• 8 heures
  • Facile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 21/11/2024

Soyez vigilant lors d’un paiement sur Internet

Ce cours a été élaboré en collaboration avec le Conservatoire national des Arts & Métiers

L'objectif sera de comprendre les enjeux de production et de sécurité du commerce électronique, et plus encore, de l'utilisation de moyens de paiement sur Internet. Vous découvrirez leur mode de fonctionnement le plus courant, en particulier ce que l'on appelle les SPE, la monnaie numérique, puis des utilisations malveillantes des SPE ; et enfin, comment prendre soin de vos données bancaires numériques.

Les systèmes de paiement électronique sont néanmoins récents. Nous avons vu lors de l'étude de la bonne pratique n° 1 (mot de passe) les principes essentiels des systèmes de protection cryptographiques à clé publique et à signature électronique ; leur avènement a rendu possible et populaire l'usage de la monnaie électronique.

L'apport de ces technologies est énorme pour sécuriser les données sensibles à protéger comme le numéro de la carte (1), la date de fin de validité (3) et les trois chiffres secrets qui figurent généralement au dos de la carte (ou en encart 2). Elles permettent d’effectuer des paiements via Internet, sans la présence physique de la carte.

Carte bancairean
Composants d'une carte bancaire en lien avec la sécurisation des échanges

Les enjeux énormes d'Internet ont conduit à une régulation mondiale afin de protéger tous les acteurs du paiement électronique ; en particulier, de limiter la fraude par compromission massive de données de cartes bancaires. Le principe du e-commerce fait intervenir les acteurs suivants : l'usager (porteur), le e-commerçant, les banques (du porteur et du commerçant), les places de marché.

Cela nécessite tout d'abord l'identification des parties au moyen d'un certificat électronique, avec une obligation de conserver en lieu sûr les traces des transactions électroniques ; ces dernières se font généralement entre une banque et un Payment Service Provider (PSP), via divers moyens de paiement et modes de transaction sécurisés associés, pour constituer ce que l'on appelle un système de paiement en ligne (SPE).

Néanmoins, les automates et terminaux de paiement utilisés par chacun d'entre eux doivent se conformer à des exigences de standardisation et de sécurité. Le standard PCI DSS (Payment Card Industry Data Security Standard) n'est ni une loi, ni une réglementation : c'est une norme technique pour les cartes de paiement, un standard de sécurité porté par les 5 réseaux internationaux de cartes bancaires (Amex, Discover, JCB, Visa et Mastercard).

Situations courantes du paiement  électronique

Les paiements sur Internet sont bien sécurisés et plusieurs offres de paiement sont proposées. Lorsque vous effectuez des achats sur Internet via votre ordinateur ou smartphone, vos coordonnées bancaires sont échangées, au moins pour être enregistrées dans le fichier client de votre destinataire, le site marchand sur lequel vous surfez. On distingue généralement plusieurs types de moyens de paiement électroniques  :

Paiement en ligne par carte bancaire

Les banques se sont dotées de systèmes de paiement sécurisé, en s’appuyant pour la plupart sur leur offre de carte bancaire. Par exemple, Virtualis du Crédit Mutuel est basée sur la solution sécurisée Atos Origin. La Caisse d’Épargne, la Société Générale, LCL, ou la Banque Populaire, ont quant à elles adopté le mode de paiement e-carte bleue.

Échanges via des plateformes tierces

Ce service développe le commerce de particulier à particulier (P2P). C'est un service offert par les pure players du service de paiement en ligne ; ces organismes, comme Paypal, enregistrent une croissance considérable depuis ces dernières années.

Exemple
Situation de paiement sécurisé pour un particulier

Avec le protocole « SSL » (pour Secure Socket Layer) et « SET» (pour Secure Electronic Transaction), elles assurent  une transmission sécurisée des paiements en réseaux ouverts ; le protocole « SET» est un protocole de cryptographie asymétrique permettant d’assurer la confidentialité et l’intégrité du paiement. Enfin, il faudra gérer l’authentification des parties, c'est-à-dire les clients et les banques, afin de garantir la confidentialité et l’intégrité des données transmises et de confirmer que le paiement a été sécurisé. Ces transactions entraînent des coûts importants.

