionnement dun dispositif

de reconnaissance d'empreinte digitale appliqu au paiement par carte
Enrlement des utilisateurs et enregistrement des empreintes de rfrence
Cas n1 Enregistrement
sur un support local dtenu
par lusager (exemple : smartphone)
Cas n2 Enregistrement
sur un serveur distant
depuis une agence commerciale
1) Mise en relation
Installation dune application ddie

ou connexion au service web ddi
Entre dans une agence
2) Identification de lutilisateur
Saisie des informations relatives au

service par le porteur (informations
utilisateur, informations carte)
Communication des informations

utilisateur/fourniture de pices
justificatives (contrat, carte didentit)
Enregistrement local
Enregistrement sur serveur distant
3) Prise de lempreinte de
rfrence
4) Enregistrement de lempreinte
de rfrence
Plusieurs doigts et plusieurs prises dempreinte pour chaque doigt.
Authentification de lutilisateur au moment dun paiement de proximit

(exemple, cas sans saisie du code confidentiel)
33
1) Initiation du paiement
sur le terminal de paiement lectronique
2) Identification de la carte
par insertion physique
ou connexion sans fil
ou
3) Lecture de lempreinte
sur le lecteur de lobjet
ou sur le terminal de paiement
4) Connexion avec le systme

de stockage pour comparaison
de lempreinte avec lempreinte
de rfrence par lobjet
ou
4) Accord pour validation

de la transaction
quipement personnel tel que le smartphone de

lutilisateur lui-mme.
3|1|2 Le stockage des empreintes
de rfrence des utilisateurs
Les empreintes de rfrence sont stockes pour
permettre au dispositif de comparer lempreinte
prise avec la ou les empreinte(s) de rfrence.
Ce stockage peut tre centralis sur un site qui
contiendra les empreintes de rfrence de tous les
utilisateurs du service, ou bien assur localement
sur un support propre chaque utilisateur comme
la puce dune carte de paiement, dun tlphone
portable ou sur un token scuris. Le stockage local
scuris des donnes de lempreinte biomtrique

est gnralement privilgi car il limite le risque
dune compromission massive dempreintes en cas
dintrusion dans le dispositif de stockage centralis.
Cependant, certains types de biomtrie, comme la
biomtrie vocale par exemple, peuvent exiger une
puissance de calcul importante que les matriels
portatifs actuels (par exemple, smartphones) ne sont
pas encore en mesure de fournir; un traitement
centralis savre alors ncessaire.
3|1|3 Laccs au service conditionn
par le dispositif biomtrique
Laccs au service suppose une premire tape
didentification, qui est similaire celle dun dispositif
34
de paiement traditionnel: introduction de la

carte dans un terminal, approche dune borne NFC,
saisie dun identifiant ou du numro de la carte
La lecture de lempreinte biomtrique vient ensuite,
selon les cas, se substituer l'authentifiant habituel
(saisie du code confidentiel ou dun mot de passe,
recours une authentification 3D-Secure...)
ou le complter. Enfin, lempreinte du porteur est
compare lempreinte de rfrence, ce qui suppose
laccs par le dispositif de paiement au support de
stockage, par connexion locale ou internet selon
la nature de ce dernier.
3|2 Apport possible de l'authentification

biomtrique par rapport
aux dispositifs existants
Le dispositif biomtrique peut tre mis en place
pour renforcer un dispositif dauthentification
existant soit en tant que dispositif complmentaire,
cest--dire en ajoutant un contrle supplmentaire
dans le processus dauthentification du porteur
(par exemple, en ajoutant la reconnaissance dune
empreinte digitale la saisie dun mot de passe ou
dun code confidentiel), soit en tant que dispositif
alternatif, cest--dire en se substituant un dispositif
dauthentification existant (par exemple, saisie
dune empreinte biomtrique la place dun code
confidentiel).
En utilisation complmentaire, lajout dun facteur
dauthentification biomtrique vise renforcer le
niveau de scurit global dun dispositif existant
en rendant plus difficile linitiation de paiements
frauduleux. Par exemple, la biomtrie peut contribuer
renforcer la scurit dun paiement sans contact
de faible montant, pour lequel la saisie du code
confidentiel de la carte nest pas requise, sans avoir
dimpact significatif sur la rapidit du processus
dinitiation du paiement. Dans ce mode dutilisation,
le niveau de scurit offert ne peut tre que suprieur
celui du dispositif initial; toutefois, le risque de
compromission des empreintes, inhrent tout
dispositif biomtrique, est un risque supplmentaire
prendre en considration. Lauthentification
biomtrique pourra aussi tre utilise en tant
que facteur complmentaire la frappe du code
confidentiel pour scuriser les paiements, par exemple
de montants levs, que lanalyse des risques aura
qualifis comme plus risqus.
En utilisation alternative, la substitution dun

facteur dauthentification existant par une
reconnaissance biomtrique peut galement renforcer
la scurit des paiements par carte lorsquelle
permet de rduire les risques de compromission
du dispositif remplac. Par exemple, lutilisation
de lauthentification biomtrique en remplacement
de la saisie du code confidentiel de la carte peut
dans certains cas dusage rduire les risques de
compromission du code confidentiel (exemple des
distributeurs automatiques de carburant). Dans ce
mode dutilisation alternative, le niveau de scurit
de la solution reposera principalement sur celui du
dispositif biomtrique, et ne tirera pas bnfice de
la protection offerte par les dispositifs remplacs
(code confidentiel, 3DSecure...).
3|3 Application au paiement

distance
Les exprimentations de dispositifs biomtriques en
paiement distance les plus dveloppes reposent
sur la reconnaissance de la voix ou des empreintes
digitales. Ces exprimentations sappuient sur les
tlphones des utilisateurs pour ajouter une phase
dauthentification du porteur et ainsi amliorer la
scurit des oprations distance.
Ainsi, TalkToPay notamment en France et
VoicePay au Royaume-Uni, font reposer le service
dauthentification renforce sur la possession du
tlphone fixe ou mobile enrl dans le systme
et sur la reconnaissance vocale du client. Lors du
paiement distance, lutilisateur reoit un appel
vocal qui lui permet de sauthentifier. Ce type de
solution, qui repose uniquement sur la tlphonie
vocale, prsente lavantage de fonctionner avec tout
type de tlphone fixe ou mobile.
Les solutions sappuyant sur la reconnaissance
des empreintes digitales visent tirer bnfice du
lecteur dempreinte que plusieurs constructeurs de
smartphones intgrent dsormais dans leurs modles,
dans le but premier de scuriser laccs au mobile,
mais galement de permettre une utilisation par des
services additionnels. On pourra citer par exemple
lapplication PayPal disponible sur les modles
Galaxy S5 de Samsung qui permet de payer avec son
compte de monnaie lectronique en sauthentifiant
laide de son empreinte digitale, ou la solution
Apple Pay disponible aux tats-Unis sur les derniers

modles iPhone dApple et qui permet de donner
son consentement lors dun achat par carte sur
internet par la lecture de son empreinte digitale.
Dans ces cas de figure, la lecture de lempreinte se
substitue gnralement la saisie dun mot de passe.
3|4 Application au paiement

de proximit
Les paiements de proximit bnficiant djdun
niveau de scurit lev, la biomtrie est recherche
pour son ergonomie et la rapidit de son excution.
Ainsi, de grandes enseignes pourraient enrler
leurs clients et les faire payer par simple lecture
biomtrique, dclenchant dans un second temps
un paiement par carte ou tout autre moyen de
paiement pralablement enregistr. Dans ce cas de
figure, la biomtrie est utilise comme alternative aux
dispositifs dauthentification traditionnels reposant
sur la saisie du code confidentiel, comme facteur de
simplification et dacclration du passage en caisse.
Ce cas dusage ncessite de dployer des terminaux
de paiement lectronique quips et de former les
commerants au fonctionnement de ces quipements.
Les exprimentations dans ce domaine ont
principalement mis en uvre la reconnaissance
dempreinte digitale:
en sappuyant sur les fonctionnalits intgres
aux smartphones de dernire gnration dots de
lecteurs dempreintes digitales: le terminal de
paiement interagit dans ce cas avec le smartphone
dans lequel les rfrences de la carte de paiement
ont t pralablement enrles, la connexion avec
le terminal pouvant tre tablie via un rseau sans
fil local (type NFC ou Bluetooth par exemple).
Dans ce mode de paiement, la validation se fait
au moyen du smartphone par la reconnaissance de
lempreinte digitale du payeur, en complment
ou non dautres dispositifs dauthentification tels
que la saisie dun code confidentiel ou dun mot
de passe. Cest ce que propose aujourdhui, entre
autres, la solution Apple Pay. Ce type de solution
permet potentiellement par un mme procd de
renforcer la scurit des paiements sans contact de
faibles montants (par comparaison une carte NFC
standard, la lecture de lempreinte ajoute un niveau
de scurit complmentaire), voire de remplacer
la saisie du code confidentiel pour les paiements

de montants suprieurs, dans les limites fixes par
lmetteur au regard de son analyse des risques;
avec une carte intgrant un capteur dempreinte
digitale: MasterCard a annonc en octobre2014
le lancement dune carte sans contact NFC
intgrant un lecteur dempreinte digitale dont
lutilisation peut remplacer la saisie du code
confidentiel (carte Zwipe MasterCard). Cette
carte de paiement au standard EMV dispose
galement dune puce et demande la frappe
dun code confidentiel. Elle nest cependant pas
diffuse en France ce jour;
avec un quipement commerant quip dun
capteur dempreinte digitale ou du rseau veineux
de la main: Natural Security Alliance a lanc, en
partenariat avec plusieurs enseignes de la grande
distribution, une exprimentation en France depuis
octobre2012 mettant en uvre lauthentification
par lecture de ce type dempreinte en substitution
la saisie du code confidentiel. Le terminal de
paiement est quip dun module qui capture
lempreinte digitale ou du rseau veineux du doigt
du porteur et la compare avec celle enregistre
dans la carte.
Dautres caractristiques physiques ou biologiques
pourraient galement faire lobjet dexprimentations
dans un futur proche, comme la reconnaissance
faciale. Le fabricant Toshiba a ainsi prsent en
janvier2015 le Toshiba Touchless Commerce, un
concept de caisse automatique avec une camra
permettant la reconnaissance faciale du client
enrl au pralable; cette solution na toutefois
pas encore donn lieu un pilote.
3|5 Application au retrait

