Certissim, service de détection de fraudes liées aux paiements sur internet, vient de publier son « livre blanc » 2013, qui offre chaque année un tour d’horizon des méthodes de fraude dans le cadre des paiements sur internet. Il met en garde contre une croissance des cas d’usurpation de comptes clients, ce qui rend très difficile la détection de la fraude.
Service commercialisé par FIA-NET, filiale du Crédit Agricole spécialisée dans les services de paiement et de protection contre la fraude à destination du e-commerce, Certissim intervient auprès de 900 e-commerçants. C’est en se basant sur leurs déclarations d’incidents et sur les fraudes détectées par ses systèmes que FIA-NET publie chaque année son « Livre Blanc », avec l’objectif de donner une « vision objective de la fraude » et de l’évolution des techniques des fraudeurs.
Les tentatives de fraudes représentent près de 2 milliards d’euros
En extrapolant à partir des chiffres de son périmètre d’intervention, le service estime à 1,9 milliard d’euros les tentatives de fraudes en 2013.
Ce chiffre, en augmentation de 11% par rapport à 2012, est à relativiser en fonction de la croissance du secteur e-commerce puisque, ramené au chiffre d’affaires total des ventes en ligne (51,1 milliards en 2013), le taux de tentatives de fraude est de 3,83% contre 3,91% en 2012.
Le taux d’impayés liés aux fraudes baisse également : 0,14% contre 0,18%. « Si le risque reste important, la fraude dans le e-commerce est mieux maîtrisée », estime ainsi Certissim.
Montée en puissance de la fraude identitaire
Cela n’empêche pas les fraudeurs d’améliorer, d’année en année, leur savoir-faire. En 2013, Certissim note une « croissance des usurpations de comptes clients » grâce aux informations recueillies en utilisant d’un côté la méthode dite du phishing, qui permet de voler des données personnelles grâce à des faux courriels, et de l’autre les réseaux sociaux, sur lesquels s’exposent un nombre croissant de personnes.
« Les auteurs de phishing ne se contentent plus d’essayer de récupérer des coordonnées bancaires », détaille Certissim. « Désormais, ils cherchent à récolter tous types de données personnelles : état civil, coordonnées (postales, bancaires, téléphoniques), mots de passe, réponses aux questions secrètes, etc. En cumulant les informations issues de phishing et des réseaux sociaux, les fraudeurs parviennent à prendre possession de comptes clients de e-acheteurs honnêtes connus des e-commerçants. » Un phénomène facilité par la faiblesse des mots de passe choisis par certains usagers.
La victime obligée de se justifier
Une fois en possession de ces informations, les fraudeurs sont en position, non seulement d’émettre des paiements frauduleux, mais aussi de prendre possession des comptes clients des victimes. Ils peuvent ainsi modifier leur adresse e-mail de contact, leur numéro de téléphone ou l’adresse de livraison. Arrivée à ce point, la fraude est très difficile à détecter pour le e-commerçant. « (…) Le fraudeur n’est pas inquiété mais le vrai détenteur du compte client doit prouver qu’il n’est pas à l’origine des commandes frauduleuses », explique Certissim.
Pour éviter de se retrouver dans cette situation paradoxale, il faut donc non seulement être vigilant à ne pas se faire piéger par un courriel frauduleux, mais aussi faire attention aux informations partagées publiquement sur les réseaux sociaux. Surtout, il ne faut jamais utiliser sa date de naissance, le prénom de ses enfants ou toute information facile à trouver comme mot de passe.
Autre tendance observée, les fraudeurs utilisent de plus en plus des adresses de livraison situées dans les grands centres urbains. Une manière de rester discret et proche des clients auxquels ils revendent le produit de leur escroquerie. En zone rurale, les livraisons en points relais sont privilégiées.