Monnaie et portefeuille électroniques

Le paiement en ligne reste une solution de paiement préférée par certains consommateurs, qui verront le principe de la double banque comme plus fiable et en mesure de libérer les dépenses plus importantes, ce que vous souhaitez. Néanmoins, la monnaie électronique tend  à se généraliser ; vous avez tous au moins une fois acheté de petits achats quotidiens : pains, courses... !

Monnaie en ligne

La monnaie électronique se substitue donc à vos pièces et billets de banque ; elle est généralement stockée sur un support électronique, ce qui posera d’ailleurs de nouvelles questions : ce support est-il fiable ?

Les banques offrent de plus en plus des moyens de paiement que l'on appelle des dépenses en micropaiement ; ce sont des échanges plus nombreux, pour pouvoir assurer des achats d'un petit montant, effectués à partir de cartes à puces embarquées sur votre mobile ou votre carte de crédit, ou même en partie sur votre ordinateur.

Sans contact

Récemment, on a pu voir arriver une multitude de solutions avec le "sans contact", à partir des technologies NFC. Vos téléphones seront de plus en plus équipés d'une interface de communication NFC, de la même manière qu'ils possèdent une interface WiFi et Bluetooth. L'avantage du NFC est de faire communiquer 2 appareils NFC (lecteur nomade, enceinte sans fil) sans configuration, alors que le Bluetooth ou le WiFi requièrent des protocoles d'appairage ; de plus, le NFC leur permettra d'échanger des informations, des URL, des liens, etc. en faible débit (pas de fichier multimédia, par exemple). Le NFC est prévu pour fonctionner selon trois modes de fonctionnement distincts :

  • mode émulation de carte, ou mode "passif".

La carte NFC du terminal mobile fonctionne comme une carte à puce sans contact, semblable à une carte SIM, pour stocker des informations de façon chiffrée et sécurisée : carte de fidélité, coupons de réduction d'une franchise... ;

  • mode lecteur ou mode "actif".

La carte NFC du terminal mobile peut, en approchant son mobile de « tags » ou  « radio-étiquettes » (étiquettes électroniques), lire et collecter des informations. Elle est utilisée pour des services de proximité comme les horaires de bus, des cartes de visite, le parcours d'une visite de musée, etc. Un « tag NFC » est une étiquette électronique équipée de la technologie NFC ;

  • mode "peer to peer" (pair-à-pair).

La carte NFC du terminal mobile échange des informations avec un autre appareil équipé de la technologie NFC, sans passer par Internet.

Sur ce même principe, les échanges de monnaie ont été mis en place avec cette technologie du "sans-contact", qui a en quelques années envahi notre quotidien. C'est toujours le même principe : ce système de paiement en ligne fait intervenir la validation de la banque entre le consommateur et le commerçant, mais ces contrôles se font en quelque sorte "avant paiement". En effet, afin de fluidifier les échanges et d'apporter plus d'agilité avec ce mode de paiement "sans contact", et ce, tout en limitant les risques de "vol au terminal", les banques se sont mises d'accord pour définir sur la carte un plafond de dépenses autorisées ; par exemple, un paiement "sans contact" est actuellement plafonné à 30 €. Ce principe fluidifie grandement les transactions , évitant des compensations intermédiaires qui consomment du temps et de l'argent.

Le Bitcoin

Le Bitcoin est une monnaie dématérialisée sur Internet ; l'échange est entièrement crypté. On dit pour cette raison que le Bitcoin est de la crypto-monnaie ; il fait partie des systèmes de monnaie électronique. Cette crypto-monnaie n’a pas de forme physique, son unité de mesure, le bitcoin (avec minuscule), n’est lié à aucun gouvernement et  s’échange en peer-to-peer.

Architecture technique d'un SPE

Cette diversité de systèmes de paiement électroniques ouvre des perspectives énormes, mais tend à perdre le consommateur dans ses choix au moment de ses achats.

C'est pourquoi il existe une tendance, actuellement, d'intégrer toute cette diversité de systèmes de paiement en ligne ; l'architecture générale ressemblera dans le futur à la solution suivante :

Architecture technique d'un SPE (Source : https://hal.archives-ouvertes.fr/tel-01419220/document)
Architecture technique d'un SPE (Source : https://hal.archives-ouvertes.fr/tel-01419220/document)

Aujourd'hui, les systèmes de paiement ont des architectures techniques très souvent adaptées au SPE ; nous détaillons :

  • les tiers de systèmes de paiement en ligne et HTTPS ;

  • les banques avec le protocole SET ;

  • les banques et le 3D secure ;

  • la monnaie électronique.