Le retrait prsente lavantage denvironnements
gnralement mieux contrls, en particulier lorsque
les automates sont placs lintrieur des agences.
Plusieurs constructeurs proposent djdes automates
de retrait quips de capteurs biomtriques
gnralement utiliss en remplacement de la saisie
du code confidentiel, mais aucune exprimentation
na t rpertorie ce jour en France. Deux types
de dispositifs biomtriques se partagent le march:
35
36
la reconnaissance du rseau veineux des doigts

ou de la main, qui est un mode dauthentification
commun sur les automates bancaires au Japon,
avec certains dploiements importants galement
raliss au Brsil et en Turquie;
la reconnaissance de liris de lil, galement
exprimente sur des automates bancaires au sein
de plusieurs tats aux tats-Unis.
Ce cas dusage ncessite pralablement de dployer
des automates bancaires quips et de former les
porteurs et les quipes des agences au fonctionnement
de ces quipements.
4| Conclusion
Lutilisation des techniques biomtriques lors des
oprations avec des cartes de paiement est encadre
en France par la loi Informatique et Liberts.
Lafourniture de solutions de paiement utilisant
des dispositifs biomtriques requiert ainsi le dpt
pralable dune demande dautorisation auprs de la
CNIL, qui fixe les principes directeurs applicables
ce domaine.
LObservatoire constate que les exprimentations
actuellement menes en France visent en priorit
tester lergonomie des dispositifs biomtriques
envisags et mesurer le niveau dadhsion du
public aux solutions proposes. Pralablement
tout dploiement grande chelle, lObservatoire
souligne la ncessit dune analyse des risques lis
aux cas dusage de lauthentification biomtrique
afin que les solutions mises en uvre offrent un
niveau de protection des oprations de paiement
au moins quivalent ltat de lart en la matire
(i.e. code confidentiel et carte puce en paiement

de proximit, code non rejouable en paiement
distance).
Dans ce contexte, lObservatoire relve que le
niveau de scurit offert par les dispositifs de
biomtrie actuels demeure difficile mesurer
faute de standards dvaluation quivalents ceux
existants pour des technologies prouves (carte
puce, carte SIM de tlphone portable, etc.).
Par consquent, lObservatoire souligne le besoin
de disposer rapidement de rfrentiels permettant
de qualifier le niveau de scurit de ces nouveaux
dispositifs en sappuyant sur une valuation prenant
en compte lensemble des composants des solutions
(matriels et algorithmes utiliss par les dispositifs
biomtriques, cas dusage prvus).
En ce sens, les acteurs devront veiller ne pas
gnraliser des dispositifs dauthentification
biomtrique prsentant un niveau de scurit trop
faible et susceptibles dentraner la compromission
des caractristiques biomtriques dun grand
nombre de porteurs les utilisant. En effet, le
dploiement de solutions futures offrant un
niveau de scurit plus adapt mais reposant
sur ces mmes caractristiques biomtriques
potentiellement compromises pourrait alors tre
remis en cause.
Enfin, du fait des limitations inhrentes la
biomtrie et du manque de maturit de lvaluation
scuritaire de ces dispositifs, lObservatoire
recommande de toujours conserver un moyen
dauthentification alternatif capable de se substituer
au dispositif biomtrique dans les cas o celui-ci
ne savrerait plus en mesure doffrir les niveaux
de service et de scurit requis.
hapitre
thique
4
Les nouveaux moyens de paiement:

Synthse de la confrence du 22 octobre2014
organise par la Banque deFrance
et la Banque centrale europenne
La Banque deFrance a organis le 22octobre2014
Paris, en collaboration avec la Banque centrale
europenne(BCE), une confrence internationale
sur les nouveaux dfis en matire de scurit des
moyens de paiement.
la coopration entre tous les acteurs de la chane

des paiements est ncessaire pour obtenir des rsultats
durables. Des instances telles que lObservatoire
sont ainsi dune importance majeure pour djouer
les tentatives de fraude sur le long terme;
Cette journe a t loccasion de prsenter les

volutions institutionnelles au niveau europen dans
le domaine de la scurit des moyens de paiement,
dchanger sur les mesures pouvant tre adoptes
pour amliorer la scurit des paiements par mobile
et sur internet, et enfin dvoquer les consquences en
termes de scurit du recours des tiers de paiement.
la meilleure coordination des autorits nationales

et europennes comptentes en matire de scurit
des moyens de paiement est indispensable au regard
de linternationalisation des rseaux de fraudeurs.
Lapport consquent du forum europen de la
scurit des moyens de paiement SecuRePay au
cours de ces troisdernires annes a dmontr les
importantes avances pouvant tre ralises lorsque
lensemble des autorits travaillent de concert.
1| Lmergence
Le gouverneur de la Banque deFrance, ChristianNoyer
a rappel, dans son allocution douverture, que le
dveloppement de nouveaux modes de paiement, bien
que ncessaire pour rpondre aux nouvelles manires
de consommer, prsentait galement des risques en
matire de scurit quil convenait de matriser.
Le gouverneur a insist sur les conditions de russite des
nouveaux modes de paiement, au regard notamment
de lexprience acquise dans le cadre de lObservatoire
pour ce qui concerne les paiements par carte:
une nouvelle solution de paiement sera dautant
plus utilise quelle est perue par les consommateurs
comme tant sre. Il est ainsi dans lintrt des
prestataires de services de paiement(PSP) innovants
dinvestir dans la lutte contre la fraude;
1
Benot Cur, membre du directoire de laBCE,

a prsent les volutions associes la cration du
forum SecuRePay sous lgide de laBCE. tabli
dbut2011 en rponse la hausse de la fraude sur
les paiements par carte distance, le forum runit
les superviseurs(autorits de contrle prudentiel)
et les surveillants(banques centrales) desPSP des
pays membres de lUnioneuropenne. Coprsid
depuis octobre2014 par laBCE et lAutorit
bancaire europenne (ABE), il a pour vocation
dinstaurer un dialogue entre les diffrentes autorits
nationales et europennes en vue de dfinir des
requis scuritaires communs en matire de moyens
de paiement. ce jour, le forum a publi trois
sries de recommandations 1. Neutres dun point
de vue technologique, ces recommandations et
orientations demandent auxPSP de conduire une
valuation exhaustive des risques lis aux paiements
sur internet et de renforcer leur scurit en mettant
Les recommandations concernant la scurit des paiements mobiles et celles relatives aux tiers de paiement alimentent les travaux en cours
concernant la rvision de la directive sur les services de paiement ; les recommandations pour la scurit des paiements sur internet ont t
reprises par lEurosystme pour ses cadres de surveillance et par lABE sous la forme dorientations publies depuis en dcembre2014 et
applicables au 1er aot 2015.
37
37
Les nouveaux moyens de paiement : de nouveaux enjeux de scurit
Encadr
38
Programme de la confrence du 22 octobre 2014
Discours douverture
Christian Noyer(gouverneur, Banque deFrance)
Prsentation introductive
Benot Coeur(membre du directoire, Banque centrale europenne)
Thme I: La coopration entre autorits europennes dans le domaine de la scurit

desmoyens de paiement de dtail
Table ronde
Modrateur: Pierre Petit(coprsident, forum SecuRePay)
Mario Nava(directeur en charge des institutions financires, Commission europenne)
Adam Farkas(directeur excutif, Autorit bancaire europenne)
Thme II: Les attentes en matire de scurit sur les moyens de paiement
Table ronde sur les paiements mobiles
Modrateur: Hanna Franiak(conseiller au dpartement des Systmes de paiement, Banque nationale de Pologne)
Pierre Chassigneux(responsable Risques et Audit, Groupement des Cartes Bancaires)
Rob Marrewijk(manager du programme scurit des terminaux, Brightsight)
Santiago Minguito Santos(directeur de la Scurit de linformation, Banco Sabadell)
Edwin Aoki(architecte en chef, PayPal)
Adam Farkas(directeur excutif, Autorit bancaire europenne)
Table ronde sur les paiements en ligne
Modrateur: Dirk Haubrich(responsable de lunit de Protection des consommateurs, Autorit bancaire europenne)
Dirk Schrade(adjoint au chef du dpartement des Systmes de paiement et de Rglement, Banque fdrale dAllemagne)
Ingrid Lauterbach(responsable de la scurit client au sein du groupe de cyberscurit, Deutsche Bank)
Paul Alfing(prsident, Comit des epaiements)
Monique Goyens(directeur gnral, Organisation des consommateurs europens)
Thme III: Acteurs tiers comment rguler ?

