« C'est risqué de payer en ligne ! »

« C’est risqué de payer en ligne ! » Le cliché a la vie dure. Pourtant, les chiffres montrent que la fraude sur les paiements effectués sur internet est sous contrôle et tend même à diminuer, à mesure que les dispositifs de sécurité s’améliorent.

En France, il y a bien longtemps que l’e-commerce n’est plus un épiphénomène. Fin 2019, ce sont 40 millions de consommateurs, soit près de 80% des internautes, qui avaient déjà effectué des achats en ligne, selon les chiffres de la Fédération e-commerce et vente à distance (Fevad). Le montant des ventes sur internet continue ainsi à progresser rapidement : pour la première fois en 2019, le chiffre d’affaires du e-commerce français a dépassé les 100 milliards d’euros (103,4 précisément), en hausse de près de 12% en un an.

8 euros sur 10 payés par CB

L’immense majorité de cette somme (80,1% précisément, toujours selon la Fevad) a été payée, non pas avec un portefeuille électronique du type PayPal, conçu pourtant pour cet usage, mais avec une bonne vieille carte bancaire. Paradoxalement, vous êtes encore nombreux à ressentir une certaine inquiétude au moment de communiquer votre numéro de carte à un site marchand. A tort ou à raison ? Regardons les derniers chiffres disponibles.

Une fraude relativement marginale

Utiliser sa carte bancaire pour régler ses achats en ligne est-il effectivement risqué ? Pas tant que ça. Selon l’Observatoire de la sécurité des moyens de paiement de la Banque de France, le taux de fraude - c’est-à-dire le rapport entre les montants fraudés et les montants totaux dépensés avec ces moyens de paiement - des transactions effectuées à distance sur des sites français reste contenu : 0,173% en 2018, soit 1 euro fraudé pour 578 euros dépensés.

Cela peut paraître beaucoup par rapport au taux de fraude constaté dans les boutiques traditionnelles (0,010%, soit 17 fois moins !). La fraude sur les achats internet en France est pourtant celle qui baisse le plus franchement : elle est ainsi passée de 0,251% en 2014 à 0,210% en 2016 puis à 0,190% en 2017 et à 0,173%, donc, en 2018.

1,4 million de cartes fraudées en 2018

Restons toutefois vigilants ! Si un cybercriminel parvient à détourner vos identifiants de carte bancaire, il pourra être tenté de l'utiliser à l'étranger, dans les pays où les règles de sécurité sont moins contraignantes qu'en France. Le taux de fraude est ainsi multiplié par 3,5 (0,594%, soit un euro fraudé pour 168 euros dépensés) pour les transactions effectuées dans la zone SEPA (2), et par plus de 6,5 (1,168%, soit un euro fraudé pour 85 euros dépensés) hors de cette zone.

Globalement, le nombre de cartes bancaires françaises subissant au moins une transaction frauduleuse dans l’année reste en hausse : presque 1,4 million en 2018, contre 1,2 million en 2017 (+12%). Il s’agit donc d’être prudent. Le montant moyen de ces fraudes, lui, est de 70,50 euros en 2018.

Des progrès dans la sécurisation

La baisse continue de la fraude sur les paiements à distance confirme une chose : les dispositifs de sécurité progressent. Les outils d’analyse des transactions, d’abord, ces systèmes informatiques capables d’évaluer le niveau de risque d’une transaction selon ses caractéristiques, comme les habitudes du client, sa localisation géographique ou encore le matériel utilisé. L’authentification forte ensuite, qui consiste à demander à l’acheteur une preuve supplémentaire qu’il est bien le titulaire de la carte. Une deuxième étape qui permet de ramener le taux de fraude à 0,07%.

Le code SMS bientôt insuffisant

Le dispositif d’authentification forte le plus courant s’appelle « 3D Secure ». Actuellement, il prend souvent la forme d’un code à usage unique, reçu par SMS sur son mobile et qui permet de finaliser la transaction. Historiquement peu répandu chez les e-commerçants français - qui lui reprochaient (à tort) un taux d’échec trop élevé -, ce mode de sécurisation a toutefois progressé au fil des années et était présent en 2018 chez 3 e-commerçants sur 4. Bientôt chez 100% d’entre eux. Depuis septembre 2019, la réglementation européenne impose une généralisation de l’authentification forte, qui va devenir plus sophistiquée : le code SMS, pas assez sécurisé, n’est plus suffisant selon les critères de l’UE, et le recours à la biométrie (empreintes, forme du visage, voix, etc.) grâce aux capteurs embarqués dans les mobiles, devrait progressivement le remplacer.

Lire sur le sujet : Compte bancaire, paiements : ce qui change pour votre sécurité

Une règlementation protectrice des usagers

Les banques planchent par ailleurs sur d’autres dispositifs. C’est le cas, notamment, de la Société Générale, de BNP Paribas ou d’Orange Bank, qui commercialisent des cartes bancaires à cryptogramme dynamique. Elles ont, il faut dire, tout intérêt à faire baisser le niveau de fraude. La réglementation est en effet très protectrice des usagers, et les contraint généralement à indemniser leurs clients victimes, parfois avec une franchise de 50 euros.

Un seul cas de figure permet aux enseignes de faire supporter au porteur l’ensemble du préjudice : lorsqu’elles parviennent à prouver, le cas échéant devant la justice, qu’il a fait preuve de manquements, intentionnellement ou non, dans la préservation des données de sécurité de sa carte bancaire. Une négligence souvent très difficile à démontrer.

A consulter : Comment obtenir une carte bancaire gratuite ?

(1) Paiements et retraits confondus, en point de vente physique ou à distance, en France et à l’étranger. (2) La zone SEPA comprend les 27 pays de l’Union européenne, ainsi que l’Islande, le Liechtenstein, la Norvège, le Royaume-Uni, la Suisse, Monaco et Saint-Marin.