Tiers SPE

Principe d'authentification
Principe d'une architecture sécurisée de paiement en ligne via un organisme bancaire
Paiement sécurisé SSL

Lors d'un paiement sur Internet, les sites web utilisent généralement une connexion chiffrée de type HTTPS entre l'ordinateur du particulier ou de l'entreprise et celui du service de paiement et du e-commerçant. Le "S" présent derrière HTTP signifie "secure", c'est-à-dire que la connexion entre votre ordinateur et le serveur de paiement est chiffrée par le protocole TLS (ou SSL). La grande majorité des navigateurs web affichent un petit cadenas (en haut à gauche du schéma) dans un des coins de l'écran. Cet échange, comme nous le montre le schéma, se déroule en 4 phases :

  1. 1 vers 2 : Le client émet d'une demande d'achat (son caddie).

  2. 2  vers 1 : le serveur FO demande un règlement, également les informations sur le moyen de paiement.

  3. 1 vers 3 : le client envoie ses éléments au tiers de confiance "e-paiement".

  4. 3 vers 2 : le centre de paiement valide la transaction et le fait savoir.

SET

La 1re génération de protocole sécurisé pour les systèmes de paiement  était le protocole SET (Secure Electronic Transaction) ; il se déroule de façon similaire à partir d’un compte bancaire, sauf qu'il fait intervenir les 2 banques, celles du marchand et du client (porteur) :

  • l’enregistrement du porteur auprès de sa banque. La banque se charge de vérifier son identité à l’aide des clés publiques et des clés privées. La banque accepte sa clé publique, celle-ci va recueillir une signature pour faire parvenir à son client une carte. Il va recevoir un certificat pour réaliser son achat ;

  • l’ordre d’achat. Le marchand possède également un certificat correspondant au SecurID du client, le client l’authentifie et laisse parvenir un n° d’achat, ainsi que les informations de paiement. Le marchand se charge de retransmettre à la banque le message contenant les informations de paiement, après avoir vérifié son intégrité ;

  • le paiement sera réalisé à travers la passerelle de paiement. Puisqu’elle aura vérifié les données bancaires, elle va autoriser le marchand à finaliser la transaction à partir de la banque. Ce dernier va répondre à la norme d’achat du client, puis ensuite demander le
    paiement à la passerelle.

3DSecure

Le système de paiement le plus sécurisé aujourd'hui est "3D Secure". Dans une transaction en commerce électronique, le client doit fournir au minimum le n° de sa carte bancaire, la date de validité de celle-ci, ainsi que les 3 chiffres figurant au verso de la carte. Un niveau de sécurité supplémentaire a été introduit pour les transactions en ligne avec "3D Secure" : il s’agit d’un ensemble de procédures permettant d’authentifier le titulaire de la carte qui effectue l’ordre de paiement. 3D Secure va permettre d’ajouter une phase (rendant forcément plus complexe le paiement) qui augmente la sûreté du paiement.

Logo 3D Secure
Logo 3D Secure

Entre temps, une 3e phase va intervenir : le marchand va interroger la banque du client, si la réponse est positive, un code personnalisé sera envoyé au client via SMS ; le client fournit alors à son tour le code de sécurité à sa banque. Si cette étape est réussie, la banque du client va transférer la responsabilité sur la banque du marchand. On voit que cette étape supplémentaire permet de garantir la confidentialité et l’authenticité du client, et le code envoyé via SMS va certifier la transaction.

Donc, à ce niveau-là, on voit que les systèmes de paiement se sont largement modernisés pour répondre aux besoins des transactions plus sécurisées ; mais on peut sur le plan général, en prenant du recul, que les systèmes de paiement engendrent de nouveaux risques, du fait que nous avons des réseaux de paiement ouverts. On vient de voir qu’on fait intervenir un réseau Internet, que ce soit entre le client et le marchand ou le client et sa banque, ou encore entre les 2 banques.

Donc, cette complexité de réseaux ouverts entraîne de nouveaux risques qui ne sont plus seulement opérationnels  :  est-ce que la monnaie est bien compensée ? Mais qui vont également être juridiques (problème de réputation). Imaginons une banque ayant mauvaise réputation sur Internet pour des raisons d’incidents ou de sécurité - qu’en est-il du paiement qui va s’opérer avec cet argent ?