Mario Nava(directeur en charge des institutions financires, Commission europenne)
Table ronde sur les tiers de paiement
Modrateur: Denis Beau(directeur gnral des Oprations, Banque deFrance)
Pierre Petit(coprsident, forum SecuRePay)
Irmfried Schwimann(directeur des Services financiers, Commission europenne)
Massimo Doria(responsable de la division des Services et Instruments de paiement, Banque dItalie)
Jean Clamon(directeur gnral, BNP Paribas)
Georg Schardt(adjoint au prsident directeur gnral, SOFORT AG)
Conclusion de la confrence
Denis Beau(directeur gnral des Oprations, Banque deFrance)
notamment en place des dispositifs dauthentification

renforce des utilisateurs. Une attention particulire
est galement porte sur la protection des donnes
sensibles de paiement et sur la sensibilisation des
utilisateurs pour lutter efficacement contre la fraude.
de la prparation de ses propositions lgislatives:

alors que les grands principes structurants sont
inscrits directement au sein des textes lgislatifs,
la dfinition des modalits techniques de leur
mise en uvre est confie aux nouvelles autorits
europennes de rgulation.
2| La coopration
des autorits europennes
en matire de scurit
des moyens de paiement
Cette approche a notamment t adopte lors

de la rvision de la directive sur les services de
paiement(DSP2) qui confie lABE, en troite
collaboration avec laBCE, la charge de prciser les
modalits de mise en uvre de certaines dispositions
de la directive, dont notamment celles portant
sur lencadrement des risques oprationnels et
scuritaires. Cest notamment le cas du recours
lauthentification renforce des utilisateurs de
moyens de paiement et destransactions.
Cette premire session a permis de dresser un

panorama des comptences des institutions
europennes et de leur coopration dans la conduite
de leurs missions.
Le mandat de lEurosystme et de laBCE en
matire de moyens de paiement provient des
dispositions des traits constitutifs et des statuts
du systme europen de banques centrales sur la
promotion du bon fonctionnement des systmes
de paiement. LaBCE et lEurosystme poursuivent
deux objectifs en la matire: maintenir la confiance
des utilisateurs dans la monnaie et prvenir toute
nouvelle fragmentation du march europen des
paiements. Pour ce faire, la BCE et les banques
centrales nationales membres de lEurosystme
interviennent en tant que catalyseurs des initiatives
des acteurs de march contribuant une plus grande
intgration europenne des services de paiement, tout
en assurant la surveillance de la scurit des moyens
de paiement dintrt commun lensemble des pays
de la zone euro. cette fin, lEurosystme a publi
des cadres de surveillance coopratifs pour les cartes
de paiement(janvier2008), les prlvements et les
virements(octobre2008). Des guides dvaluation
correspondant chacun de ces troiscadres de
surveillance sont galementdisponibles.
La Commission europenne veille prserver
les intrts des citoyens europens en tablissant
notamment le cadre juridique ncessaire lmergence
dun march des paiements europens sr, efficace
etcomptitif.
Depuis la cration des autorits europennes de
surveillance, la Commission europenne adopte de
manire croissante une approche deux niveaux lors
LABE peut, pour se faire, avoir recours deuxtypes

dinstruments rglementaires:
des normes techniques de rglementation ou
dexcution2 qui, une fois valides par la Commission
europenne, sont dapplication directe au sein des
diffrents tats membres;
des orientations et des recommandations qui
doivent tre transposes au niveau national par
les autorits de supervision des tats membres, et
dont lABE suit la mise en uvre.
Dans le cadre de la rvision de laDSP2, les travaux
en vue de llaboration de ces diffrents textes
se tiendront au sein du forum SecuRePay, en
consquence dsormais coprsid par la BCE
etlABE.
3| Les attentes en matire

de scurit sur les nouveaux
moyens de paiement
3|1 La scurit des paiements
par tlphone mobile
La session consacre aux paiements par tlphone
mobile visait fournir un aperu des volutions
et des enjeux scuritaires lis ce mode de
paiementmergent.
2 Regulatory Technical Standards ou RTS.
39
40
La grande diffusion des tlphones mobiles(prs

de 2milliards de smartphones seraient utiliss
dans le monde, soit presque autant que le
nombre de cartes de paiement EMV), fait
dsormais de ceuxci des instruments de paiement
incontournables. La diversit des usages a
galement t souligne, les paiements par
tlphone mobile pouvant tre effectus par des
mcanismes trs varis: paiements sans contact
NFC avec des donnes de carte de paiement
stockes dans la carte SIM(SIMcentric) ou sur
un composant scuris ddi(Secure Element)
ou encore mules de faon logicielle par le
systme dexploitation du tlphone(Host Card
Emulation 3), paiements par reconnaissance
optique dun code bidimensionnel(QR4 Code),
paiements par simple numro de tlphone,
utilisation dun portefeuille lectronique(wallet)
ou dune carte de paiementvirtuelle
La diffusion de ces nouveaux modes de paiement
et leur diversit appellent revoir la classification
traditionnelle des paiements. En effet, les paiements
par tlphone mobile tendent dans certains cas
effacer la frontire entre paiement de proximit
et paiement distance, dans la mesure o, par
exemple, certaines transactions par tlphone
mobile effectues en magasin peuvent tre valides
au moyen dune connexion internet.
Cette volution pose de nouveaux dfis scuritaires.
Les taux de fraude sur les paiements distance
tant trs largement suprieurs ceux sur les
paiements de proximit, le rapprochement de ces
deux environnements de paiement ne doit pas
mener un abaissement gnral des exigences de
scurit et une dgradation des taux de fraude
actuels, notamment en paiement de proximit.
Lobjectif des acteurs est ainsi aujourdhui dapporter,
pour les paiements par tlphone mobile, le mme
niveau de scurit que celui qui est actuellement
connu pour les paiements de proximit par carte
puce de typeEMV.
Lidentification des menaces constitue le premier

dfi scuritaire, en ce qui concerne le paiement par
tlphone mobile. Elles peuvent tre rparties en
troiscatgories:
les menaces sur les systmes dexploitation des
tlphones, qui peuvent par exemple tre infects
par des logiciels malveillants(malwares);
les menaces sur les canaux de communication
utiliss pour les paiements par tlphone
mobile(attaque des transmissions sans fil du type
WiFi, NFC ou Bluetooth);
les menaces physiques de piratage des composants
des tlphones.
Sur la base de ce constat, au moins quatre axes de
rflexion pour renforcer la scurit des paiements
par tlphone mobile sont envisageables.
Tout dabord associer les fournisseurs de systmes
dexploitation aux travaux sur la scurit des
paiements par tlphone mobile est une priorit
importante, notamment pour promouvoir
la scurisation des systmes dexploitation
desquipements.
Ensuite, le renforcement des recherches sur la
scurisation des architectures physiques des
tlphones mobiles doit tre encourag.
Par ailleurs, avec lusage grandissant du stockage
dcentralis des donnes sur des serveurs internet
distants(grance informatique dite en nuage, ou
cloud computing), la question de leur protection
doit tre repense dans le but de mieux les scuriser.
Enfin, un accent doit tre mis sur les nouvelles
mthodes dauthentification comme la biomtrie5
ou encore sur les techniques de protection des
donnes de paiement en circulation sur les rseaux
comme la tokenisation6.
Architecture logicielle permettant un objet connect (tlphone intelligent, montre) disposant dune puce NFC (Near Field Communication)
dtre reconnu comme une carte de paiement.
4 Quick Response.
5 Se reporter au sein de ce rapport ltude conduite par lObservatoire dans le cadre de la veille technologique.
6 En montique, la tokenisation est le processus de substitution de donnes bancaires (numro de cartes, etc.) par des donnes usage unique
formant un jeton (token) scuris. Cette solution permet de rduire la transmission de donnes sensibles sur des canaux de communication.
3|2 La scurit des paiements

par internet
Cette session a permis de prsenter le contenu et
les modalits de mise en uvre des orientations de
lABE sur la scurit des paiements sur internet. Pour
mmoire, les orientations finales sur la scurit des
paiements sur internet ont t publies par lABE
le 19dcembre2014 et entreront en vigueur le
1eraot2015.
Ces orientations reprennent avec quelques
amnagements mineurs les recommandations
du forum SecuRePay sur le mme sujet publies
le31janvier2013. Tout comme ces dernires,
elles abordent diffrents aspects de la scurit des
paiements sur internet:
lenvironnement gnral de contrle et de
scurit(gouvernance, valuation et attnuation
des risques, suivi et dclaration des incidents,
traabilit);
les mesures de contrle et de scurit spcifiques
pour les paiements sur internet(authentification,
suivi des oprations, protection des donnes sensibles,
fixation de limites de paiement et fournitures
dinformations aux clients sur les oprations);
la sensibilisation du client et les modalits de
communication entre ce dernier et son prestataire
de services de paiement(PSP).
Il a t rappel que ladoption de ces orientations
sur la scurit des paiements sur internet a en
partie t motive par la trs forte hausse du taux
de fraude sur les paiements par carte distance
qui a accompagn lessor du commerce en ligne au
cours de ces dernires annes. En2012, les donnes
europennes montrent que ce type de fraude
reprsentait 60% de la fraude totale au paiement
par carte, en progression constante depuis2008.
Le recours lauthentification forte du payeur lors
de la ralisation de paiements sur internet devrait
permettre de contrecarrer ce phnomne.
Si les participants la table ronde se sont accords
sur la ncessit de renforcer la scurit des paiements
sur internet, afin de prserver la confiance des

consommateurs dans la scurit des moyens de
paiement mis leur disposition, certains ont galement
soulign le besoin de prserver lergonomie des
diffrents moyens de paiement et ainsi de sassurer
que les nouveaux dispositifs de scurit ne soient pas
une source de complexit accrue pour les utilisateurs.
3|3 Les dfis scuritaires

lis lmergence
des tiers de paiement
Le projet de refonte de la directive europenne
sur les services de paiement(DSP2) prvoit la
cration de deux nouveaux services de paiement,
qui ont pour objet de permettre un oprateur
tiers daccder aux comptes de paiement tenus
par des prestataires de services de paiement pour:
(i)linitiation de paiements(par exemple, pour
payer par virement un commerant en ligne) ou
(ii)lagrgation dinformations(permettant, par
exemple, de prsenter le solde des comptes dune
personne dans diffrents tablissements sur une
seule pageinternet).
Ces activits, particulirement les services dinitiation
de paiement, sont actuellement ralises en dehors
de tout cadre juridique par un nombre restreint de
socits enEurope(quelques acteurs enAllemagne
et auxPaysBas notamment). Elles reprsentent,
en ltat actuel de la rglementation, un risque
en matire de fraude, dans la mesure o elles
impliquent la communication par les utilisateurs
un tiers des identifiants et codes daccs leurs
comptes de banque en ligne.
En termes de scurit, lmergence de ces nouveaux
acteurs doit tre encadre, pour prserver la scurit
des donnes bancaires des usagers. ce titre, la
nouvelle directive devrait introduire un statut
permettant dencadrer par la loi ces acteurs. Elle
prvoira galement un ensemble de dispositions
concernant, dune part, la scurit des donnes
changes et stockes, et dautre part, la scurit des
communications entre les prestataires de services de
paiement teneurs de compte, les tiers de paiement
et les consommateurs.
41
Annexes
Annexe 1 : Conseils de prudence lusage des porteurs
A1
Annexe 2 : Protection du titulaire dune carte en cas de paiement non autoris
A3
Annexe 3 : Missions et organisation de lObservatoire
A7
Annexe 4 : Liste nominative des membres de lObservatoire
A11
Annexe 5 : Dossier statistique
A13
Annexe 6 : Dfinition et typologie de la fraude relative aux cartes de paiement
A19
Annexe 1
Conseils de prudence lusage des porteurs

