Détourner un TPE de paiement, est-ce vraiment possible ?

sans contact
paiement sans contact

Que ce soit des portiques de la SNCF, des restaurateurs, des 24/7 de carburant, des automates alimentaires… On assiste à une montée des témoignages anxiogènes qui sont décorrélés de la réalité. L’objectif, surfer sur l’angoisse de la fraude et faire de l’audience.

La substitution du TPE auprès de certains commerçants

Certains commerçants, principalement des restaurateurs, ont découvert que le TPE qu’ils utilisaient pour encaisser les paiements de leurs clients n’était en réalité pas le leur. Un escroc est parvenu à remplacer discrètement le TPE du commerçant par un autre identique. Conséquence, à chaque transaction que le commerçant encaissait, les fonds terminaient sur le compte de l’escroc et non du commerçant.

Un TPE va conduire une demande d’autorisation dans un premier temps. Selon votre carte, cette autorisation se fait sans le concours de votre banque, ou avec cette dernière si votre profil nécessite une surveillance accrue de vos dépenses. Ensuite, une fois l’accord obtenu, le TPE stocke les données et réclamera ultérieurement les fonds.

Les commerçants spoliés, indiquent s’être rendu compte de la supercherie après plusieurs semaines ne voyant plus les remises cartes versées sur leur compte bancaire. Forcément, le TPE, qu’ils utilisaient, était lié à un autre compte, et c’est ce dernier qui recevait tous les encaissements journaliers.

Le manque de vigilance acquéreur, première faille

Nous allons tenter de simplifier en occultant le parcours technique. Ce qu’il faut savoir ici, c’est qu’un TPE conventionnel est associé à un identifiant commerçant, et à des contrats respectifs avec Visa, Mastercard, CB, AMEX, Conecs… Ce lien entre le commerçant et les réseaux comme Visa / Mastercard ou CB est assuré par un intermédiaire qu’on nomme l’acquéreur. C’est lui généralement qui procure le contrat, le TPE, la passerelle pour accepter les transactions et réclamer les fonds… C’est donc à cette entité d’être très vigilante lorsqu’elle ouvre un contrat accepteur, et qu’elle active les contrats monétique pour l’acquisition des paiements.

Dans le secteur monétique, que ce soit en France ou ailleurs, nous savons qu’il y a des brebis galeuses. Il n’est pas toujours évident de découvrir qu’un escroc en devenir est en lien commercial avec un tel intermédiaire.

La perte financière sera supportée par le commerçant

En tant que client, même si finalement le montant que vous aviez à payer est parti sur le compte de l’escroc, cela ne vous regarde pas. Si le commerçant peut retrouver ses clients pour demander de venir régler à nouveau la facture et contester le montant antérieur, il n’en a pas le droit, il devra assumer la perte financière.

Le commerçant aura été négligeant, car c’est à lui, et lui seul de vérifier son ticket de télécollecte. C’est un support papier qui est généré par le TPE lorsque la caisse est fermée. Il retrace l’historique des paiements et rappelle le montant encaissé et réclamé cette fois ci auprès des banques des clients venus chez le commerçant.

Chaque ticket de télécollecte doit être vérifié par le commerçant, et celui-ci doit s’assurer qu’il est conforme aux reçus carte qu’il détient dans sa caisse.

Exemple, s’il a 100 tickets de paiements acceptés, et que le ticket de télécollecte indique qu’il a déclenché la demande de règlement pour 101 tickets, le commerçant doit alors ressortir un historique détaillé et comprendre pourquoi un ticket est manquant. Souvent, c’est le résultat d’une erreur humaine, et le ticket ne sort pas, l’employé croit alors que le paiement est refusé, et relance la transaction. Le commerçant doit donc pointer et rapprocher chaque transaction, c’est obligatoire. Si les commerçants concernés avaient pointé tous les éléments de la télécollecte, ils auraient pu alors mettre un terme immédiatement au manège de l’escroc.

Ces méthodes sont plutôt anciennes. Il était plus fréquent de voir des escrocs détourner l’attention du commerçant pour apposer un numéro de maintenance monétique sur l’arrière du TPE. Une fois cela fait, ils mettaient hors d’usage le TPE du commerçant, forçant celui-ci à appeler le numéro de maintenance monétique. Un complice se déplaçait, se présentant comme le réparateur, et procédait au remplacement du TPE ou à l’altération de la configuration de celui du commerçant via un nouveau paramètrage. Les transactions encaissées par le commerçant arrivaient sur le compte de l’escroc et non celui du commerçant.