Les monnaies numériques

Depuis l'adoption de la directive du 24 avril 2009, la monnaie électronique est  définie (article 2) comme une "valeur monétaire représentant une créance sur l’émetteur qui est stockée sous une forme électronique et émise contre la remise de fonds aux fins d’une opération de paiement." Cette valeur est donc inscrite au "bilan" de l’émetteur, et devient une dette exigible utilisable dans les échanges. On distingue les systèmes de paiement par monnaie électronique :

  1. Centralisés.

  2. Décentralisés.

Monnaie électronique (1)

La monnaie électronique est régulée et contrôlée par une banque ou un réseau interbancaire, comme les cartes prépayées en réseaux de paiement comme Visa, MasterCard, ou les fournisseurs de services en ligne comme PayPal. En ce sens, il y a une centralisation des transactions.

Contrairement au Bitcoin, la monnaie électronique est rattachée à une devise de référence et constitue une réserve de valeurs ; elle permet en outre de développer de nouveaux moyens de paiement comme les chèques-cadeaux ou tickets-services. La plupart du temps, la monnaie électronique est émise par une institution contre une remise de fonds, et sa valeur est exprimée en monnaie nationale (€). Elle est acceptée comme moyen de paiement par d’autres parties que l'émetteur ; elle facilite en cela une régulation des échanges.

Monnaies virtuelles : exemple du portefeuille Bitcoin (2)

Les services de monnaie décentralisés sont dépourvus d’un émetteur particulier, et la valeur monétaire n'est pas exprimée dans une monnaie nationale (Bitcoin). Ces monnaies, également appelées monnaies virtuelles, dans la mesure où les transactions s’effectuent directement entre les usagers via un réseau informatique, se distinguent de la monnaie fiduciaire (papier) car elle ne possède aucun émetteur central (pas de planche à billets ni de régulation). De plus, elle ne nécessite aucun intermédiaire, ce qui présente l'avantage d'être rapide et confidentiel.

En revanche, afin que le système s'autorégule, chaque transaction est inscrite dans un bloc ; bloc après bloc, un grand livre des comptes publics se crée sur cette chaîne de blocs (blockchainchaîne de blocs, ou registre destransactions), enregistre toutes les transactions par ordre chronologique, ce qui le rend vérifiable par chacun, et apporte la traçabilité des transactions ; c'est avec cela qu'il il va empêcher justement un utilisateur mal intentionné de dépenser sa monnaie auprès de deux destinataires différents (double dépense). Aussi, alors que la monnaie fiduciaire permet de forger de faux billets et de les utiliser plusieurs fois, ici, cette possibilité est rendue quasiment impossible, le principe du "hash" rend unique chaque version de grand livre, et le principe de la décentralisation le rend vérifiable aux yeux du grand nombre.

La première chose à faire sera donc de vous créer une portefeuille Bitcoin. Là, vous avez le choix ! Les critères principaux pour commencer seront la sécurité, la facilité d’utilisation et la légèreté (mémoire) ! Mais au fur et à mesure, il vous faudra prendre en compte d'autres critères comme la disponibilité de la plateforme, le nombre de personnes pouvant signer (multisig).

Sur le plan technique, un portefeuille Bitcoin génère et stocke un couple de clé publique/clé privée pour certifier la bonne réalisation de vos transactions et en assurer l’intégrité. Votre clé publique vous servira d'adresse "Bitcoin" pour être repéré de façon unique dans le réseau et en particulier recevoir des transactions ; votre clé privée vous permettra de signer vos dépenses. Donc, finalement, dépenser, c'est envoyer des bitcoins et c'est signer votre transaction avec votre clé privée. Tout cela est automatique et se déroulera avec votre portefeuille électronique (wallet).

Supposons que vous souhaitiez envoyer à votre ami des bitcoins ; vous créez une transaction avec votre porte-monnaie électronique. Votre application va également publier cette transaction. Nous avons vu que quand nous envoyons (dépensons), nous signons avec notre clé privée. Dans cette transaction, vous signerez avec votre clé publique mais avant, vous indiquerez le montant en bitcoins que vous destinez à votre ami, et vous ajouterez votre clé publique et celle de votre ami. Jusque là, c'est assez semblable à un échange via un système à clé publique ; mais vous allez faire quelque chose de particulier, que l'on ne fait pas dans la monnaie traditionnelle : vous allez intégrer tout l'historique des bitcoins que vous envoyez à votre ami (c'est-à-dire toutes les transactions qui ont permis d'obtenir depuis le début ces bitcoins).