A1
Votre comportement concourt directement la scurit de lutilisation de votre carte. Veillez respecter
les conseils lmentaires de prudence qui suivent afin de protger vos transactions.
Soyez responsables
Votre carte est strictement personnelle : ne la prtez personne, mme pas vos proches.
Vrifiez rgulirement quelle est en votre possession.
Si votre carte comporte un code confidentiel, gardez-le secret. Ne le communiquez personne.
Apprenez-le par cur, vitez de le noter et surtout ne le rangez jamais avec votre carte.
Lorsque vous composez votre code confidentiel, veillez le faire labri des regards indiscrets. Nhsitez
pas en particulier cacher le clavier du terminal ou du distributeur de votre autre main.
Vrifiez rgulirement et attentivement vos relevs de compte.
Soyez attentifs
Lors des paiements chez un commerant
Vrifiez lutilisation qui est faite de votre carte par le commerant. Ne la quittez pas des yeux.
Pensez vrifier le montant affich par le terminal avant de valider la transaction.
Lors des retraits sur les distributeurs de billets

Vrifiez laspect extrieur du distributeur, vitez si possible ceux qui vous paratraient avoir t altrs.
Suivez exclusivement les consignes indiques lcran du distributeur : ne vous laissez pas distraire par
des inconnus, mme proposant leur aide.
Mettez immdiatement en opposition votre carte si elle a t avale par lautomate et que vous ne
pouvez pas la rcuprer immdiatement au guichet de lagence.
Lors des paiements sur Internet

Protgez votre numro de carte : ne le stockez pas sur votre ordinateur, ne lenvoyez pas par simple
courriel et vrifiez la scurisation du site du commerant (cadenas en bas de la fentre, adresse commenant
par https , etc.).
Assurez-vous du srieux du commerant, vrifiez que vous tes bien sur le bon site, lisez attentivement
les conditions gnrales de vente.
Protgez votre ordinateur, en activant les mises jour de scurit proposes par les diteurs de logiciel
(en rgle gnrale gratuites) et en lquipant dun antivirus et dun pare-feu.
Lors de vos dplacements ltranger

Renseignez-vous sur les prcautions prendre et contactez ltablissement metteur de votre carte
avant votre dpart, afin notamment de connatre les mcanismes de protection des cartes qui peuvent
tre mis en uvre.
Pensez vous munir des numros internationaux de mise en opposition de votre carte.
Annexe 1
Sachez ragir
A2
Vous avez perdu ou on vous a vol votre carte

Faites immdiatement opposition en appelant le numro que vous a communiqu ltablissement
metteur de la carte. Pensez le faire pour toutes vos cartes perdues ou voles.
En cas de vol, dposez galement plainte auprs de la police ou de la gendarmerie au plus vite.
En faisant opposition sans tarder, vous bnficierez des dispositions plafonnant les dbits frauduleux, au
pire des cas, 150 euros. Si vous ne ragissez pas rapidement, vous risquez de supporter lintgralit des
dbits frauduleux prcdant la mise en opposition. partir de la mise en opposition, votre responsabilit
ne peut plus tre engage.
Vous constatez des anomalies sur votre relev de compte,

alors que votre carte est toujours en votre possession
Nhsitez pas galement faire opposition afin de vous prmunir contre toute nouvelle tentative de fraude
qui utiliserait les donnes usurpes de votre carte.
Sauf en cas de ngligence grave de votre part (par exemple, vous avez laiss la vue dun tiers le numro
et/ou le code confidentiel de votre carte et celui-ci en a fait usage sans vous prvenir) ou en cas de
nonrespect intentionnel de vos obligations contractuelles en matire de scurit (par exemple, vous avez
commis limprudence de communiquer un proche le numro et/ou le code confidentiel de votre carte et
celui-ci en a fait usage sans vous prvenir), il faut dposer une rclamation auprs de ltablissement metteur
de la carte, ds que possible et dans un dlai fix par la loi, de 13 mois compter de la date de dbit de
lopration conteste. Dans ces conditions, votre responsabilit ne peut tre engage. Les sommes contestes
doivent alors vous tre immdiatement rembourses sans frais. Attention, lorsque le dtournement a lieu
dans un pays non europen, le dlai de contestation est ramen 70 jours compter de la date de dbit
de lopration conteste. Ce dlai peut ventuellement tre prolong par votre tablissement metteur
sans pouvoir dpasser 120 jours.
Bien entendu, en cas dagissement frauduleux de votre part, les dispositions protectrices de la loi ne
trouveront pas sappliquer et vous resterez tenu des sommes dbites avant comme aprs lopposition ainsi
que des ventuels autres frais engendrs par ces oprations (par exemple, en cas dinsuffisance deprovision).
Annexe 2
Protection du titulaire dune carte

en cas de paiement non autoris
Lordonnance de transposition de la directive concernant les services de paiement au sein du march
intrieur, entre en vigueur le 1er novembre 2009, a modifi les rgles relatives la responsabilit du
titulaire dune carte de paiement.
La charge de la preuve incombe au prestataire de services de paiement. Ainsi, lorsquun client nie avoir autoris
une opration, il incombe son prestataire de services de paiement de prouver que lopration en question a
t authentifie, dment enregistre, comptabilise et quelle na pas t affecte par une dficience technique
ou autre. La loi encadre dsormais strictement les conventions de preuve puisquelle prvoit que lutilisation
de linstrument telle quenregistre par le prestataire de services de paiement ne suffit pas ncessairement
en tant que telle prouver que lopration a t autorise par le payeur ou que celui-ci na pas satisfait par
ngligence grave aux obligations lui incombant en la matire.
Il convient toutefois de distinguer si lopration de paiement conteste est effectue ou non sur le territoire
de la Rpublique franaise ou au sein de lEspace conomique europen afin de dterminer ltendue de la
responsabilit du titulaire de la carte.
Oprations nationales ou intracommunautaires

Les oprations de paiement vises sont les oprations effectues en euros ou en francs CFP sur le territoire
de la Rpublique franaise1. Sont galement concernes les oprations effectues avec une carte de paiement
dont lmetteur est situ en France mtropolitaine, dans les dpartements doutre-mer, Saint-Martin ou
Saint-Barthlemy, au profit dun bnficiaire dont le prestataire de services de paiement est situ dans un
autre tat partie laccord sur lEEE (Union europenne + Liechtenstein, Norvge et Islande), en euros ou
dans la devise nationale de l'un de ces tats.
Concernant les oprations non autorises, cest--dire en pratique les cas de perte, vol ou dtournement
(ycompris par utilisation frauduleuse distance ou contrefaon) de linstrument de paiement, le titulaire
de la carte devra contester, auprs de son prestataire dans un dlai de 13 mois suivant la date de dbit de
son compte, avoir autoris lopration de paiement. Son prestataire devra alors rembourser immdiatement
l'opration non autorise au titulaire de la carte et, le cas chant, rtablir le compte dbit dans ltat dans
lequel il se serait trouv si lopration non autorise navait pas eu lieu. Une indemnisation complmentaire
pourra aussi ventuellement tre verse. Nonobstant lextension du dlai maximal de contestation 13mois,
le porteur devra, lorsquil a connaissance du vol, de la perte, du dtournement ou de toute utilisation non
autorise de son instrument de paiement, en informer sans tarder son prestataire de services de paiement.
Une drogation ces rgles de remboursement est cependant prvue pour les oprations de paiement
ralises en utilisant un dispositif de scurit personnalis, par exemple la frappe dun code secret.
Lordonnance dextension la Nouvelle-Caldonie, la Polynsie franaise et aux les Wallis et Futuna des dispositions de lordonnance de
transposition est entre en vigueur le 8 juillet 2010.
A3
Annexe 2
Avant information aux fins de blocage de la carte
A4
Avant opposition 2, le payeur pourra supporter, concurrence de 150 euros, les pertes lies toute opration
de paiement non autorise en cas de perte ou de vol de la carte si lopration est effectue avec lutilisation
du dispositif personnalis de scurit. En revanche, si lopration est effectue sans lutilisation du dispositif
personnalis de scurit, le titulaire de la carte ne voit pas sa responsabilit engage.
La responsabilit du titulaire de la carte nest pas non plus engage si lopration de paiement non autorise
a t effectue en dtournant son insu linstrument de paiement ou les donnes qui lui sont lies. Elle
nest pas plus engage en cas de contrefaon de la carte si elle tait en possession de son titulaire au moment
o lopration non autorise a t ralise.
En revanche, le titulaire de la carte supporte toutes les pertes occasionnes par des oprations de paiement
non autorises si ces pertes rsultent dun agissement frauduleux de sa part ou sil na pas satisfait
intentionnellement ou par ngligence grave ses obligations de scurit, dutilisation ou de blocage de
sa carte, convenues avec son prestataire de services de paiement.
Enfin, si le prestataire de services de paiement metteur de la carte ne fournit pas de moyens appropris
permettant la mise en opposition de la carte, le client ne supporte aucune consquence financire, sauf
avoir agi de manire frauduleuse.
Aprs information aux fins de blocage de la carte

