A. Les menaces
Sur chaque « constituant » d’une transaction en ligne (personne, clavier, carte bleue, smartphone, terminal de retrait, réseau, site Internet) pèsent des menaces spécifiques dont la combinaison peut conduire à un drame financier pour qui en est victime et dont le point commun reste le plus souvent la négligence ou le manque de vigilance.
Par ordre de dangerosité de ces menaces :
Le phishing (hameçonnage) consiste à tromper les utilisateurs en se faisant passer pour une entité légitime, pour qu'ils divulguent leurs informations personnelles, numéros de carte de crédit ou identifiants de connexion.
L’ingénierie sociale, qui désigne une pratique de manipulation psychologique, permet d’obtenir des informations confidentielles ou d’effectuer des actions qui compromettent la sécurité. Par exemple :
Des logiciels malveillants peuvent être installés sur les appareils après un clic malencontreux depuis un mail ou un SMS pour voler des informations sensibles, comme les données de paiement.
La fraude à la carte de crédit suite à un vol conduit à l’utilisation de numéros pour des achats non autorisés.
Le vol de données cible des informations de toutes natures (bases de données des associations, commerçants ou institutions financières), négociables sur le « black market ».
L’usurpation d'identité utilise des informations personnelles volées pour ouvrir de nouveaux comptes ou effectuer des transactions au nom de la victime.
L’installation de pièges copie les informations des cartes de paiement saisies sur les distributeurs automatiques de billets ou les terminaux de paiement.
Les attaques dites « de l'homme du milieu » interceptent des informations sensibles échangées entre l'utilisateur et le site de paiement.
La fraude par remboursement consiste à prétendre qu'un produit n'a jamais été reçu ou qu'il est défectueux, pour obtenir un remboursement tout en le conservant.
Par ordre de dangerosité de ces menaces :
Le phishing (hameçonnage) consiste à tromper les utilisateurs en se faisant passer pour une entité légitime, pour qu'ils divulguent leurs informations personnelles, numéros de carte de crédit ou identifiants de connexion.
L’ingénierie sociale, qui désigne une pratique de manipulation psychologique, permet d’obtenir des informations confidentielles ou d’effectuer des actions qui compromettent la sécurité. Par exemple :
- La création d’un scénario fictif pour amener la victime à divulguer des informations ou à effectuer des actions,
- L’utilisation d’appâts pour inciter les victimes à cliquer sur des liens malveillants (offres gratuites ou téléchargements, dont des logiciels malveillants),
- L’offre d’un service ou d’un avantage en échange d'informations comme un mot de passe,
- Ou enfin une demande en urgence, prétexte au partage d’informations d'accès.
- L’utilisation d’appâts pour inciter les victimes à cliquer sur des liens malveillants (offres gratuites ou téléchargements, dont des logiciels malveillants),
- L’offre d’un service ou d’un avantage en échange d'informations comme un mot de passe,
- Ou enfin une demande en urgence, prétexte au partage d’informations d'accès.
Des logiciels malveillants peuvent être installés sur les appareils après un clic malencontreux depuis un mail ou un SMS pour voler des informations sensibles, comme les données de paiement.
La fraude à la carte de crédit suite à un vol conduit à l’utilisation de numéros pour des achats non autorisés.
Le vol de données cible des informations de toutes natures (bases de données des associations, commerçants ou institutions financières), négociables sur le « black market ».
L’usurpation d'identité utilise des informations personnelles volées pour ouvrir de nouveaux comptes ou effectuer des transactions au nom de la victime.
L’installation de pièges copie les informations des cartes de paiement saisies sur les distributeurs automatiques de billets ou les terminaux de paiement.
Les attaques dites « de l'homme du milieu » interceptent des informations sensibles échangées entre l'utilisateur et le site de paiement.
La fraude par remboursement consiste à prétendre qu'un produit n'a jamais été reçu ou qu'il est défectueux, pour obtenir un remboursement tout en le conservant.
B. Les bonnes pratiques
Pour se protéger, il est important d'utiliser pour ses achats des sites sécurisés, de mettre à jour régulièrement les logiciels (ne pas ignorer les recommandations des fabricants et des éditeurs, ces mises à jour, simples à réaliser, sont utiles à la sécurité), d'utiliser des mots de passe forts et uniques, et de surveiller ses relevés bancaires pour détecter toute activité suspecte.
Ainsi, avant de finaliser une transaction, il faut s’assurer de la réputation du vendeur en entrant son nom associé au terme « arnaque », bien lire le descriptif du produit (ou du service, du séjour…) et consulter les recommandations de la DGCCRF avant tout paiement en s’assurant que le site affiche un petit cadenas, synonyme de chiffrement de la transaction.
Enfin, quelles recommandations retenir pour le moyen de paiement pour éviter, notamment, une interception d’un numéro de carte et sa réutilisation par un hacker ?
Deux types de solutions sont efficaces :
- La carte bleue avec cryptogramme dynamique. Il s’agit d’une CB disposant d’une micro-alimentation intégrée, en mesure de faire varier systématiquement, en principe toutes les heures, les trois derniers des 16 chiffres de la CB, rendant plus complexes les tentatives de fraude. Apparue en 2016 cette solution est proposée par plusieurs banques. La carte est dotée d’une batterie miniature pouvant durer jusqu’à quatre ans.
- L’e-carte bleue. Version virtualisée de la CB classique, elle est accessible uniquement depuis un smartphone, une tablette ou un ordinateur. L’e-carte génère un numéro automatiquement, assorti d’un cryptogramme visuel. Le numéro ne peut être réutilisé pour une autre transaction, ou uniquement (au choix) sur une période limitée. L’organisme bancaire y associe systématiquement une seconde authentification de type 3D Secure, avec envoi d’un code à usage unique par SMS pour finaliser la transaction.
Le recours à ces moyens de paiement en ligne sécurisés a entraîné une diminution importante de la fraude à la carte bancaire.
Philippe Leroy,
Président de la Commission systèmes d’information.
Ainsi, avant de finaliser une transaction, il faut s’assurer de la réputation du vendeur en entrant son nom associé au terme « arnaque », bien lire le descriptif du produit (ou du service, du séjour…) et consulter les recommandations de la DGCCRF avant tout paiement en s’assurant que le site affiche un petit cadenas, synonyme de chiffrement de la transaction.
Enfin, quelles recommandations retenir pour le moyen de paiement pour éviter, notamment, une interception d’un numéro de carte et sa réutilisation par un hacker ?
Deux types de solutions sont efficaces :
- La carte bleue avec cryptogramme dynamique. Il s’agit d’une CB disposant d’une micro-alimentation intégrée, en mesure de faire varier systématiquement, en principe toutes les heures, les trois derniers des 16 chiffres de la CB, rendant plus complexes les tentatives de fraude. Apparue en 2016 cette solution est proposée par plusieurs banques. La carte est dotée d’une batterie miniature pouvant durer jusqu’à quatre ans.
- L’e-carte bleue. Version virtualisée de la CB classique, elle est accessible uniquement depuis un smartphone, une tablette ou un ordinateur. L’e-carte génère un numéro automatiquement, assorti d’un cryptogramme visuel. Le numéro ne peut être réutilisé pour une autre transaction, ou uniquement (au choix) sur une période limitée. L’organisme bancaire y associe systématiquement une seconde authentification de type 3D Secure, avec envoi d’un code à usage unique par SMS pour finaliser la transaction.
Le recours à ces moyens de paiement en ligne sécurisés a entraîné une diminution importante de la fraude à la carte bancaire.
Philippe Leroy,
Président de la Commission systèmes d’information.
Image par Mohamed Hassan de Pixabay