La fraude, le sujet de prédilection des FinTechs pour se mettre en avant !

dab

Au cours de l’année dernière, nous avons vu plusieurs acteurs surfer sur des fuites de données pour se mettre en avant. Tous avaient un dénominateur commun, il s’agissait de FinTechs ! L’objectif: laisser croire aux usagers de services financiers que seules les FinTechs prennent au sérieux les risques de sécurité.

British Airways, EasyJet… l’art de la communication

Les différents acteurs FinTechs se sont précipités dans les communications en expliquant qu’ils procédaient au remplacement des cartes concernées par une brèche de sécurité rendue publique. Cet engouement pour la communication et le marketing avait donc généré des articles et autres annonces laissant entendre que ces nouveaux acteurs étaient loin devant. Durant ce temps, les banques traditionnelles et les banques en ligne restaient muettes et ne faisaient aucune communication.

A nos lecteurs,
L'accès à nos articles, NON SPONSORISÉS ET SANS PUBLICITE est, et demeura GRATUIT. Vous pouvez nous soutenir, librement, à l'aide d'un don ponctuel ou récurrent pour nous aider à maintenir un accès 100% gratuit, sans pub et, sans articles sponsorisés en participant aux frais relatifs à l'hébergement et au financement des offres payantes que nous testons.

Merci !

Vous connaissez la célèbre expression « la culture, c’est comme la confiture, moins on en a, plus on l’étale ». Figurez-vous que c’est pareil dans la sécurité des moyens de paiements. Moins on a de processus de sécurité, plus on communique dessus afin de compenser les lacunes.

En réalité, à l’époque, les incidents affectant British Airways ou Easy Jet étaient presque anodins en matière de sécurité. Il y a eu des incidents beaucoup plus graves, citons par exemple celui de la société Bureau Vallée, spécialiste de la fourniture bureautique. Vous n’en aviez pas entendu parler ? Malgré qu’il fût beaucoup plus dramatique, les FinTechs n’avaient pas vu passer de communiqués de presse, et n’avaient donc pas fait de communication sur le sujet !

Bureau Vallée, retour sur un incident majeur

Les faits remontent à 2020, plus exactement dans la période de mars à mai 2020 sur le site de Bureau Vallée. Durant cette période, un détournement, via un script embarqué sur le site, permettait à des attaquants d’accéder aux informations de la carte bancaire utilisée lors du règlement.

La méthode employée permettait de récupérer le numéro de la carte, l’expiration et le cryptogramme de celle-ci. Tous les éléments étaient ainsi en possession d’un groupe de personnes probablement malintentionnées.

C’est seulement le 25 mai 2020, que la société Bureau Vallée prend connaissance de l’ampleur de cet incident concernant les transactions effectuées sur son site. Elle parvient, avec les éléments qui remontent, à cibler une période allant du 26 mars au 25 mai 2020 environ. Durant ce laps de temps, tous les paiements aboutis ou non sur le site sont potentiellement compromis et donc les données des cartes bancaires en possession de personnes malveillantes.

Nous prenons l’exemple de Bureau Vallée, car c’est l’un des incidents sur les derniers mois qui est resté aussi longtemps en place, permettant ainsi sur une longue période de capter des données sensibles. Malgré cette gravité et le fort volume de transactions, surtout que rappelons le, un confinement était en place et les commandes de fournitures explosaient avec le télétravail, aucune FinTech n’avait fait de communication ni mis en œuvre des mesures.

En opposition à ce besoin de se mettre en avant, les établissements traditionnels étaient restés silencieux mais tous avaient pris des mesures envers les clients concernés. Les actions n’avaient pas été satisfaisantes dans 100% des cas car quelques paiements frauduleux avaient pu passer entre les mailles du filet. Toutefois, on tutoyait presque les 100% de réussites de la part des acteurs historiques à contrer les fraudes. Un exploit d’autant que le cryptogramme était en possession des escrocs, ce qui n’était pas le cas pour les incidents chez EasyJet ou British Airways.