Mettre fin au détournement du TPE commerçant

Si lors de la première télécollecte le commerçant ayant fait son contrôle constate cette malversation, il prend immédiatement contact avec son centre acquéreur. Il existe une procédure qu’on surnomme « Cerberus », avec celle-ci l’incident remonte immédiatement auprès des chambres de compensation qui bloquent les mouvements concernés. Donc les débits sur les comptes finaux des clients n’auront pas lieu, et le compte de l’escroc ne sera pas crédité.

Mais surtout, les chambres peuvent déclencher une alerte permettant de bloquer les flux à venir ou ceux non finalisés mais non signalés. L’établissement de l’escroc est également avisé instantanément et a une obligation de prendre une mesure. Les réseaux comme Visa et Mastercard coupent immédiatement les autorisations du contrat monétique repéré et collaborent à l’identification des commerçants victimes de cette fraude.

On ne détaillera pas l’ensemble du travail, mais la réactivité de Visa ou Mastercard dans une telle situation est toute aussi impressionnante que face à un cas de skimming.

Mais pour que cette procédure puisse être pleinement appliquée, il faut que les maillons accepteurs (le commerçant) et acquéreur (le partenaire monétique du commerçant) soient réactifs et vigilants.

Le commerçant en sera tout de même de sa poche pour le montant global de la télécollecte, mais les clients de celui-ci ne seront pas débités et l’escroc ne verra pas la couleur de son méfait !
En fonction du type de commerce, il sera alors possible de solliciter le client en lui expliquant la situation afin qu’il puisse revenir régler, passé un délai de 45 jours, prouvant qu’il n’a donc pas été débité.

Obtenir du commerçant un ticket de refus est indispensable

Dans les règles monétiques, que ce soit en France ou ailleurs sur le globe, lorsqu’un paiement est indiqué refusé, le ticket en ce sens doit être émis et délivré au client. C’est une obligation et le commerçant se doit de fournir cette preuve que l’opération n’a pas aboutie.

Un TPE fonctionne par un stockage dans sa mémoire. Lorsqu’il obtient son accord, il stocke la réponse. Si un incident intervient ensuite, exemple redémarrage, plus de papier… cela n’invalide pas pour autant le « OK » qu’il a enregistré juste avant l’incident. C’est au commerçant d’émettre un DUPLICATA à son intention et à votre intention indiquant le résultat de ladite transaction. Nombreux sont les commerçants qui croient que si le ticket n’est pas sorti, le paiement n’est pas conservé, c’est totalement faux, et ils font refaire la transaction après avoir remplacé le papier dans le TPE.

La règle d’or, si on vous dit que votre paiement est refusé, exigez votre preuve car seul le TPE est juge de paix. Donc seule la réponse du TPE est recevable, fiable et ne pouvant être remise en doute !
Il faudra parfois se montrer insistant, car certains commerçants plaident qu’ils ne peuvent pas faire, alors que forcément, s’ils acceptent CB, Visa ou Mastercard, ils sont dans l’obligation de pouvoir délivrer un ticket confirmant l’échec de la transaction.

A vous de voir si vous désirez conserver le ticket d’abandon débit / refus. Lorsqu’il est généré par le TPE, il est certain que le TPE ne va pas réclamer cette transaction car il ne conserve aucune donnée lui permettant de faire cela.

La majorité des cas que nous voyons passer en double paiement, concerne des gros accepteurs comme des chaînes de restauration rapide, des réseaux de magasins… Mais le top des plaintes concerne la restauration rapide et les bornes de commandes. Le client paye sa commande et la borne redémarre n’éditant aucun ticket. Pour le personnel, la transaction n’est pas payée car ils se limitent à regarder leur écran. Toutefois, en consultant les données monétiques enregistrées par leur centrale de traitement (car ce n’est pas stocké dans le TPE mais déporté), ils auraient pu constater que la transaction a bien aboutie. Résultat, le client paye une seconde fois et sera débité de ses 2 commandes alors qu’il n’en aura eu qu’une seule.

Si on vous certifie qu’un paiement est refusé, ne croyez pas le commerçant sur parole, exigez systématiquement la preuve, et parfois, lui comme vous, pourriez être surpris en voyant que le paiement est bien passé. Nous ne disons absolument pas que certains le font volontairement avec des touristes, mais un peu partout dans le monde, ce type d’incident arrive toujours dans le même secteur d’activité.

