Lorsque l’on achète sur Internet, l’essentiel de nos paiements s’effectuent par carte bancaire.

On sait que la carte est sécurisée, surtout lorsque l’on achète en magasin.

Mais qu’en est-il réellement sur Internet ?

Nous allons tenter d’y répondre.

Premier constat : Qui n’a pas dans son entourage ne serait-ce qu’une seule personne, une connaissance qui s’est déjà fait voler sa carte bancaire, ou qui a subi une escroquerie lors d’un achat en ligne ?

Second constat : Les chiffres parlent d’eux-mêmes, et à vrai dire, c’est dramatique : En France 1,2 millions de cartes sur la seule année 2017 ont été piratées par des hackers[1][3], essentiellement sur Internet. Pourquoi de tels chiffres.

Si l’on compare avec les achats en boutique ou commerce de proximité, on se rend compte que l’on possède une chose unique que personne ne connait, le fameux code PIN de la carte qui ne doit en aucun cas être partagé, pas même avec son conseiller bancaire. Mais sur Internet ? C’est là où le bât blesse. Visualisez vos achats sur Internet, une fois votre panier confirmé, que transmettez-vous comme informations ? Le numéro de la carte, vos noms et prénoms inscrits, sa date d’expiration, et le cryptogramme. Mais pas une seule fois votre code PIN.

A priori, et c’est surprenant, toutes ces données que vous transmettez sont bel et bien statiques, toutes ces données circulent, et vous ne les maîtrisez plus. Elles sont dorénavant écrites dans le marbre, dans des bases de données, des serveurs peut être à l’autre bout du monde.

ll y a bien des palliatifs

Des wallet (ou portefeuilles électroniques) sécurisés, des cryptogrammes dynamiques, ou des cartes virtuelles, des sms envoyés en complément sur votre téléphone pour sécuriser la transaction, un accès requis à votre application bancaire mais au final, dans bon nombre de ces cas, vos données cartes statiques sont stockées et transmises sur le web, une fois pour toutes.

Il suffit donc d’une seule fois. Sachant que l’on effectue en moyenne en France 33 achats sur Internet par an sur un marché du ecommerce qui grossit (100 milliards de chiffre en cible pour 2019), cela attire tout type de convoitises des escrocs du web. Et là, on commence à jouer avec les probabilités, un début de roulette russe. Transmettre toutes nos données statiques cartes a un vrai impact sur notre sécurité et la sécurité de nos comptes bancaires.

Exemple typique d’Ebay

Ebay a subi un piratage massif avec vol de données de 145 millions de clients et cartes en 2014, ils utilisaient pourtant une solution connue de paiement américaine ![2]

Cet exemple est flagrant. Et cela soulève toutes les questions que l’on doit se poser :

Est ce que ma connexion est sécurisée, réellement sécurisée ? Est-ce que le site sur lequel j’achète protège bien mes données de cartes bancaire ? Et pourquoi ces données bancaires ne sont accessibles que par un simple nom de compte et mot de passe lorsque j’ouvre un site de paiement ? Il y a de quoi être surpris. Donc, si j’achète sur 15 sites différents, tous ont donc mes données en leur possession? Oui c’est bien le cas. Comme les pirates sont de plus en plus aguerris, ce n’est plus simplement les bases de données des marchands qu’ils attaquent, mais nous directement. En ayant récupéré des milliers de données bancaires sur le Darknet, ils essayent ensuite des achats sur des sites étrangers, 30 dollars sur Amazon US, 20 euros sur des sites européens qui ne sont pas correctement protégés (sans 3DS v1), des sites sans demande d’autorisation auprès de votre banque. Et ils les connaissent. Le mal est fait. Encore faut-il s’en rendre compte en balayant régulièrement ses relevés bancaires.

D’ailleurs, si les hackers veulent vraiment acheter sur un site ecommerce en France (et se faire livrer en France), alors ils redoublent de furie (sur les réseaux, en achetant d’autres bases) pour récupérer votre numéro de téléphone, vous envoient des SMS avec de faux liens ( hameçonnage ou phishing), vous font cliquer sur des fausses pages de sites marchands.

Une fraude orchestrée

Malheureusement à ce jour, les tentatives de fraudes au paiement sur Internet s’élèvent à plus de 3% du e-commerce français (92 Milliards d’euros) soit 2,7 milliards d’euros chez nous. Pourquoi un tel acharnement ? Parce que lorsque l’on paie sur internet et que l’on accède uniquement avec un simple email et mot de passe sur certains sites, on paie malheureusement et toujours avec sa carte. Et la carte n’a pas été inventée pour payer sur Internet mais pour effectuer des achats physiques avec un ticket de caisse, avec votre PIN. Tout est dit.

Comme évoqué précédemment, 1,2 millions de carte en France ont été piratées sur une seule année, mais avons-nous une idée des chiffres cumulés sur les 10 dernières années ? Non. Mieux vaut peut-être pas. Mais il est peut-être temps surtout d’ouvrir les yeux et de penser à se protéger.

Et ce n’est pas en complexifiant le parcours d’achat et de paiement pour parer à ces défaillances que cela va faciliter la chose. Au mieux, il y aura encore plus d’abandons de paniers. Ce que personne ne souhaite.

Plus d’un tiers des européens sont fébriles au moment de payer avec leur carte bancaire sur Internet. Cela amène le constat suivant : Il ne s’agit plus d’un épiphénomène isolé mais d’arnaques bien orchestrées que nous subissons.

En conclusion

Payer par carte sur internet n’est pas aussi sécurisé que cela et la carte bancaire n’a pas été faite pour payer sur le web. Car donner les informations de sa carte bancaire lors d’une connexion, les écrire équivaut à les partager. C’est comme laisser la clé sur sa porte avant de partir en vacances. Le monde du digital est sans scrupule, et les pirates, à distance, sans se déplacer, l’ont très bien compris.

Il est temps d’envisager le futur avec des solutions sécurisées, plus simples, et surtout pleinement adaptées aux achats en ligne. Et que l’on maîtrise une fois pour toute nos données qui sont précieuses.

[1] : https://www.moneyvox.fr/actu/69561/c-est-risque-de-payer-en-ligne#udAA531vb3p5ZPZB.99
[2] : https://www.franceinter.fr/monde/piratage-d-ebay-145-millions-de-donnees-volees
[3] : https://www.nortonlifelock.com/about/newsroom/press-kits