La généralisation de l'authentification forte a permis de faire baisser la fraude aux paiements en ligne par carte bancaire. Vigilance toutefois : les fraudeurs ont déjà trouvé des parades. Voici comment les contrer.

C'est une bonne nouvelle. Selon la Banque de France, les paiements à distance (principalement sur internet) par carte bancaire n'ont jamais été aussi sûrs depuis qu'elle surveille la fraude aux moyens de paiement, c'est-à-dire depuis 2013. Au 1er trimestre 2021, le taux de fraude de ces achats effectués à distance est tombé à 0,149%, contre 0,174% en 2020. Soit un euro détourné pour 671 euros dépensés.

Cette embellie s'explique. Elle est liée à la généralisation, depuis fin 2021, de l'authentification forte de ces paiements, à l'aide de l'application bancaire de sa banque ou d'un code à usage unique envoyé par SMS couplé à un code fixe. « Le bilan est très satisfaisant », se félicite Julien Lassalle, chef du service de la surveillance des moyens de paiement scripturaux à la Banque de France, à l'occasion d'un point sur les dernières tendances en matière de fraude. « L'authentification forte a permis de compliquer la vie des fraudeurs ». Elle n'a pas pour autant réglé le problème. Ce qui signifie qu'il faut rester vigilant.

Manipulation et mise sous pression

Les cybercriminels, en effet, ont des ressources. Si l'authentification a permis de contrarier certaines fraudes, la Banque de France alerte sur l'émergence de nouvelles techniques fondées sur la manipulation et la mise sous pression de la victime. Elles ciblent en priorité des personnes âgées ou peu à l'aise avec le numérique, mais également « des jeunes cadres qui travaillent dans des entreprises du CAC 40 et qui se font avoir parce que la qualité de la manipulation exercée par le fraudeur est parfois remarquable », explique Julien Lassalle. En voici le mode opératoire.

1er temps : le fraudeur collecte des données sur sa cible, par le biais d'attaques informatiques (faux courriels, logiciels espions) ou de recherches sur les réseaux sociaux. Objectif : se rendre le plus crédible possible au moment de contacter sa victime.

2e temps : le fraudeur appelle directement sa cible au téléphone, en se faisant passer pour un conseiller bancaire. Pour crédibiliser le coup de fil, il utilise une technique dite de spoofing, qui permet d'usurper un numéro de téléphone. Il met la victime sous pression, en prétextant la détection d'une brèche de sécurité ou une tentative de fraude qui demandent une réaction immédiate.

Découvrez les meilleures cartes bancaires gratuites grâce à notre comparatif

3e temps : le fraudeur demande à sa cible de valider des opérations grâce à ses moyens d'authentification forte. Il prétexte un test de sécurité ou une annulation d'opération. Cela lui permet en fait d'authentifier un achat sur internet, l'ajout d'un bénéficiaire de virement, la modification d'un plafond de découvert autorisé ou encore l'enrôlement de la carte de la cible dans un dispositif de paiement mobile. Dans tous les cas, le résultat est le même : l'accès au compte bancaire n'est plus sécurisé et le fraudeur peut se servir. Pire, dans ce cas de figure, la banque risque de refuser d'indemniser la victime, prétextant qu'elle a fait preuve de négligence.

Deux grands principes à respecter

Pour éviter de vous retrouver dans cette situation, il faut donc redoubler de vigilance et appliquer systématiquement deux grands principes :

  • ne jamais valider une opération dont vous n'êtes pas à l'initiative : votre banque ne vous demandera jamais de le faire, que ce soit à des fins de test ou en réponse à une fraude ;
  • ne jamais communiquer des codes de sécurité à un tiers : ces informations sont aussi sensibles que le code de votre carte.

Si vous êtes confrontés au type de coup de fil décrit ci-dessus et que vous êtes incapable de déterminer si le risque est réel, raccrochez sur le champ et contactez votre banque par les canaux que vous utilisez habituellement : l'agence, le téléphone en utilisant le numéro fourni par votre banque et déjà utilisé par le passé, l'application mobile ou le site web, en passant par un favori ou un moteur de recherche. Et bien sûr, ne cliquez jamais sur un lien envoyé par courriel ou SMS.

Comment obtenir une carte bancaire gratuite ?