Vérifier le ticket remis par un commerçant pour détecter une fraude

Vous ne pourrez pas de manière certaine savoir si le contrat monétique de ce TPE correspond ou non au commerçant. Déjà il faut savoir qu’entre le nom que vous avez sur une autorisation et le nom au moment du débit, les 2 informations peuvent différer et cela pareil pour l’emplacement du commerçant.

Lorsque votre compte est débité, le commerçant peut choisir le libellé qui s’affichera sur votre compte bancaire. Cela lui permet par exemple de mettre un nom qui vous parlera au lieu de sa raison sociale, surtout dans le cas des franchises.

Vous ne pourrez donc pas savoir si vous réglez le bon contrat monétique ou pas. Et quelque part, ce n’est pas votre problème du moment que le montant à régler est exact, et que le commerçant vous confirme que c’est payé.

C’est au commerçant de vérifier le ticket et les informations qui y figurent. Sur certains tickets, en rappel de l’affichage sur l’écran du TPE, il sera indiqué qu’il faut le faire signer par le client.

Débité du mauvais montant par le mauvais commerçant

Si vous constatez cela immédiatement au moment du paiement, soit en regardant le ticket du TPE, ou une notification émise par votre établissement financier / un wallet tel qu’Apple Pay, il faut immédiatement régler la situation avec le commerçant. Sachez que le paiement fait avec un dispositif comme Google Pay, Apple Pay, Paylib Sans Contact, Garmin Pay, Samsung Pay, Fitbit Pay… est assimilé à un paiement avec saisie du code confidentiel, donc votre banque ne pourra pas le répudier.

Dans une telle situation, vous devez donc tirer au clair la situation immédiatement sans attendre. En fonction des éléments qui sont portés à votre connaissance, la mise en opposition de votre carte sera à réfléchir.

Dans l’hypothèse où vous constatez cette situation en regardant les opérations débitées de votre compte, il faudra alors alerter votre banque. Le gestionnaire de votre dossier pourra immédiatement connaître le canal d’acquisition, exemple paiement carte avec saisie du code PIN, via un xPay, piste magnétique, saisie manuelle, sans contact sans PIN… Selon le canal, il pourra vous proposer une contestation de la transaction, toutes les opérations ne pourront pas être répudiées, exemple si le paiement via d’une transaction Apple Pay.

Débit d’une transaction sans contact d’un montant et d’un commerçant inconnu

Ce type de situation est extrêmement rare. Toutefois, elle entretient la légende des personnes qui se baladeraient avec un TPE et se frotteraient aux gens pour débiter le compte bancaire de la victime de 20/30€.

La situation peut exister, mais le gain à se faire est insignifiant au vu de la contrainte. Certains TPE sont faciles à avoir comme SumUp ou iZettle, et ne nécessitent pas de contrat monétique. C’est la société qui délivre le TPE qui porte le contrat et prend au passage une grosse commission.

Sur les TPE traditionnels, nous n’avons jamais vu de cas d’usage d’un tel mécanisme. L’accès à un tel dispositif est beaucoup plus contraignant que juste aller sur un site pour commander un SumUp.

Sur ce type de débit avec votre carte bancaire en sans contact, votre banque pourra émettre un avis d’impayé auprès de Visa ou Mastercard. Une enquête est systématiquement initiée par le réseau pour comprendre comment cette situation est possible, et revoir l’historique des transactions de ce « commerçant ».

Victime de « skimming » en sans contact

Des histoires existent de dispositifs type iZettle ou SumUp qui seraient cachés pour remplacer le TPE officiel et encaisser la victime à la place du TPE réel, exemple sur des automates en libre-service.

C’est hautement improbable qu’une telle situation soit exploitée car ces dispositifs nécessitent d’être armés en Bluetooth BLE, donc à 1 mètre environ du SumUp. Ce qui veut dire que le fraudeur serait sur place, s’exposerait pour réaliser une fraude ne rapportant pas grand-chose, voir rien vu que le sans contact par carte est limité en unitaire et en global. En échangeant avec les 2 principaux constructeurs ils étaient également dubitatifs sur la réalité d’une telle situation dans la mesure où le butin est ridicule en comparaison d’un véritable skimming.

Avec un skimming (en copiant les données piste de la carte et capture du code PIN) 1h sur un lieu à haut passage, l’escroc capitalise environ 15 000€ qu’il aura en cash. En utilisant un SumUp ou un iZettle, si on regarde les statistiques d’incidents de paiements car plafond sans contact dépassé, on arrive environ à 200€ sur 1h, en sachant que le dispositif ne tiendra pas plus de 5 minutes sur un lieu de passage.