La fraude dans les banques traditionnelles

Contrairement à l’idée véhiculée par les FinTechs, ce sont toujours les banques qui donnent en premier l’alerte, et cela bien en amont des déclarations publiques. Toutefois, les banques sont soumises à des obligations de discrétion. Ces mesures empêchent les banques de communiquer sur les réseaux sociaux par exemple. Il faut savoir qu’en France, l’autorité de tutelle des banques, c’est-à-dire l’ACPR, leur interdit d’aller dans ce type de position marketing. Elles doivent, même si elles excellent sur le sujet, rester silencieuses et serrer les dents face à un acteur comme Revolut qui allait jusqu’à en profiter pour faire sa promotion.

Récit de la détection d’une fraude

Pour des raisons de confidentialité, nous ne pouvons utiliser le véritable nom de la banque ou la date réelle de l’évènement. Toutefois, nous allons vous restituer les faits en anonymisant la situation. Ce cas de fraude a fait l’objet d’une communication par les FinTechs, afin que vous compreniez l’envers du décor.

La remontée des alertes

Nous sommes un vendredi, il est approximativement 17h lorsque le système d’alerte d’une banque française détecte un comportement suspect. Il a déjà pris une mesure préventive sur les 8 premiers cas qu’il a identifiés au préalable en empêchant les opérations futures, à savoir les retraits.

La cellule de sécurité monétique de la banque prend immédiatement en charge l’alerte et confirme qu’il ne s’agit pas d’un faux positif, mais qu’il y a bien une irrégularité sur un lot de 8 cartes. Comme le veut la procédure, une remontée est opérée auprès du réseau correspondant à chaque carte afin de signaler la situation.

Du côté de la banque, la procédure est claire, on monte l’appréciation du risque afin de déclencher plus rapidement des alertes sur les retraits opérés dans cette zone du globe. Au moment où la procédure est appliquée, l’outil fraude ne repère pas de transactions qui auraient échappée aux règles et seraient donc en instance de débit sur le compte d’un client.

Dans un même temps, le système va ratisser large et passer en revue tous les retraits dans le pays concerné. Les investigations resteront vaines, aucune transaction supposée frauduleuse et en attente de retrait n’est découverte. La zone concernée du globe va restée sous surveillance renforcée, durant un temps, même si des faux positifs peuvent en découler, mais la sécurité prévaut dans ce genre de situation.

L’identification de l’origine de la fraude

Il ne faut que quelques minutes à la banque afin de trouver plusieurs dénominateurs communs sur les 6 derniers mois. C’est-à-dire que l’équipe de sécurité a identifié, 10 minutes après la remontée du système fraude, 4 sources potentielles pour la captation des données de leurs clients. 2 ont clairement la préférence des équipes, qui décident de rechercher tous les mouvements de leurs clients sur ces 2 lieux d’usages.

Durant les investigations, la réponse d’un réseau bancaire tombe, ce dernier pointe du doigt l’un des lieux après avoir identifié d’autres cartes qui ne sont pas rattachées à la banque. L’équipe monétique établit une liste des clients ayant utilisé un distributeur de billets hautement fréquenté en France. Les clients se sont fait dérobés leurs données durant les dernières 48h, toutes les cartes qui ont effectuées des retraits se trouvent alors sur un blocage afin d’empêcher les retraits et paiements par piste magnétique. Pour le moment, les porteurs ne sont pas avisés de cette situation.

Les réseaux prennent également des mesures pour limiter les risques. Le but est clair, palier à un éventuel laxisme d’un émetteur de cartes qu’il soit français ou étranger. Ils prennent également les dispositions nécessaires pour transmettre les lots de cartes potentiellement compromises aux émetteurs respectifs.

La neutralisation de la source du détournement des données

L’organisme qui gère et opère le distributeur de billets est immédiatement avisé de la situation. Il est environ 17h30 lorsqu’il est contacté afin de vérifier physiquement et sans délai son automate. En prévention, il désactive à distance son distributeur de billets afin que plus aucun client ne puisse utiliser ce dernier.