Une fois cela terminé, vous envoyez la transaction, votre ami reçoit vos bitcoins et les stocke dans son portefeuille.

Donc, vérifier votre transaction, c'est également vérifier l'intégralité de la chaîne ayant permis d’obtenir vos bitcoins ; votre ami ne peut qu'avoir confiance !

On peut revenir sur cette notion particulière de l'historique des transactions ; cet historique a permis d'obtenir les bitcoins envoyés. Mais en réalité, votre solde de bitcoin n'est écrit nulle part, ;en revanche, il se calcule à partir de cette chaîne : l'historique de toutes vos transactions depuis la création du système. Ceci est étonnant, chaque nœud possède une copie de tout cela, régulièrement mise à jour ! De plus,  cette transaction aura été validée par les membres du blockchain : plus le nombre de membres qui auront validé ce bloc est élevé, plus la transaction sera sûre. Ce processus de validation d'une transaction est en effet réalisable par tous les membres du réseau Bitcoin qui ont la clé publique.

La menace

Le commerce, les transferts d’argent, les comptes bancaires en ligne, se sont développés de façon considérable pendant ces dernières décennies ; néanmoins, de par les nouvelles fonctionnalités et l'ouverture qu'elles offrent, ces technologies exposent d'une nouvelle manière l’argent des usagers.

S'ajoutent aux risques bancaires traditionnels : risques de crédit, de liquidité, de marché et de change, un certain nombre de nouveaux risques inhérents aux technologies de pointe embarquées sur les terminaux de paiement, cartes bancaires mais également sur la chaîne de e-paiement.

Architectures de paiement électronique et les menaces
Situations vulnérables sur les situations d'usage de paiement électronique et les menaces

Les fraudes avec les cartes

C'est l’utilisation d’une carte par une personne qui n’en est pas le titulaire légitime :

  • l’utilisation par un tiers d’une carte perdue ou volée ;

  • la contrefaçon d’une carte, qui concerne le plus souvent la piste magnétique, et qui s'effectue soit par une personne malveillante, soit grâce à un dispositif placé sur le terminal de paiement ou sur le DAB - est connue sous le nom de "skimming", dans les pays où la technologie de la carte à puce n’est pas utilisée ;

  • l’utilisation de données bancaires, identifiants de la carte (numéro, date d’expiration…) par une autre personne que le titulaire, alors que celui-ci est toujours en possession de sa carte. Ce type de fraude concerne la vente à distance, et plus généralement les données bancaires.

Les attaques sur vos données bancaires

Toutes vos données bancaires peuvent être exposées à une perte de confidentialité, d'intégrité et de disponibilité ; ces attaques sur les données bancaires devront être étudiées pour le vol, la modification, la destruction, la perte, la divulgation des données de paiement. Parmi ces données, nous trouverons :

  • les données de paiement ;

  • les données d'accès à votre compte bancaire ;

  • les données personnelles lors de vos navigations.

Sur vos  données de paiement

Utiliser des données de paiement est une manière efficace et populaire de faire du profit rapidement. Les données de paiement sont les n° de carte, identifiant, SMS...

  • Compromission de vos terminaux (mobiles, ordinateurs...)

Bien que les banques essaient de protéger leurs clients, les attaques contre les particuliers sont courantes. Pirater une banque prend plus de temps, revient plus cher et le risque de se faire attraper est plus élevé. À l’inverse, de nombreux particuliers utilisent des ordinateurs qui contiennent de nombreuses vulnérabilités, et qui sont donc plus faciles à compromettre.

Aujourd'hui, la fraude à la carte bleue en ligne représente 0,161 % du montant total dépensé sur Internet. Soit un euro de fraude pour 620 euros de paiement, révèle le rapport annuel de l'Observatoire de la sécurité des moyens de paiement. Un chiffre encore beaucoup trop élevé selon la Commission européenne. Par exemple, la 3e phase de 3D Secure vous envoie un code personnalisé via SMS ; ce code peut être utilisé par un individu malveillant dans votre cercle proche, qui a usurpé votre connexion ou volé votre téléphone.

