Facebook Twitter Newsletter Linkedin RSS

Portail de la presse

Il est toujours très risqué de donner son numéro de carte bancaire sur Internet

Selon le rapport du Forum des droits sur l\'Internet, le détournement de numéros de cartes bancaires sur l\'Internet serait inexistant. Aucun numéro de carte bancaire n\'aurait jamais été intercepté en France à l\'occasion d\'une transaction. Ce serait donc à tort que 32 % des internautes refusent encore d\'acheter en ligne, par crainte de voir leur numéro détourné et leur compte bancaire pillé.

La traduction qui en résulte dans de nombreux médias est erronée et induit gravement le public en erreur. Ainsi peut-on lire dans les titres récents : Le piratage de la carte bancaire sur Internet est un mythe (Libération), Le cyber-achat plus sécurisé que l\'achat classique (Rtl), Piratage zéro de la carte bancaire sur les sites marchands (01 Net) ou encore N\'hésitez plus à payer en ligne ! (Zescoop). Ces affirmations sont fausses et ne correspondent ni à la réalité, ni-même à ce qu\'explique le rapport.

Ce document précise en effet « qu’aucune interception d’un numéro de carte bancaire, à l’occasion d‘un achat en ligne sur un site marchand doté d’un espace sécurisé, n’a eu lieu en France. » En d\'autres termes, il n’y a pas eu de cas de détournement au moment de l\'envoi entre l\'ordinateur de l\'internaute et le site marchand, tant que la transaction était cryptée. À ce stade en effet, même si des cas d\'école célèbres existent, le fraudeur serait bien stupide s’il espérait se remplir les poches en guettant votre numéro, en l’interceptant juste au moment on vous l\'envoyez et en tentant ensuite de le décrypter pour pouvoir s\'en servir ! C’est un peu comme si, un voleur souhaitant s’en prendre à votre voiture, il attendrait spécialement le moment où vous êtes au volant, portes fermées, lancé à 130 km/h sur l’autoroute, pour essayer de s’emparer à votre insu de votre bijou… Tout en sachant que pour pouvoir repartir avec, il lui faudra d’abord tenter de leurrer le système de reconnaissance vocale qui ne connaît que votre voix !

Dire qu’il n’y a pas eu de cas d’interception ne permet pas de conclure qu’il n’y pas de numéros de cartes détournés. Le rapport n’évoque tout simplement pas le cas de ces vols de bases de données. Pourtant, l’assureur Fianet, auquel sont affiliés plus de 1000 sites marchands français, le reconnaît lui-même dans son dernier livre blanc sur la Fraude : 1% des réclamations qu’il traite concerne des détournements de numéros de cartes . Ces internautes français ont bel et bien vu leur numéros de cartes détournés alors qu’ils avaient acheté sur ces sites, pourtant tous « sécurisés ».

Car ce n\'est pas au moment de la transaction – cryptée de surcroît – que l\'on prend un risque, mais après la transaction : alors que votre numéro de carte bancaire n’est plus crypté depuis longtemps et qu’il est stocké avec des dizaines de milliers d\'autres numéros, dans des bases de données accessibles en clair et ne comportant le plus souvent aucune sécurité réelle de conservation. Dans la majorité des entreprises de vente à distance, ces informations sont accessibles à n\'importe quel secrétariat, service client, service de maintenance, service comptable... Lorsque vous appelez l’un de ces services au téléphone pour une réclamation, votre interlocuteur n’a-t-il pas votre numéro de carte bancaire – ainsi que toutes vos informations personnelles – sur son écran, sans aucun cryptage ? Preuve donc que ces informations sont facilement accessibles, quand bien-même vous aviez transmis votre numéro de carte bancaire de manière cryptée, sur un site sécurisé.

Ce sont ces bases de données qui sont la cible de pirates, même si la plupart du temps le détournement s’opère grâce à des employés indélicats. Il est en effet facile – grâce à Internet – de trouver preneur pour des listes de numéros de cartes bancaires appartenant à des clients de cyber-entreprises au dessus de tout soupçon.

La cyber-actualité regorge de cas de détournement de bases de données comportant plusieurs millions de numéros de cartes bancaires. Les sites marchands les plus prestigieux connaissent parfaitement ce fléau et sont bien en peine de contenir toutes les failles que les fraudeurs exploitent. Les banques elles-même déplorent régulièrement – sans le reconnaître officiellement – des intrusions, piratages et détournements dans leurs propres systèmes reliant les agences entre elles et utilisant pour cela l’Internet !

Croire que l’on peut donner de manière sûre son numéro de carte bancaire sur Internet, sous prétexte que la transaction est sécurisée, revient à méconnaître les dangers les plus élémentaires sur la Toile. Faire croire à l’internaute qu’il peut régler avec sa carte bancaire les yeux fermés, du moment qu’un site est dit « sécurisé », revient au même que l’inciter à lancer sa voiture à fond de moteur, sans lui avoir appris au préalable où se situe le frein.

Pour donner son numéro de carte bancaire sur un site, même sécurisé, sans risque de détournement ultérieur, il faut d’abord être certain que le cybercommerçant ne conservera pas le numéro de carte au delà de la transaction. Et contrairement à ce que laisse supposer le rapport du Forum des droits, les cybercommerçants gardent toujours vos coordonnées personnelles de carte bancaire, ne serait-ce qu’en cas de réclamation ultérieure, possible pendant deux ans.

Un bon conseil, avant de régler sur un site avec votre carte bancaire : prenez le temps de contacter au préalable le service client (par email) afin de vérifier si votre numéro sera détruit après la transaction. Vous prendrez votre décision en fonction de la réponse.





Pascal Colombani



Auteur de Le Dossier Noir des cartes bancaires (2001, Carnot) et Fraudes à la carte bancaire (2004, Carnot)



Contact : 01 30 53 75 05



www.fraudescartesbancaires.com