Le temps que le contrôle physique soit opéré pour confirmer que ce distributeur est bien à l’origine des fuites, les supports vidéo sont consultés par l’organisme mis en cause. Il confirmera très rapidement que son équipement a été détourné par la procédure de « skimming » visant à dérober les informations de la carte bancaire et une caméra pour capter le code PIN renseigné par la victime. L’agent une fois sur place validera la présence d’un tel dispositif et préviendra les autorités compétentes.

Avec l’aide de la surveillance vidéo, il est possible de lister avec précision les cartes potentiellement comprises et d’aviser avec précision les émetteurs de cartes pour qu’ils prennent les mesures et contrôlent les mouvements de leurs clients.

La surveillance des cartes compromises

Lorsque les escrocs ont compris que la carte était bloquée, en testant plusieurs montants différents, ils ont abandonné les retraits. Ils ont alors tenté de faire des paiements via la piste magnétique et saisie du code PIN, des opérations refusées par la banque qui a détecté la fraude.

Les cartes vont rester sous observation dans la banque en question. Pour l’heure, ni le remplacement ni le signalement aux clients impactés n’est à l’ordre du jour. Les dossiers clients sont annotés avec le constat dressé par l’équipe de fraude et les mesures prises afin d’anticiper un appel d’un client si une opération venait à coincer.

Le remplacement des cartes potentiellement compromises

Après une observation sur plusieurs jours et le suivi des activités des cartes utilisées ou non, l’émetteur prend la décision de ne remplacer que 2 cartes sur les 213 qui sont concernées pour le groupe bancaire. Une mesure qui fait sens, car les mesures de restrictions sur les cartes risquaient d’impacter 2 des clients du lot détecté.

Pour les autres, et après analyse de leurs usages, les contres mesures mises en œuvre ne pénaliseront pas leur usage au quotidien jusqu’au renouvellement de leur carte. Ils recevront cependant tous une notification par email leur rappelant les contrôles à effectuer lors d’un retrait d’espèces. Une mesure qui ne sera probablement pas lue par les destinataires, mais le groupe bancaire préfère éviter le côté anxiogène d’une notification de détournement de leur carte bancaire. D’autant que remplacer une carte peut s’avérer compliqué car nouveau PIN, numéro à remplacer sur de multiples supports / abonnements.

Clôture de l’incident

Après une période d’observation étendue, le dossier de fraude se clôture car le dispositif de prévention des fraudes a permis d’empêcher toutes les opérations non autorisées. L’histoire montrera qu’en plus des 2 clients qui étaient supposés rencontrer des conflits avec les restrictions, 3 autres furent concernés et ont obtenu le remplacement de leur carte. Ils auront ce remplacement sans frais après avoir constaté des paiements refusés sans explication.

Les meilleures mesures contre la fraude sont les plus discrètes

Régulièrement des lots de cartes compromis remontent via les réseaux aux émetteurs qui prennent alors des mesures. Ces mesures sont variées, la solution de facilité reste le blocage de la carte et son remplacement.

Remplacer une carte n’est pas forcément nécessaire, et le faire ne constitue par forcément une meilleure mesure de protection car elle peut placer le client dans une situation délicate voir même pénalisante pour ce dernier.

Il est donc important d’avoir une équipe fraude dimensionnée au volume de clients et de transactions ce qui n’est pas forcément le cas dans les FinTechs. Il est donc plus simple, pour ces nouveaux acteurs, de remplacer la carte car la FinTech ne dispose pas, par souhait ou par contrainte, des moyens humains pour une approche plus individuelle.

On constate le même comportement dans les équipes de conformités qui se résument souvent à de très très petites équipes pour des millions de clients. Bien souvent c’est un problème financier, la conformité étant vue comme un poste de dépense, tout comme le délégué à la protection des données.