  • Vol des données de paiement

Une plus grande attention devra être portée sur les petits larcins : en détournant ou volant une somme modeste de milliers de comptes bancaires, un cybercriminel a de bonnes chances de ne pas être détecté. En particulier, les attaques contre les particuliers,  de surcroît plus facilement automatisables, ne demandent qu'une faible intervention de ces cybercriminels.

  • Fuite du numéro de carte bancaire

Pour pouvoir usurper les identités bancaires, le pirate va tenter de les obtenir en utilisant une multitude de modes opératoires  (= fuite des données bancaires). Des exemples récents ont montré comment se passe à l'interception du numéro de carte bancaire de l’entreprise pour soutirer 1 000 euros.

Fake URL

Le "l" de Paypal a été remplacé par un "I". Le nom de domaine de l'attaquant est : paypai.com et le nom de son serveur web : www.paypai.com

resse
Principe de la fausse adresse URL (Fake URL)
"Contact" NFC

Les monnaies électroniques exposent également de plus en plus, et génèrent de nouveaux risques par manque de protection des usagers, et manque d’informations sur les nouvelles modalités de paiement électronique :

  • indisponibilité du moyen de paiement

La perte ou le vol de votre smartphone entraînera l'indisponibilité de votre moyen de paiement, de votre titre de transport, etc. ;

  • vol de valeurs bancaires

La fuite de vos informations sera facilitée du fait de la facilité d'échange du NFC (sans contact pour prendre de l'information, sans contact pour se la faire prendre !) : collecte sur vos informations personnelles, vos habitudes de consommation...

Les données bancaires personnelles

La donnée représente (comme on a vu à plusieurs reprises) le nouvel or noir des grands acteurs de l’Internet. La donnée est fondamentalement véhiculée et valorisée par ces nouveaux business modèles, au cœur desquels sont bien souvent présentes les banques, mais pas les usagers, qui n'ont pas forcément conscience de ce qu'ils détiennent et donnent à leur banque ; sans compter que ces informations mal protégées peuvent fuir et leur vie privée pourrait en être menacée. De nombreux renseignements sur la vie privée des usagers sont actuellement valorisés, revendus par ces acteurs, bien souvent à l'insu des usagers.

Exemple
Illustration d'une fuite de données par cookie
Les vulnérabilités logicielles

Les mécanismes de sécurité décrits sont complexes ; ils mettent en jeu des mesures de sécurité robustes, comme l'authentification 2 à 3 facteurs (biométrie, les SMS de 3D Secure) ; il n'en est pas moins important de considérer que les vulnérabilités des logiciels déployés pour cela restent une véritable question de sécurité.

Les bonnes pratiques du paiement sur Internet

Il convient que l'usage des systèmes de paiement bénéficie d'un encadrement strict, d'autant que parmi ces technologies, certaines sont nouvelles et encore peu matures. Le législateur, que ce soit via l'ANSSI ou a Commission nationale de l'informatique et des libertés (CNIL) veille à la  protection du consommateur. Il existe également les filières pour les banques, comme le groupement des cartes bancaires :, et pour le commerce électronique, comme la Fevad.

Ces organismes vous donneront également les meilleurs conseils pour vous protéger.

Les mises à jour et la surveillance de vos logiciels

Il est donc important de maintenir à jour vos logiciels : navigateur, add-on,  système, outils SSL, iPhone... tout ce que vous utilisez  lors de transactions électroniques, afin d'éviter que les failles logicielles et matérielles soient exploitées.

Votre navigateur dans les SPE et vos données bancaires

Il convient de choisir vos partenaire système de paiement électronique (SPE). En France, des autorités sont garantes de la sécurité des services proposés, ainsi que du respect des données personnelles des usages des SPE :

  • l’Autorité prudentielle de contrôle et de résolution (ACPR) délivre un agrément aux SPE et garantit leur sérieux pour protéger votre épargne ;

  • l’Autorité des marchés financiers (AMF) représente le régulateur national en charge de veiller aux conditions générales et au respect des procédures et des obligations liées au statut bancaire ; 

  • le groupement des cartes bancaires : http://www.cartes-bancaires.com/fr/missions/cb#nav0.