Aprs mise en opposition de la carte, le payeur ne supporte aucune consquence financire rsultant de
lutilisation de la carte ou de lutilisation dtourne des donnes qui lui sont lies.
L encore, les agissements frauduleux du titulaire de la carte le privent de toute protection et il demeure
responsable des pertes lies lutilisation de sa carte.
Linformation aux fins de blocage peut tre effectue auprs du prestataire de services de paiement ou
auprs dune entit que ce dernier aura indique son client, suivant les cas, dans le contrat de services
de paiement ou dans la convention de compte de dpt.
Lorsque le titulaire de la carte a inform son prestataire de services de paiement de la perte, du vol, du
dtournement ou de la contrefaon de sa carte, ce dernier lui fournit sur demande et pendant 18mois,
les lments lui permettant de prouver quil a procd cette information.
Oprations extra-europennes
La directive sur les services de paiement nest applicable quaux oprations intracommunautaires. Cependant
la lgislation franaise existant avant ladoption de cette directive protgeait les titulaires de cartes sans
distinction de la localisation du bnficiaire de lopration non autorise. Il a t dcid de maintenir une
protection quivalente celle laquelle le client avait droit auparavant. cette fin, les rgles applicables
aux oprations nationales ou intracommunautaires sont applicables avec des adaptations.
La loi utilise dsormais le terme information aux fins de blocage de linstrument de paiement.
Annexe 2
Ainsi, les oprations de paiement concernes par ces adaptations sont les oprations effectues avec
une carte de paiement dont lmetteur est situ en France mtropolitaine, dans les dpartements
doutre-mer 3, Saint-Martin ou Saint-Barthlemy, au profit dun bnficiaire dont le prestataire de
services de paiement est situ dans un tat non europen4, quelle que soit la devise dans laquelle lopration
est ralise. Sont galement concernes les oprations effectues avec une carte dont lmetteur est situ
Saint-Pierre-et-Miquelon, en Nouvelle-Caldonie, en Polynsie franaise ou Wallis et Futuna, au
profit dun bnficiaire dont le prestataire est situ dans un tat autre que la Rpublique franaise, quelle
que soit la devise utilise.
Dans ces cas, le plafond de 150 euros trouve sappliquer pour les oprations non autorises en cas de
perte ou de vol de la carte, mme si lopration a t ralise sans utilisation du dispositif personnalis
de scurit.
Par ailleurs, le dlai maximal de contestation de lopration est ramen 70 jours et conventionnellement
tendu 120 jours. En revanche, le remboursement immdiat de lopration non autorise est tendu.
3
4
Y compris Mayotte depuis le 31 mars 2011.

Qui nest pas partie laccord sur lEEE (UE + Liechtenstein, Norvge et Islande).
A5
Annexe 3
Missions et organisation de lObservatoire

A7
Les missions, la composition et les modalits de fonctionnement de lObservatoire de la scurit des cartes
de paiement sont prcises par les articles R. 141-1, R. 141-2 et R. 142-22 R. 142-27 du Codemontaire
et financier.
Cartes concernes
Lancien article L. 132-1 du Code montaire et financier, dans sa rdaction antrieure au 1er novembre 20091,
dfinissait une carte de paiement comme toute carte mise par un tablissement de crdit permettant
son titulaire de retirer ou de transfrer des fonds. Lordonnance n 2009-866 du 15 juillet 2009 relative
aux conditions rgissant la fourniture de services de paiement et portant cration des tablissements de
paiement, ayant maintenu le primtre de comptence de lObservatoire, il a t dcid de continuer de
sappuyer sur cette dfinition en ltendant aux prestataires de services de paiement qui sont, aux termes
du I de larticleL.521-1 du Code montaire et financier, les tablissements de crdit, les tablissements de
monnaie lectronique et les tablissements de paiement.
En consquence, les comptences de lObservatoire concernent les cartes mises par les prestataires de
services de paiement ou par les institutions assimiles 2 et dont les fonctions sont le retrait ou le transfert
de fonds. Elles ne couvrent pas les cartes parfois appeles cartes purement privatives qui peuvent tre
mises par une entreprise sans avoir obtenir un agrment dlivr par lAutorit de contrle prudentiel et
de rsolution. Il sagit, dune part, des cartes monoprestataires mises par une seule entreprise et acceptes
en paiement dun bien ou dun service dtermin par elle-mme ou par des accepteurs ayant nou avec elle
un accord de franchise commerciale 3 et, dautre part, des cartes multiprestataires, qui ne sont acceptes,
pour lacquisition de biens ou de services, que dans les locaux de lmetteur de la carte ou, dans le cadre
dun accord commercial avec ce dernier, dans un rseau limit de personnes ou pour un ventail limit de
biens ou de services4.
Le march franais compte de nombreuses offres en matire de cartes de paiement qui relvent des comptences
de lObservatoire. Parmi celles-ci, on distingue gnralement les cartes dont le schma dacceptation des
paiements et des retraits repose sur :
un nombre rduit de prestataires de services de paiement metteurs et acqureurs (cartes gnralement
qualifies de privatives ) ;
un nombre lev de prestataires de services de paiement metteurs et acqureurs (cartes gnralement
qualifies d interbancaires ).
1
2
3
4
Cet article a t supprim par lordonnance de transposition de la directive europenne sur les services de paiement. En effet, il ntait pas
compatible avec la directive qui fixe les rgles applicables aux oprations de paiement en fonction de la cinmatique du paiement, ceci afin
dassurer une neutralit technologique entre les diffrents instruments de paiement utiliss.
Les institutions assimiles sont, aux termes du II de larticle L. 521-1 du Code montaire et financier, la Banque de France, lInstitut dmission
des dpartements doutre-mer, le Trsor public et la Caisse des dpts et consignations.
Ces cartes sont dispenses dagrment par le 5 du I de larticle L.511-7, larticle L.525-6 et le II in fine de larticle L. 521-3 du Code montaire
et financier.
Ces cartes sont dispenses dagrment par le II de larticle L. 511-7, larticle L. 525-5 et le I de larticle L. 521-3 du Code montaire et financier.
Annexe 3
A8
Ces cartes peuvent offrir des fonctions diverses qui conduisent la typologie fonctionnelle suivante en
matire de cartes de paiement :
les cartes de dbit sont des cartes associes un compte de paiement 5 permettant son titulaire
deffectuer des retraits ou des paiements qui seront dbits selon un dlai fix par le contrat de dlivrance
de la carte. Ce dbit peut tre immdiat (retrait ou paiement) ou diffr (paiement) ;
les cartes de crdit sont adosses une ligne de crdit, avec un taux et un plafond ngocis avec le client,
et permettent deffectuer des paiements et/ou des retraits despces. Elles permettent leur titulaire de
rgler lmetteur lissue dun certain dlai (suprieur quarantejours en France). Laccepteur est rgl
directement par lmetteur sans dlai particulier li au crdit ;
les cartes nationales permettent deffectuer des paiements ou des retraits exclusivement auprs daccepteurs
tablis sur le territoire franais ;
les cartes internationales permettent deffectuer des paiements et des retraits dans tous les points
dacceptation, nationaux ou internationaux, de la marque ou dmetteurs partenaires avec lesquels le
systme de paiement par carte a sign des accords ;
les porte-monnaie lectroniques sont des cartes sur lesquelles sont stockes des units de monnaie
lectronique. Aux termes de larticle L.315-1 du Code montaire et financier, la monnaie lectronique est une
valeur montaire qui est stocke sous une forme lectronique, y compris magntique, reprsentant une crance sur
lmetteur, qui est mise contre la remise de fonds aux fins doprations de paiement dfinies larticleL.1333
et qui est accepte par une personne physique ou morale autre que lmetteur de monnaie lectronique.
La typologie fonctionnelle rappele ci-dessus inclut galement les paiements sans contact.
Attributions
Conformment aux articles L. 141-4 et R. 141-1 du Code montaire et financier, les attributions de
lObservatoire de la scurit des cartes de paiement sont de trois ordres :
il suit la mise en uvre des mesures adoptes par les metteurs et les commerants pour renforcer la
scurit des cartes de paiement. Il se tient inform des principes adopts en matire de scurit ainsi que
des principales volutions ;
il est charg dtablir des statistiques en matire de fraude. cette fin, les metteurs de cartes de paiement
adressent au secrtariat de lObservatoire les informations ncessaires ltablissement de ces statistiques.
LObservatoire met des recommandations afin dharmoniser les modalits de calcul de la fraude sur les
diffrents types de cartes de paiement ;
il assure une veille technologique en matire de cartes de paiement, avec pour objet de proposer des
moyens de lutter contre les atteintes dordre technologique la scurit des cartes de paiement. cette
fin, il collecte les informations disponibles de nature renforcer la scurit des cartes de paiement et les
met la disposition de ses membres. Il organise un change dinformations entre ses membres dans le
respect de la confidentialit de certaines informations.
5
Les comptes de paiement qui sont, aux termes du I de larticle L. 314-1 du Code montaire et financier, des comptes dtenus au nom dune
ou plusieurs personnes, utiliss aux fins de lexcution doprations de paiement, correspondent aux comptes de dpts vue ouverts sur les
livres des banques et aux comptes ouverts sur les livres des autres prestataires de services de paiement.
Annexe 3
En outre, le ministre charg de lconomie et des finances peut, aux termes de larticle R. 141-2 du Code
montaire et financier, saisir pour avis lObservatoire en lui impartissant un dlai de rponse. Les avis
peuvent tre rendus publics par le ministre.
Composition
Larticle R. 142-22 du Code montaire et financier dtermine la composition de lObservatoire. Conformment
ce texte, lObservatoire comprend :
un dput et un snateur ;
huit reprsentants des administrations ;
le gouverneur de la Banque de France ou son reprsentant ;
le secrtaire gnral de lAutorit de contrle prudentiel et de rsolution ou son reprsentant ;
dix reprsentants des metteurs de cartes de paiement, notamment de cartes bancaires, de cartes privatives
et de porte-monnaie lectroniques ;
cinq reprsentants du collge consommateurs du Conseil national de la consommation ;
cinq reprsentants des commerants issus notamment du commerce de dtail, de la grande distribution,
de la vente distance et du commerce lectronique ;
trois personnalits qualifies en raison de leurs comptences.
La liste nominative des membres de lObservatoire figure en annexe 4.
Les membres de lObservatoire autres que les parlementaires, ceux reprsentant ltat, le gouverneur de
la Banque de France et le secrtaire gnral de lAutorit de contrle prudentiel et de rsolution sont
nomms pour troisans. Leur mandat est renouvelable.
Le prsident est dsign parmi ces membres par le ministre charg de lconomie et des finances. Sonmandat
est de trois ans, renouvelable. Monsieur Christian Noyer, gouverneur de la Banque de France, assure cette
fonction depuis le 17 novembre 2003.
Modalits de fonctionnement
Conformment larticle R. 142-23 et suivants du Code montaire et financier, lObservatoire se runit sur
convocation de son prsident, au moins deux fois par an. Les sances ne sont pas publiques. Lesmesures
proposes au sein de lObservatoire sont adoptes si une majorit absolue est constitue. Chaque membre
dispose dune voix ; en cas de partage des votes, le prsident dispose dune voix prpondrante. LObservatoire
a adopt en 2003 un rglement intrieur qui prcise les conditions de son fonctionnement.
A9
Annexe 3
A10
Le secrtariat de lObservatoire, assur par la Banque de France, est charg de lorganisation et du suivi des
sances, de la centralisation des informations ncessaires ltablissement des statistiques de la fraude sur
les cartes de paiement, de la collecte et de la mise disposition des membres des informations ncessaires
au suivi des mesures de scurit adoptes et la veille technologique en matire de cartes de paiement.
Lesecrtariat prpare galement le rapport annuel de lObservatoire, remis chaque anne au ministre
charg de lconomie et des finances et transmis au Parlement.
Des groupes de travail ou dtude peuvent tre constitus par lObservatoire, notamment lorsque le
ministre charg de lconomie et des finances le saisit pour avis. LObservatoire fixe la majorit absolue
de ses membres le mandat et la composition de ces groupes de travail qui doivent rendre compte de leurs
travaux chaque sance. Les groupes de travail ou dtude peuvent entendre toute personne susceptible
de leur apporter des prcisions utiles laccomplissement de leur mandat. Dans ce cadre, lObservatoire
a constitu deux groupes de travail permanents chargs, lun dharmoniser et dtablir des statistiques en
matire de fraude, lautre dassurer une veille technologique relative aux cartes de paiement. En 2010,
lObservatoire a dcid la cration dun groupe de travail ddi la problmatique du dploiement de la
technologie 3D-Secure .
tant donn la sensibilit des donnes changes, les membres de lObservatoire et son secrtariat, sont tenus
au secret professionnel par larticle R. 142-25 du Code montaire et financier, et doivent donc conserver
confidentielles les informations qui sont portes leur connaissance dans le cadre de leurs fonctions.
cette fin, lObservatoire a inscrit dans son rglement intrieur lobligation incombant aux membres
de sengager auprs du prsident veiller strictement au caractre confidentiel des documents de travail.
Annexe 4
Liste nominative des membres de lObservatoire

