Nos cartes de crédit sont inviolables: c'est ce que, depuis l'invention de la carte à puce, on ne cesse de nous répéter. Et pourtant, de plus en plus d'opérations frauduleuses sont réalisées à partir de cartes créées sur la base de données de cartes réelles recopiées. Certes, de temps en temps, un hacker de génie arrive à récupérer les données en question sur les sites des émetteurs de cartes, ce fût le cas par exemple en Allemagne à l'automne dernier. Si les entreprises deviennent aussi soucieuses de la sécurité des informations de leurs clients que la SNCF, il est possible d'espérer obtenir avec un minimum d'efforts tous les éléments indispensables pour s'adonner à cette coupable industrie.
Il y a déjà quelques temps, certains s'étaient émus du sort des facturettes de cartes de crédit. En effet, après vérification par le titulaire de la carte de son débit et par le commerçant de son crédit, ces petits bouts de papiers partent un jour ou l'autre à la poubelle. Le problème, c'est que ces facturettes portaient en clair toutes les informations relatives à la carte et qu'il suffisait de faire les poubelles des commerçants (ou des clients) pour disposer de données permettant de refaire des cartes «présentables». Les émetteurs de cartes avaient alors annoncé que, sensibles au plus haut point à la sécurité de leurs produits, ils allaient mettre le paquet pour que le vilain fraudeur ne puisse se fournir aussi facilement dans la dernière poubelle venue.
Avez-vous remarqué comment le problème a été traité?
Sur l'exemplaire qui vous est destiné, une partie des références de votre carte est occultée en rendant ainsi impossible la récupération à des fins illicites. Il est en effet bien évident que vous êtes un irresponsable qui jette ses facturettes après vérification sans les détruire auparavant et que le fraudeur est patiemment embusqué derrière votre conteneur à ordures, pour récupérer une fois par mois après votre pointage la petite trentaine de papiers miracles. «Les changements concernent le ticket client qui ne comporte plus la date de fin de validité de la carte et dont le numéro est désormais tronqué», explique-t-on au groupe Cartes Bancaires CB, qui assure l'interbancarité des cartes de paiement chez la plupart des établissements financiers français.
Mais du côté de la facturette du bénéficiaire, aucun changement. Y figurent toujours en clair la totalité des renseignements relatifs à votre carte. C'est pourtant ceux-là qui sont le plus souvent récupérés par les fraudeurs puisque les commerçants reçoivent tous les jours le détail des opérations traitées la veille et qu'après vérification (en général par voie informatique), plusieurs centaines, voire plusieurs milliers ou dizaines de milliers de petits bulletins deviennent inutiles et donc partent quotidiennement au rebut.
On voit donc que, malgré leurs déclarations, les émetteurs de carte n'ont pris aucune mesure véritable de protection. Ils ont par contre été beaucoup plus prompts à réagir lorsque les accords inter-organismes financiers ayant changé, le banquier du titulaire de la carte était débité en cas de fraude au lieu que ce soit celui du commerçant. Un mot de passe supplémentaire, non pour éviter les fraudes mais pour transférer la responsabilité sur le titulaire de la carte, fût mis en place en quelques semaines. C'est le fameux «Verified by Visa». «Le système 3D Secure assure au e-commerçant, en cas de fraude avérée, de ne pas en supporter la responsabilité, confirme-t-on chez Cartes Bancaires CB. Dans ce cas, c'est la banque émettrice de la carte, celle du porteur, qui l'assume.»
Autre point faible, les réservations hôtelières. Si pour les grands groupes, nous déclinons nos petits secrets sur un site a priori sécurisé, il n'en est pas de même pour le petit hôtel de charme pour lequel la réservation se fait au téléphone ou, pire, par mail. Dans les deux cas, sont à disposition du réceptionniste (qui est peut-être un intérimaire totalement inconnu, arrivé le matin même dans l'hôtel) toutes les caractéristiques de notre carte de crédit y compris les trois ou quatre chiffres du cryptogramme qui vous est, dans ces cas, toujours soigneusement demandé. Généralement, la transcription des caractéristiques de la carte données par téléphone ou l'impression du mail traîne dans le registre de réservation posé à la réception et est donc mis à la disposition de tout le monde dans l'hôtel...
Il ne faut donc pas s'étonner lorsque votre banquier vous téléphone pour vous aviser que vous êtes en train de faire des dépenses somptuaires à Tokyo ou à Caracas. Le seul problème, c'est que vous êtes débités dans l'attente de la résolution du litige.
Michel Reynaud, avec Yann Sternis
Photo: REUTERS/Stelios Varias