Il convient également que vous portiez attention à vos actions pour établir votre transaction en ligne :

  • contrôlez la présence du cadenas dans la barre d'adresse ou en bas à droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur tous les navigateurs) ;

  • de même, vérifiez l'adresse avec le "S" de "HTTPS" dans l'adresse URL du site Internet de votre SPE, dans la barre de votre navigateur ;

  • vérifiez au même endroit et en même temps l'exactitude de l'adresse URL, en prenant garde aux fautes d’orthographe ;

  • lors d’un achat en ligne, privilégiez la méthode 3D Secure ou autre via un SMS, en prenant garde aux yeux et oreilles indiscrètes, et à ne pas vous faire voler votre mobile ;

  • discutez avec votre banque pour vous informer des moyens sécurisés les plus récents.

Protégez votre carte bancaire

Votre numéro de carte bancaire par l'ANSSI

Les recommandations de l’ANSSI sont claires pour protéger votre numéro de carte bancaire lors d’un achat électronique  :

  1. Privilégiez la méthode appliquant l’envoi d’un code de vérification par SMS.

  2. Ne transmettez jamais votre code confidentiel ni le numéro de votre carte bancaire.

  3. N’hésitez pas à vous rapprocher de votre banque pour consulter et demander les offres de sécurité qu’elle propose, comme 3D Secure.

Règles de prudence d'usage de votre carte bancaire par le groupement des cartes bancaires
  1. N’écrire nulle part son code confidentiel, ni le communiquer à un tiers, quel qu’il soit.

  2. Toujours composer le code confidentiel à l’abri des regards indiscrets, en masquant, par exemple, le clavier de son autre main.

  3. Ne pas composer 3 fois de suite le code confidentiel erroné, lors d’un retrait ou d’un paiement.

  4. Ne pas se laisser distraire par un tiers lors d’un retrait.

  5. Conserver sa carte en lieu sûr et ne la confier à personne.

  6. Conserver ses tickets (y compris électroniques) et vérifier régulièrement ses relevés bancaires.

  7. Signaler immédiatement à la banque toute anomalie sur son relevé bancaire.

  8. Ne jamais perdre de vue sa carte pendant le paiement chez un commerçant.

  9. Mettre immédiatement la carte en opposition si elle est conservée par un distributeur, perdue ou volée.

  10. Garder en lieu sûr le numéro de la carte et sa date d’expiration pour pouvoir la mettre en opposition plus rapidement.

  11. Pour partir en congés en toute tranquillité, suivez ces conseils :

En cas de perte ou de vol de sa carte bancaire CB, il faut immédiatement faire opposition en appelant le centre d’opposition de sa banque ou à défaut le 0892 705 705 (0,35 euros/minute, accessible 7j/7 et 24h/24).

En cas de séjour à l'étranger , avant de partir :

  1. Regardez la date de validité de votre carte et, le cas échéant, demandez son renouvellement anticipé.

  2. Assurez-vous que vos plafonds de retrait et de paiement sont adaptés. S’ils ne le sont pas, voyez avec votre banque s’il est possible d’envisager un relèvement, même temporaire.

  3. Vérifiez que votre carte est acceptée dans le pays où vous vous rendez.

  4. Emportez avec vous le numéro de téléphone de votre banque pour pouvoir la joindre facilement en cas de besoin. 

 En cas de séjour à l'étranger , sur votre lieu de séjour :

  1. À l’étranger prévaut parfois la facturette avec signature après lecture de la piste magnétique de la carte et transmission de l’autorisation de paiement. Les demandes d’autorisation de paiement sont quasi systématiques, quel que soit le montant de l’achat.

  2. Vérifier les montants : bien vérifier son ticket avant la signature, notamment veiller à approuver le montant total de sa facturette, car il existe parfois un total intermédiaire suivi d’une ligne supplémentaire pour le pourboire.

Lutte contre la fraude

Les banques disposent d'un référentiel des fraudes (SICB) pour caractériser plus finement  les fraudes constatées (mode opératoire, lieu...), en vue de détecter rapidement les opérations suspectes (retraits inhabituels dans un pays étranger...) ; de nombreuses coopérations interbancaires  existent :

  • Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) ;

  • brigade des fraudes aux moyens de paiement (BFMP) ;

  • gendarmerie nationale (IRCGN).

Il vous faut, pour votre entreprise, vous rapprocher des organismes pour vous informer des fraudes en vigueur.

Tweet de la Police nationale
Tweet de la Police nationale

Exemple de certificat de réussite
Exemple de certificat de réussite