A11
En application de larticle R142-22 du Code montaire et financier, les membres de lObservatoire autres que
les parlementaires, ceux reprsentant ltat, le gouverneur de la Banque de France et le secrtaire gnral
de lAutorit de contrle prudentiel et de rsolution sont nomms pour trois ans par arrt du ministre
charg de lconomie, du Redressement productif et du Numrique. Le dernier arrt de nomination
date du 19 dcembre 2014.
Prsident
Christian NOYER
Gouverneur de la Banque de France
Reprsentants des assembles
Philippe GOUJON
Dput
Michle ANDR
Snatrice
Reprsentant du secrtaire gnral de lAutorit
de contrle prudentiel et de rsolution
Olivier PRATO
Secrtariat gnral
Reprsentants des administrations
Sur proposition du secrtariat gnral de la dfense
et de la scurit nationale :
Le directeur gnral de lAgence nationale de la scurit
des systmes dinformation ou sonreprsentant :
Jos ARAUJO
Vincent STRUBEL
Sur proposition du ministre de lconomie,
de l'Industrie et du Numrique :
Le haut fonctionnaire de dfense et de scurit
ou son reprsentant:
Christian Dufour
Philippe ARMAND
Le directeur gnral du Trsor ou son reprsentant:
Isabelle BUI
Le directeur gnral des Entreprises ou son

reprsentant :
Loc DUFLOT
Le directeur gnral de la Concurrence, de la
Consommation et de la Rpression des fraudes
ou son reprsentant :
Madly MERI
Sur proposition du garde des Sceaux, ministre
de la Justice :
Le directeur des affaires criminelles et des grces
Vincent FILHOL
Sur proposition du ministre de lIntrieur :
Le chef de loffice central de lutte contre
la criminalit lie aux technologies de
linformation et de la communication ou
son reprsentant :
Valrie MALDONADO
Sylvain BRUN
Sur proposition du ministre de la Dfense :
Le directeur gnral de la gendarmerie nationale
ric FREYSSINET
Thomas SOUVIGNET
Annexe 4
A12
Reprsentants des metteurs

de cartes de paiement
Frdric COLLARDEAU
Directeur de la filire des paiements
La Banque Postale
Gilbert ARIRA
Administrateur
Groupement des Cartes Bancaires
Jean DIACONO
Administrateur
American Express France
Willy DUBOST
Directeur Systmes et Moyens de paiement
Fdration bancaire franaise
Caroline SELLIER
Directeur Risk management et Lutte contre la fraude
Natixis Paiements
Franois LANGLOIS
Directeur des Relations institutionnelles
BNPParibas Personal Finance
Frdric MAZURIER
Directeur administratif et financier
CarrefourBanque
Grard NEBOUY
Directeur gnral
Visa Europe France
Rgis FOLBAUM
Prsident directeur gnral
MasterCard France
Narinda YOU
Directeur
Stratgie et pilotage interbancaire
Crdit Agricole SA
Reprsentants du collge consommateurs
du Conseil national de la consommation
Rgis CREPY
Confdration nationale
Associations familiales catholiques (CNAFC)
Sabine ROSSIGNOL
Association Lo Lagrange pour la dfense
des consommateurs (ALLDC)
Patrick MERCIER
Prsident
Association de dfense dducation
et dinformation du consommateur (ADEIC)
Frdric POLACSEK
Conseil national des associations familiales laques
(CNAFAL)
Maxime CHIPOY
UFC-Que Choisir
Reprsentants des organisations professionnelles

de commerants
Philippe JOGUET
Directeur Dveloppement durable, RSE, Questions
financires
Fdration des entreprises du commerce
et de la distribution (FCD)
Marc LOLIVIER
Dlgu gnral
Fdration du e-commerce et de la vente distance
(Fevad)
Jean-Jacques MELI
Chambre de commerce et dindustrie
du Val dOise
Jean-Marc MOSCONI
Dlgu gnral
Mercatel
Philippe SOLIGNAC
Vice-prsident
Chambre de commerce et dindustrie
de Paris/ACFCI
Personnalits qualifies
en raison de leurs comptences
ric BRIER
Chief Security Officer
Ingenico
David NACCACHE
Professeur
cole normale suprieure
Sophie NERBONNE
Directeur adjoint la direction des affaires
juridiques, internationales et de lexpertise
Commission nationale de linformatique
et des liberts (CNIL)
Annexe 5
Dossier statistique
Le dossier statistique qui suit a t ralis partir des donnes fournies lObservatoire de la scurit des
cartes de paiement par :
les 130 membres du Groupement des Cartes Bancaires CB par lintermdiaire de celui-ci, MasterCard
et Visa Europe France ;
dix metteurs de cartes privatives : American Express, Banque Accord, BNP Paribas Personal Finance,
Crdit Agricole Consumer Finance (Finaref et Sofinco), Cofidis, Cofinoga, Diners Club, Franfinance,
JCB et UnionPay ;
les metteurs du porte-monnaie lectronique Moneo.
Total des cartes franaises en circulation en2014: 85,6millions.
dont 71,0 millions de cartes de type interbancaire ( CB , MasterCard, Visa et Moneo) ;
et 14,6 millions de cartes de type privatif .
Cartes mises en opposition1 en2014: environ 905 600.
Les transactions domestiques sont celles qui mettent en jeu un metteur franais et un commerant
accepteur franais.
Parmi les transactions internationales, une distinction est faite, partir de 2010, entre celles qui sont
effectues au sein de la zone SEPA, et celles qui mettent en jeu un acteur metteur ou commerant
accepteur situ dans le reste du monde. Les transactions internationales sont par consquent de quatre
types : metteur franais et accepteur tranger SEPA, metteur franais et accepteur tranger hors SEPA,
metteur tranger SEPA et accepteur franais, metteur tranger hors SEPA et accepteur franais.
Cartes mises en opposition pour lesquelles au moins une transaction frauduleuse a t enregistre.
A13
Annexe 5
A14
Tableau 1
Le march des cartes de paiement en France en2014 mission
(volume en millions ; valeur en milliards d'euros)
metteur franais,
Accepteur franais
metteur franais,
Accepteur tranger
SEPA
metteur franais,
Accepteur tranger
hors SEPA
Volume
Valeur
Volume
Valeur
Volume
8 148,87
344,31
163,38
10,70
46,99
4,38
14,29
1,85
17,11
1,06
2,04
0,15
Valeur
Cartes de type interbancaire

Paiements de proximit et sur automate
Paiements distance hors Internet
Paiements distance sur Internet
781,70
58,58
155,17
7,50
30,76
1,99
1 512,18
121,39
29,85
3,61
20,96
3,18
10 457,05
526,14
365,51
22,87
100,75
9,70
1,11
Retraits
Total
Cartes de type privatif
103,57
11,73
7,52
0,97
6,24
1,13
0,07
17,58
2,40
3,70
0,46
1,28
0,20
Retraits
3,28
0,30
125,56
14,49
11,22
1,43
7,51
1,31
10 582,61
540,63
376,73
24,30
108,27
11,01
Total
Total gnral
Source : Observatoire de la scurit des cartes de paiement.
Tableau 2
Le march des cartes de paiement en France en2014 Acceptation
(volume en millions ; valeur en milliards d'euros)
metteur franais,
Accepteur franais
metteur tranger
SEPA,
Accepteur franais
metteur tranger
hors SEPA,
Accepteur franais
Volume
Valeur
Volume
Valeur
Volume
8 148,87
344,31
217,66
16,51
68,51
9,50
14,29
1,85
5,61
1,20
1,62
0,76
Valeur
Cartes de type interbancaire

