Qu'est ce que la fraude de paiement par carte bancaire ?
On considère comme fraude de paiement par carte bancaire, tout paiement par carte de banque ayant été effectué sans le consentement de son titulaire. Les données bancaires peuvent par exemple avoir été récupérées :
- Par vol de la carte physique
- Par piratage des données bancaires sur Internet, lors d’un achat sur un site non sécurisé, ou encore par l’envoi de mails de « phishing »
- Via un DAB ou un DAC (données informatiques)
Pour un site e-commerce, le piratage peut avoir des conséquences non négligeables, tant sur le chiffre d’affaires que sur la relation client, ainsi qu’au regard de la loi. Il est donc nécessaire de savoir s’en prémunir.
En effet, protéger les données bancaires de vos clients n’est pas seulement une nécessité. C’est également une obligation, au regard de la conformité PCI DSS. Cette dernière enjoint les entreprises du monde entier permettant les paiements en ligne, à mettre en place un certain nombre de mesures pour protéger les données bancaires de leurs clients.
Nous avons regroupé ici les principales mesures de précaution à mettre en place afin d’éviter le piratage.
Protéger la connexion/transaction
Les informations de vos clients sont les plus vulnérables lorsqu’ils se connectent à leur compte client ou qu’ils effectuent une opération bancaire en ligne. Voici donc quelques moyens de les protéger lors de ces étapes cruciales :
- Faire passer son site en HTTPS. Vous le savez, toute adresse web commence par http://www….. Lorsqu’un site commence par https (HyperText Transfer Protocole Secure, soit « protocole de transfert hypertextuel sécurisé), il indique qu’il dispose d’un système de cryptage des données. Ce système permet de protéger la confidentialité des informations envoyées par le client lors de la création d’un compte, d’une connexion ou encore d’une transaction en ligne.
- Souscrire au protocole 3D Secure. Le protocole 3D Secure est ce qui permet de vérifier la légitimité d’une transaction. Pour cela, la banque envoie un code par sms au titulaire de la carte, que ce dernier doit entrer pour confirmer la transaction. Une fois la confirmation donnée, la banque autorise ensuite le paiement. Souvent, le protocole 3D Secure est réglé pour se déclencher à partir d’un certain montant (généralement plus de 25€). Cependant, nous vous invitons à ne pas négliger la vérification des petites sommes. En effet, les fraudeurs, conscients de cela, n’hésitent pas à effectuer un maximum d’achats de petits paniers avant qu’il ne soit fait opposition au paiement. À noter que si vous n’activez pas le protocole 3D Secure, et en cas d’opposition lors d’une utilisation frauduleuse de la carte d’un client, c’est à vous qu’il revient de rembourser la somme engagée.
Protéger les données stockées
En permettant les paiements en ligne, vous pouvez être amenés à stocker des données bancaires (notamment si vous permettez l’enregistrement de ces dernières sur le compte client). Pour assurer leur sécurité :
- Utilisez un hébergement disposant d’un haut niveau de sécurité : privilégiez l’hébergement sur un serveur dédié, n’hésitez pas à vérifier la réputation des fournisseurs (forum spécialisés, réseaux sociaux…), testez leur SAV en les contactant et en les interrogeant sur leurs modalités d’assistance, les délais de résolution en cas de problème, comparez les offres et options de sécurité proposées, ne vous précipitez pas sur les fournisseurs low-cost.
- Sécuriser votre propre réseau informatique en utilisant des anti-virus et pare-feu professionnels. Effectuez régulièrement les mises à jour nécessaires pour éviter toute faille de sécurité.
- Utilisez une plateforme e-commerce sécurisée (CMS, solution Saas…) et assurez-vous qu’elle le reste : restez attentif au site de votre éditeur et surveillez les mises à jour. Appliquez ces mises à jour sur votre site aussi souvent que nécessaire.
- Protéger l’espace d’administration de votre plateforme e-commerce : par exemple, utilisez des mots de passe à haut niveau de sécurité (caractères alphanumériques avec minuscules, majuscules, chiffres et caractères spéciaux), limitez-en l’accès via un filtrage sur l’adresse IP de votre administrateur.
- Evaluez régulièrement le niveau de sécurité de votre hébergement, de votre réseau et de vos applicatifs en effectuant des tests d’intrusion : il s’agit de prestations réalisées par des experts simulant l’attaque de hackeurs. Elles permettent de détecter d’éventuelles vulnérabilités et vous fournissent des rapports détaillées d’actions correctives à mettre en place.
Toutes ces mesures de précaution ne dispensent pas cependant de garder un œil vigilant sur les commandes passées sur votre site, afin de déceler de potentielles opérations suspectes.
Savoir déceler les signes d'une fraude par carte bancaire
En restant attentif, vous pourrez repérer certains signes suspects qui vous permettront de mettre une commande en attente le temps de vérifier sa légitimité :
- Si le montant total d’un panier est anormalement élevé, et surtout s’il s’agit d’un nouveau client, il se peut que ce soit une commande frauduleuse.
- De la même façon, un panier dont le contenu manque de cohérence doit vous mettre la puce à l’oreille. Si vous vendez des vêtements auprès d’une clientèle de particuliers, vous devriez être alertés par un panier qui combine à la fois des articles pour femme, pour homme avec des tailles variant du S au XL.
- Soyez vigilant si l’acheteur cherche à dissimuler son adresse IP, ou si son adresse IP provient de l’étranger (et notamment d’un pays à fort taux de fraude, tels la Côte d’Ivoire, le Nigeria, ou encore certaines villes américaines comme Las Vegas), ou encore si le pays auquel appartient l’adresse IP du client est différent du pays auquel appartient la carte bancaire.
- Si les coordonnées de l’acheteur font preuves d’incohérences, il peut être sage de vérifier la provenance de l’achat avant d’envoyer la commande. En effet, les fraudeurs créent des comptes sous des faux noms et de fausses adresses, afin de ne pas être retrouvés. Méfiez-vous donc d’une adresse de facturation qui n’est pas la même qu’une adresse de livraison, d’un code postal qui ne correspond pas à la ville indiquée ou encore d’un indicateur téléphonique situé dans une région différente de celle de l’adresse de livraison.
- Si vous décidez de contacter l’acheteur afin de vérifier la légitimité de sa commande, et qu’il ne répond ni à vos appels, ni à vos emails, il est plus prudent de mettre sa commande en suspens jusqu’à ce qu’il reprenne contact avec vous.
Il va de soi que, pris séparément, chacun de ces signes peut venir d’une commande tout à fait légitime. Cependant, ils doivent forcer votre vigilance, d’autant plus si plusieurs de ces signes se cumulent.