Le skimming est bien plus rentable financièrement, il n’expose pas constamment le fraudeur, la victime ne se rend compte de rien car elle a le service qu’elle veut (achat de ticket, retrait de billets, plein de carburant, friandise/boisson…). Donc le dispositif peut rester 2 jours avant qu’une personne ne remarque sa présence.

SumUp et iZettle, l’effet de « buzz »

Nous rentrons toujours dans les détails, sauf lorsque les détails pourraient être exploités pour détourner une sécurité. Dans cette ligne de conduite, nous n’allons pas dévoiler les déclencheurs fraude chez les 2 leaders mondiaux du TPE sans contrat monétique.

Si certaines personnes ont déjà acquis un SumUp, car il est plus simple à activer qu’un iZettle, elles sont étonnées par le peu d’informations demandées. Cela se limite à créer un profil, de choisir une activité, renseigner un nom de commerce et même le SIRET n’est pas obligatoire. Le client SumUp pourra même personnaliser le libellé de ses paiements. Et tout ça sans justifier des éléments déclarés, l’encaissement sur le SumUp sera possible.

Alors oui, vous pourrez encaisser des montants de 1€, 5€, 10€… et un peu plus. Mais vous déclencherez rapidement des alertes qui vont conduire SumUp à refuser tous les paiements que vous voudrez encaisser.
Les critères de déclenchement sont très ingénieux, donc réaliser une fraude via un tel dispositif est impossible. Avoir une trésorerie indépendante est possible, mais vouloir faire une escroquerie à petite, moyenne ou grande échelle, ne sera pas possible.

Il faut nuancer l’effet démonstration, d’un usage en situation réelle. D’autant que SumUp en cas de doute ne vous alerte pas mais diffère les règlements. Si tout est bon, vous êtes payé en virement instantané à J+1 après avoir encaissé votre client.

La situation est très similaire chez iZettle, d’autant que derrière iZettle on trouve le groupe américain PayPal. Autant dire qu’en matière de fraude sur les transactions PayPal n’est pas un lapin de 6 semaines

Se munir d’un dispositif bloquant les signaux NFC / RFID

Souvent lorsqu’on parle de fraude au sans contact, dans le cadre d’une démonstration pour faire peur, on vous présente un support au format carte bancaire indiquant qu’il brouille le signal « sans contact ».

Ce type de support n’a aucun intérêt, car la fraude au sans contact comme elle est démontrée dans des mises en scène, n’existe pas dans la vie réelle. Donc cette carte de blocage des signaux NFC ne va rien vous apporter, et si vous avez plusieurs cartes compatibles « sans contact » vous aurez naturellement une protection, car le cumul des signaux bloque naturellement les TPE.

Ce qu’on nomme « sans contact » porte un nom plus technique, mais commercialement on utilise « PayPass » ou « PayWave ». Pour qu’un TPE puisse accepter le déroulement d’une transaction « sans contact », il ne doit capter dans son champ de détection aucun autre signal répondant. Donc s’il a plus qu’un seul signal, il refuse la transaction par sécurité afin de ne pas débiter la mauvaise carte bancaire.

Conclusion

On ne cessera jamais de le répéter, mais il faut toujours se méfier des démonstrations, des vidéos, des témoignages sensationnels et autres. Un escroc, son but c’est de gagner beaucoup d’argent, il ne va pas s’embêter pour 100€, aucun intérêt financier pour lui !

La fraude au sans contact, ce sont des miettes à se faire. Il y aura beaucoup d’échecs car le plafond sans contact est atteint, obligation de s’exposer physiquement… La fraude en « sans contact » existe, mais c’est une fraude réussissant à vous soustraire l’activation de votre carte bancaire dans un Wallet comme Apple Pay. La fraude Apple Pay est en plein essor et les victimes de plus en plus nombreuses. Avec cette technique, la limite d’argent que peut se faire l’escroc correspond au plafond de votre carte bancaire.

Pour vous protéger de la fraude, gardez à l’esprit qu’un code éphémère envoyé par SMS ne doit jamais être communiqué à l’oral. Il faut toujours lire la raison conduisant à la réception du code (SMS, notification..) et réagir en conséquence si vous n’avez rien fait. Lors d’un paiement, vérifiez à nouveau le montant indiqué dans le message avant de saisir le code ou d’approuver l’opération via la notification.