Retraits
Total
781,70
58,58
43,87
5,64
13,20
2,61
1 512,18
121,39
26,68
4,86
8,87
2,19
10 457,05
526,14
293,82
28,20
92,20
15,06
4,03
Cartes de type privatif

103,57
11,73
4,31
1,10
7,03
1,13
0,07
17,58
2,40
0,88
0,16
0,53
0,19
Retraits
Total
Total gnral
3,28
0,30
0,44
0,23
125,56
14,49
5,19
1,26
8,00
4,45
10 582,61
540,63
299,02
29,46
100,20
19,51
Annexe 5
Tableau 3
Rpartition de la fraude selon le type de transaction, son origine et la zone gographique
pour les cartes de type interbancaire en2014 mission
A15
(volume en milliers ; valeur en milliers d'euros)

metteur franais,
Accepteur franais
metteur franais,
Accepteur tranger
SEPA
metteur franais,
Accepteur tranger
hors SEPA
Volume
Valeur
Volume
Volume
Valeur
469,7
35 077,6
63,7
Valeur
7 182,8
106,5
17 879,5
3 840,4
457,5
34 590,8
47,3
4 135,1
17,6
5,7
309,8
0,3
32,2
0,1
7,3
5,3
99,9
7,1
1 287,8
75,2
11 674,9
2 008,1
0,2
33,1
7,2
1 371,5
11,3
Autres
0,9
44,1
1,7
356,2
2,4
348,7
18,2
2 579,9
141,3
13 896,5
37,5
7 535,7
1 285,8

0,1
8,3
16,5
1 841,1
6,3
0,0
0,0
0,1
5,1
0,0
1,1
0,0
1,3
3,1
519,4
2,0
599,5
18,0
2 569,6
121,2
11 498,8
29,0
5 632,4
0,0
0,7
0,4
32,1
0,2
17,0
1 355,4
151 716,4
1 276,3
67 142,8
136,4
14 515,6
1 712,5

Autres
0,3
21,6
123,9
7 288,6
14,8
0,0
0,0
0,4
11,6
0,1
4,1
0,1
11,2
34,1
2 077,1
5,2
521,1
1 355,0
151 677,2
1 115,8
57 624,5
115,8
12 230,6
0,0
6,4
2,1
141,0
0,5
47,4
Retraits
139,5
41 252,8
5,4
1 174,0
179,7
28 315,0
1 564,6

Autres
137,9
40 931,6
3,7
853,3
9,7
0,6
205,8
0,0
5,2
0,0
5,6
0,1
15,3
1,5
273,9
164,4
25 883,5
0,0
4,0
0,0
9,9
1,4
191,2
Autres
0,8
96,0
0,2
31,7
4,2
670,0
1 982,8
230 626,7
1 486,7
89 396,1
460,1
68 245,8
Total
Annexe 5
A16
Tableau 4
pour les cartes de type interbancaire en2014 Acceptation
metteur franais,
Accepteur franais
metteur tranger
SEPA,
Accepteur franais
metteur tranger
hors SEPA,
Accepteur franais
Volume
Valeur
Volume
Volume
Valeur
469,7
35 077,6
62,9
Valeur
5 048,0
98,6
18 801,4
3 598,1
457,5
34 590,8
39,6
2 439,4
15,6
5,7
309,8
1,4
73,1
0,3
78,8
5,3
99,9
10,1
643,7
71,5
12 118,7
2 808,7
0,2
33,1
10,5
1 694,1
10,6
Autres
0,9
44,1
1,3
197,7
0,6
197,2
18,2
2 579,9
18,0
4 743,7
19,0
7 694,0
465,3

0,1
8,3
1,9
157,8
0,9
0,0
0,0
0,0
2,4
0,0
9,2
0,0
1,3
1,5
414,4
1,5
698,5
18,0
2 569,6
14,4
4 138,7
16,5
6 472,4
0,0
0,7
0,2
30,3
0,1
48,6
1 355,4
151 716,4
125,0
27 548,1
154,0
34 743,3
1 962,7

Autres
0,3
21,6
3,9
555,8
7,9
0,0
0,0
0,2
13,5
0,2
35,3
0,1
11,2
3,0
558,0
12,8
2 470,2
1 355,0
151 677,2
115,9
26 026,6
132,0
28 055,2
0,0
6,4
2,1
394,2
1,0
219,9
Retraits
139,5
41 252,8
3,8
880,5
2,2
631,4
305,8

Autres
137,9
40 931,6
3,3
784,3
1,0
0,6
205,8
0,0
3,8
0,0
0,4
0,1
15,3
0,2
48,3
1,2
310,9
12,5
0,0
4,0
0,2
31,7
0,1
Autres
0,8
96,0
0,1
12,3
0,0
1,8
1 982,8
230 626,7
209,6
38 220,3
273,8
59 870,2
Total
Annexe 5
Tableau 5
pour les cartes de type privatif en2014 mission
A17
metteur franais,
Accepteur franais
metteur franais,
Accepteur tranger
SEPA
metteur franais,
Accepteur tranger
hors SEPA
Volume
Valeur
Volume
Volume
Valeur
3,09
2 040,95
0,93
5,82
1 323,39
Valeur
585,80
1,18
404,45
0,11
79,53
0,43
94,77
0,65
356,56
0,15
71,59
0,07
34,41
0,27
51,73
0,36
286,49
4,32
789,18
0,34
173,71
0,32
148,20
1,00
405,03
0,0
Autres
0,65
1 054,51
0,0
0,0
0,0
0,24
250,74
0,00
0,00
0,00
0,00
0,00
0,00
0,17
171,01
Autres
0,07
79,72
429,36
5,48
1 498,31
12,92
1 005,94
2,48
0,31
91,81
0,43
8,87
0,05
1,50
0,03
3,94
0,01
0,74
0,01
0,39
0,08
8,31
0,13
15,04
0,31
22,60
4,94
1 262,87
12,35
981,29
2,13
404,87
Autres
0,13
131,37
Retraits
1,67
226,02
1,57
199,59
0,09
24,50
0,00
0,00
0,00
0,00
Autres
0,01
1,93
Total
10,48
4 016,01
13,85
1 591,75
8,30
1 752,76
Annexe 5
A18
Tableau 6
pour les cartes de type privatif en2014 Acceptation
metteur franais,
Accepteur franais
metteur tranger
SEPA,
Accepteur franais
metteur tranger
hors SEPA,
Accepteur franais
Volume
Valeur
Volume
Volume
Valeur
3,09
2 040,95
0,20
76,10
4,64
3 059,16
368,53
Valeur
1,18
404,45
0,03
17,10
0,59
0,65
356,56
0,00
1,18
0,00
4,25
0,27
51,73
0,06
26,91
3,70
2 435,01
250,81
0,34
173,71
0,10
30,92
0,35
Autres
0,65
1 054,51
0,00
0,00
0,00
0,55
0,24
250,74
0,01
9,19
0,01
6,50
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,00
0,17
171,01
0,00
0,00
0,00
0,00
Autres
0,07
79,72
0,01
9,19
0,01
6,50
5,48
1 498,31
2,43
1 030,54
7,93
2 692,55
34,12
0,31
91,81
0,01
2,87
0,14
0,03
3,94
0,00
2,99
0,10
5,09
0,08
8,31
0,18
77,20
0,73
215,56
2 437,79
4,94
1 262,87
2,22
936,93
6,97
Autres
0,13
131,37
0,01
10,56
0,00
0,00
Retraits
1,67
226,02
0,00
0,90
1,57
199,59
0,00
0,00
0,09
24,50
0,00
0,00
0,00
0,00
0,00
0,84
0,00
0,00
0,00
0,00
Autres
0,01
1,93
0,00
0,06
Total
10,48
4 016,01
2,63
1 115,82
12,59
5 759,12
Annexe 6
Dfinition et typologie de la fraude

relative aux cartes de paiement
Dfinition de la fraude
des fins de recensement statistique, lObservatoire estime quil convient de considrer comme constitutif
de fraude toute utilisation illgitime dune carte de paiement ou des donnes qui lui sont attaches, ainsi
que tout acte concourant la prparation ou la ralisation dune telle utilisation :
ayant pour consquence un prjudice pour le banquier teneur de compte quil sagisse du banquier du
porteur de la carte ou de celui de laccepteur (commerant, administration pour son propre compte ou
au sein dun systme de paiement1), le porteur, laccepteur, lmetteur, un assureur, un tiers de confiance
ou tout intervenant dans la chane de conception, de fabrication, de transport, de distribution de donnes
physiques ou logiques, dont la responsabilit civile, commerciale ou pnale pourrait tre engage ;
quels que soient :
les moyens employs pour rcuprer, sans motif lgitime, les donnes ou le support de la carte
(vol, dtournement du support de la carte, des donnes physiques ou logiques, des donnes de
personnalisation et/ou rcupration du code secret, et/ou du cryptogramme, piratage de la piste magntique
et/ou de la puce),
les modalits dutilisation de la carte ou des donnes qui lui sont attaches (paiement ou retrait, en
paiement de proximit ou distance, par utilisation physique de la carte ou du numro de carte, sur
automate),
la zone gographique dmission ou dutilisation de la carte ou des donnes qui lui sont attaches:
-metteur franais et carte utilise en France,
-metteur tranger dans lespace SEPA et carte utilise en France,
-metteur tranger hors de lespace SEPA et carte utilise en France,
-metteur franais et carte utilise ltranger dans lespace SEPA,
-metteur franais et carte utilise ltranger hors de lespace SEPA ;
le type de carte de paiement2, y compris les porte-monnaie lectroniques;
que le fraudeur soit un tiers, le banquier teneur de compte, le porteur de la carte lui-mme (dans le
cas par exemple dune utilisation aprs dclaration de vol ou de perte, ou dune dnonciation abusive de
transactions), laccepteur, lmetteur, un assureur, un tiers de confiance
1
2
Dans le cas dInternet, laccepteur peut tre diffrent du fournisseur de service, ou dun tiers de confiance (paiements, dons effectus par des
internautes en soutien dun site, dune idologie).
Tel que dfini larticle L. 132-1 du Code montaire et financier dans sa version antrieure au 1er novembre 2009.
A19
Annexe 6
Typologie de la fraude
A20
LObservatoire a par ailleurs dfini une typologie de la fraude qui distingue les lments suivants.
Les origines de fraude :