Le détournement des cartes sur un site internet

Dans le monde de la fraude, les distributeurs de billets ont une place de choix, mais la fraude en ligne est également plébiscitée par les escrocs. Ils opèrent soient via des domaines s’approchant de celui d’une banque ou d’un organisme financier comme PayPal, d’un service de prestation comme la CAF, d’une institution publique comme les impôts, d’un opérateur de téléphonie…

Pour ces délinquants sur internet, rien de plus simple, il existe des « kits » clef en main qu’ils déploient permettant d’usurper une identité visuelle. Il ne reste plus qu’à utiliser une base de mails volés pour inciter les potentielles victimes à se rendre sur le site afin d’y fournir des informations financières et personnelles.

Dans ces situations, il est très compliqué de connaître les cartes compromises. Les équipes de sécurité des banques peuvent généralement faire fermer dans les minutes qui suivent le signalement ce genre de sites. Toutefois, obtenir les informations saisies est généralement impossibles car elles sont envoyées par email et non stockées sur le site.

En l’absence d’un stockage sur le serveur d’hébergement des numéros de cartes collectées, il n’y a donc rien à faire. Il faut espérer que le système anti-fraude de l’émetteur détecte l’anomalie et prenne une mesure automatisée.

Sur cette technique nommée phishing, la meilleure protection reste la prévention des clients en rappelant qu’il faut vérifier plusieurs points. Mais plus globalement, éviter de cliquer directement sur des liens dans les mails pour payer des factures, obtenir des remboursements…

La DSP2 une mesure efficace contre les fraudes en ligne

Dans le cadre des mesures contenus dans la DSP2, on retrouve l’authentification forte des paiements à distance.

Il existe 2 modes principaux lors du paiement à distance, la transaction initiée par le commerçant, et celle initiée par le porteur, c’est-à-dire en renseignant vos informations de carte sur le site du commerçant.

Dans cette seconde méthode de paiement, vous devez désormais authentifier la transaction via un code SMS ou une application mobile pour les deux principales solutions d’authentification. Ainsi, un fraudeur avec votre numéro de carte, son expiration et le cryptogramme ne pourra pas faire aboutir la transaction.

Toutefois, certains sites ne sont pas encore conformes, et contournent donc cette authentification forte. L’objectif pour eux, éviter l’abandon du panier par le client à la suite d’une réflexion ou l’impossibilité de s’authentifier et favoriser l’achat impulsif du client. Dans ces cas précis, votre banque pourra répudier la transaction au motif que vous n’avez pas donné l’autorisation de paiement lorsque vous utilisez le réseau Visa ou Mastercard.

Lorsque la transaction est une saisie manuelle, exemple un paiement par téléphone, une transaction dupliquée par le commerçant, une remise sans autorisation… Votre banque peut également répudier la transaction.

La DSP2 vient donc renforcer la protection des consommateurs, même si cette authentification forte est souvent perçue comme un fardeau par des clients. Les banques savent qu’elles peuvent utiliser cette mesure en cas de fraude, une corde à leur arc permettant de limiter les faux positifs lors de blocages des cartes.

Conclusion

Les banques sont soumises à une obligation de réserve.  Elles n’ont donc pas le droit d’utiliser des fuites de données pour en faire une communication en se revendiquant les meilleures. Elles doivent donc travailler en silence et satisfaire leurs clients.

Dans le secteur il est d’ailleurs souvent mal vu de profiter d’une situation, comme une fuite de données, pour en faire sa publicité. Durant ce temps des clients voient leur numéro de téléphone, email, adresse postale, date de naissance et bien d’autres données dans la nature.

Sans cette obligation de réserve, les clients pourraient ainsi constater qu’il y a régulièrement des détections faites et qui sont anticipées. Toutefois, cela serait anxiogène pour de nombreux clients qui craindraient ainsi de payer à distance, d’utiliser des distributeurs de billets, de carburant, des automates.

On le rappelle souvent, ne soyez pas angoissés de payer à distance, les mesures opérationnelles sont en place pour protéger votre outil de paiement. Si vous êtes confrontés à une validation sur mobile ou autre, ne pestez pas, la mesure est là pour protéger les porteurs, et vous protégera peut être un jour.