carte perdue ou vole : le fraudeur utilise une carte de paiement suite une perte ou un vol;
carte non parvenue : la carte a t intercepte lors de son envoi son titulaire lgitime par lmetteur.
Ce type dorigine se rapproche de la perte ou du vol. Cependant, il sen distingue, dans la mesure o le
porteur peut moins facilement constater quun fraudeur est en possession dune carte lui appartenant et
o il met en jeu des vulnrabilits spcifiques aux procdures denvoi des cartes;
carte falsifie ou contrefaite : une carte de paiement authentique est falsifie par modification des
donnes magntiques, dembossage ou de programmation. La contrefaon dune carte suppose la cration
dun support donnant lillusion dtre une carte de paiement authentique et/ou susceptible de tromper
un automate ou une personne quant sa qualit substantielle. Pour les paiements effectus sur automate
de paiement, une telle carte, fabrique par le fraudeur, supporte les donnes ncessaires tromper le
systme. En commerce de proximit, une carte contrefaite est une carte fabrique par un fraudeur, qui
prsente certaines scurits (dont laspect visuel) dune carte authentique, supporte les donnes dune
carte authentique et est destine tromper la vigilance dun accepteur;
numro de carte usurp : le numro de carte dun porteur est relev son insu ou cr par moulinage
(voir le paragraphe sur les techniques de fraude ci-dessous) et utilis en vente distance;
numro de carte non affect : utilisation dun PAN 3 cohrent mais non attribu un porteur, puis
gnralement utilis en vente distance.
Les techniques de fraude :

skimming : technique qui consiste en la copie, dans un commerce de proximit ou dans des distributeurs
automatiques, des pistes magntiques dune carte de paiement laide dun lecteur mmoire appel
skimmer. ventuellement, le code confidentiel est galement captur de visu, laide dune camra ou
encore par dtournement du clavier numrique. Ces donnes seront inscrites ultrieurement sur les pistes
magntiques dune carte contrefaite;
hameonnage ou phishing : technique utilise par les fraudeurs visant obtenir des donnes personnelles,
principalement par le biais de courriels non sollicits renvoyant les utilisateurs vers des sites frauduleux
ayant lapparence de sites de confiance;
usurpation d'identit : actes frauduleux lis un paiement par carte et supposant lutilisation de lidentit
dune autre personne;
rpudiation abusive : contestation par le porteur, de mauvaise foi, dun ordre de paiement valide dont
il est linitiateur;
Personal Account Number.
Annexe 6
piratage d'automates de paiement ou de retrait : technique qui consiste placer des dispositifs de
duplication de cartes sur des automates de paiement ou des distributeurs automatiques de billets;
piratage de systmes automatiss de donnes, de serveurs ou de rseaux : intrusion frauduleuse sur de
telssystmes;
moulinage : technique de fraude consistant utiliser les rgles, propres un metteur, de cration de
numros de cartes pour gnrer de tels numros et effectuer des paiements.
Les types de paiement :

paiement de proximit, ralis au point de vente ou sur automate;
paiement distance ralis sur Internet, par courrier, par fax/tlphone, ou par tout autre moyen;
retrait (retrait DAB ou autre type de retrait).
La zone gographique dmission ou dutilisation de la carte

ou des donnes qui lui sont attaches :
lmetteur et lacqureur sont, tous deux, tablis en France. On dira galement, dans ce cas, que la transaction
est nationale. Pour autant, pour les paiements distance, le fraudeur peut oprer depuis l'tranger;
lmetteur est tabli en France et lacqureur est tabli ltranger dans lespace SEPA ;
lmetteur est tabli en France et lacqureur est tabli ltranger hors espace SEPA ;
lmetteur est tabli ltranger dans lespace SEPA et lacqureur est tabli en France ;
lmetteur est tabli ltranger hors espace SEPA et lacqureur est tabli en France.
Le secteur dactivit du commerant pour les paiements distance :

alimentation : piceries, supermarchs, hypermarchs, ;
approvisionnement dun compte, vente de particulier particulier : sites de vente en ligne entre particuliers, ;
assurance ;
commerce gnraliste et semi-gnraliste : textile/habillement, grand magasin, gnraliste vente sur
catalogue, vente prive, ;
quipement de la maison, ameublement, bricolage ;
jeu en ligne ;
produits techniques et culturels : matriel et logiciel informatiques, matriel photographique, livre, CD/DVD, ;
sant, beaut, hygine ;
services aux particuliers et aux professionnels : htellerie, service de location, billetterie de spectacle,
organisme caritatif, matriel de bureau, service de messagerie, ;
tlphonie et communication : matriel et service de tlcommunication/tlphonie mobile ;
voyage, transport : ferroviaire, arien, maritime ;
divers.
A21
diteur
Banque de France
39, rue Croix-des-Petits-Champs
75001 Paris
Directeur de la publication
Denis Beau,
Directeur gnral des Oprations
Banque de France
Rdacteur en chef
Frdric Hervo,
Directeur des Systmes de paiement et Infrastructures de march
Banque de France
Secrtariat de rdaction
Marcia Toma
Ralisation
Direction de la Communication
de la Banque de France
Le rapport de lObservatoire de
la scurit des cartes de paiement
est en libre tlchargement sur
le site internet de l'Observatoire
(www.observatoire-cartes.fr).
Une version imprime peut tre
obtenue gratuitement, jusqu
puisement du stock, sur simple
demande (cf. adresse ci-contre).
LObservatoire de la scurit des
cartes de paiement se rserve le droit
de suspendre le service de la diffusion
et de restreindre le nombre de copies
attribues par personne.
Oprateurs PAO
Nicolas Besson, Anglique Brunelle, AlexandrineDimouchy,
Christian Heurtaux, FranoisLcuyer, Aurlien Lefvre,
Carine Otto, IsabellePasquier
Version papier
Observatoire de la scurit des cartes de paiement
011-2323
Tlphone :
+1 42 92 96 13
Tlcopie :
+1 42 92 31 74
Impression
Banque de France
Dpt lgal
Ds parution
Internet
www.observatoire-cartes.fr

OSCP Rapport Annuel 2014

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

OSCP Rapport Annuel 2014

Hochgeladen von

Copyright:

Verfügbare Formate

2014 R A P P O R T A N N U E L

Rapport annuel 2014

de lObservatoire de la scurit des cartes de paiement

le renforcement de la scurit des paiements sur internet

2|1 Les actions menes par la Banque de France et lObservatoire

3| tat des lieux des dispositifs biomtriques utiliss

pour des oprations de paiement par carte

3|1 tapes prliminaires la mise en uvre dun dispositif biomtrique

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014

chapitre 4 : Les nouveaux moyens de paiement :

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014

e douzime rapport annuel dactivit de lObservatoire de la scurit des cartes de paiement,

2e partie: statistiques de fraude pour lanne2014

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014

ce titre, certains secteurs dactivit, notamment celui de la tlphonie et des communications,

3e partie: travaux de veille technologique sur lusage de la biomtrie

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice2014

4e partie: synthse de la confrence Les nouveaux moyens

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice2014

Ensuite, la prise en compte en permanence des volutions du march, dans un contexte o

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice2014

tat des lieux de la scurisation

par le dispositif 3D-Secure1), permet de mesurer

1|1 La quasi-totalit des porteurs

Source: Observatoire de la scurit des cartes de paiement.

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014

contre 93,3% en octobre2014) sexplique par la

1|2 Le taux dchec3 sur les

rduit, tmoignant dune meilleure comprhension

1|3 Le recours lauthentification

De plus, les carts constats sur ce taux dchec

La part des transactions authentifies en valeur

En outre, la proportion de commerants quips

Taux d'chec 3D-S dans l'tablissement le moins affect

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014

Source: Observatoire de la scurit des cartes de paiement.

Cette hausse sexplique notamment par une adoption

2| Les actions menes

des acteurs impliqus dans la chane du paiement un

2|2 Laction des autorits europennes

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice2014

Le recours systmatique lauthentification renforce

2|3 Les Assises nationales

Les propositions formules dans le cadre des travaux

Voir prcisions sur le dispositif rglementaire de la DSP2 au chapitre 4.

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014

Statistiques de fraude pour2014

et lorigine de la fraude(carte perdue ou vole, carte

Statistiques de fraude: les contributeurs

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014

Statistiques de fraude pour 2014

En2014, le montant total de la fraude affectant les

Source: Observatoire de la scurit des cartes de paiement.

En incluant galement les transactions ralises en

(en millions deuros)

(en milliards deuros)

Source: Observatoire de la scurit des cartes de paiement.

Source: Observatoire de la scurit des cartes de paiement.

Rapport annuel de l'Observatoire de la scurit des cartes de paiement | Exercice 2014

Statistiques de fraude pour 2014

conscutives daugmentation. Le taux de fraude

Source: Observatoire de la scurit des cartes de paiement.

Pour les cartes de type interbancaire, la valeur

Source: Observatoire de la scurit des cartes de paiement.

dont paiements de proximit et sur automate

dont paiements distance

dont par courrier/tlphone

dont sur internet

dont paiements de proximit et sur automate

dont paiements distance

dont par courrier/tlphone

dont sur internet

dont paiements de proximit et sur automate