Comment acheter en ligne par carte bancaire et en sécurité ?

Les Français achètent massivement par carte bancaire sur Internet, c’est un fait.

Principale ombre au tableau, cette explosion du e-commerce s’accompagne d’une montée en puissance du nombre de fraudes.
Ainsi, si on se fie aux données brutes, la criminalité semble délaisser les rues pour succomber aux sirènes du web… Alors, que faire dans ces conditions? Surtout, ne pas paniquer, car des parades existent !

Sur cette page, Nextbanq dresse un point complet sur le paiement en ligne par carte bancaire, pour qu'acheter reste toujours un plaisir !

SOMMAIRE

• L’état des lieux
• Le self-défense, c’est la base
• Les ripostes montées par les banques
• Des achats ont été effectués en mon nom, que faire ?
• Il n’y a pas que la carte bancaire dans la vie…

L’état des lieux

Représentant un peu plus de 10% de la totalité des paiements en France en 2017, les achats en ligne représentent pourtant près de 40% des fraudes constatées. Un chiffre qui signifie à lui tout seul l’étendue des dégâts. Les Français ne sont cependant pas dupes, car si 75% de la population a déjà réalisé un achat sur Internet, près de la moitié d’entre eux avouent ne pas avoir une confiance absolue au moment de passer en caisse.

Motif d’optimisme, comme pour les fraudes dans « la vie réelle » qui sont tombées à un plus bas historique, les mêmes règles de bonne conduite comme ne pas divulguer son code secret, mais appliquées au web, permettent de retrouver une réelle confiance dans l’économie numérique.

Le self-défense, c’est la base

Aujourd’hui, il ne viendrait à personne l’idée de retirer du liquide dans un lieu peu sûr, en composant son code à la vue de tous, avec les deux jambes plâtrées. Sur Internet, les mêmes causes produisent les mêmes effets !

Voici donc les trois risques majeurs auxquels s’expose le cyberacheteur :

• La réputation de l’e-marchand : comme dans la vraie vie, des commerçants peuvent faire une utilisation peu scrupuleuse des informations confidentielles laissées par l’internaute. Toujours privilégier un site qui inspire confiance, avec une marque connue et une clientèle identifiable (voir des avis de clients, aller sur un forum, en cas d’incertitude) est une règle de base.
  A contrario, éviter les sites basés dans des paradis fiscaux ou dont les informations sur le propriétaire ne sont pas claires, car en cas de soucis, les chances de résoudre la situation sont fortement amoindries. Attention donc aux publicités trop alléchantes qui tombent sans prévenir dans la boîte email !
  
• Les logiciels malveillants : virus, logiciels espions ou encore la technique de l’hameçonnage, le risque lié à la sécurité informatique ne doit pas être sous-estimé. Pour ces raisons, toute opération de paiement à partir d’un cybercafé est à proscrire, et ne doit être réalisée au contraire que depuis un environnement sécurisé (à la maison, au travail, etc...). Cet article sur la sécurité des banques en ligne contient les règles d’or à respecter, et s’applique donc parfaitement à la sécurité du e-commerce d’une manière globale.
  
• La perte de données : malheureusement, certaines sociétés, même parmi les plus prestigieuses, ne sont pas à l’abri d’une cyberattaque, qui pourrait déboucher sur un vol des données personnelles. De nombreux exemples existent (Sony Playstation notamment) et l’utilisateur ne peut pas grand-chose pour diminuer ce risque, qui n’est d’ailleurs pas exclusif à l’Internet. Cependant, la meilleure parade reste encore de consulter ses comptes très régulièrement, afin de faire preuve de réactivité en cas d’anomalie constatée. En effet, la première chose à faire dans ce cas est de contacter sa banque, comme nous verrons plus bas. 

C’est en repérant ces menaces, élémentaires diront certains, que le client peut envisager d’acheter en ligne avec sérénité.

Cependant, conscientes de ce problème et face aux enjeux colossaux que représente le développement de l’économie numérique, les banques ne sont pas inactives et proposent différentes méthodes pour améliorer la sécurité des achats.

Les ripostes montées par les banques

Tout d’abord, pour faire une transaction en ligne par carte bancaire, méthode de paiement préférée des cyberacheteurs, 3 informations sont indispensables :

• Le numéro de la carte bancaire
• La date d’expiration
• Le numéro de vérification (code à 3 numéros au dos de la carte)

En se plaçant un instant du côté du fraudeur, le but du jeu est donc de disposer de ces trois informations au moyen d’une des méthodes vues précédemment. Sans ces identifiants,  point de transaction ! Mais même avec ces informations en sa possession, notre fraudeur ne bénéficie pas pour autant d'un boulevard à sa disposition, car les banques veillent...

Le dispositif 3D Secure

La principale parade déployée par les banques se nomme le 3D Secure, dont le concept est le suivant : grâce à un filtre supplémentaire à la fin du paiement, la personne derrière l’écran doit en plus s'identifier comme étant titulaire de la carte bancaire.

Le nom 3D Secure n’a rien à voir avec une éventuelle technique impliquant de porter des lunettes, mais souligne en fait que trois domaines de protection sont vérifiés simultanément :

• Le lien entre le marchand en ligne et sa banque
• Le lien entre la banque du client et la banque du marchand en ligne
• Le lien entre le client et sa banque

Pour la partie qui nous intéresse plus spécialement, c’est-à-dire celle entre le client et sa banque, diverses méthodes sont en place pour assurer l’identité de la personne qui rentre les informations bancaires. Ces méthodes varient selon la banque du client :

• Un code SMS à usage unique envoyé au numéro de téléphone du client
• Une partie de « bataille navale », c’est-à-dire introduire un code indiqué à partir d’un support fourni par la banque, et qui comprend de nombreux codes
• Insérer la carte bancaire dans un lecteur fourni par la banque, et qui indique à chaque fois un code à usage unique
• Utiliser un mot de passe dont seul le client a connaissance, et fourni préalablement à la banque

Ces méthodes sont en réalité proposées par les deux grands réseaux de distribution de cartes bancaires, Visa et Mastercard, et ce sont ensuite les banques qui les relaient à leurs clients. Pour cette raison, les expériences d’achats varient en fonction de la banque attachée à chaque client.

En termes d’efficacité, il faut ainsi savoir que le 3D Secure a fait ses preuves comme réduisant considérablement les possibilités de fraude, même si le degré zéro n’existe pas, et n’existera probablement jamais.

Principale limite au 3D Secure, seuls les commerçants affichant les logos « Verified by Visa » ou « MasterCode SecureCode » incluent ce filtre supplémentaire d’authentification. La raison est qu’en rajoutant cette étape, ceux-ci se sont rendu compte d’une perte de leur chiffre d’affaires d’environ 10%.
Toutefois, en se mettant à la place du consommateur, il est rassurant de savoir que dans la pratique, les « petits sites » ont l'obligation d'utiliser le 3D Secure, tandis que les « gros sites » gardent le choix. Or, en achetant sur un site à la réputation établie (Amazon, PriceMinister, Pixmania, etc…), le risque d’une mauvaise utilisation des informations bancaires de la part du marchand est fortement diminué.

La carte bancaire virtuelle

En plus de la méthode d’authentification 3D Secure, de nombreuses banques proposent un système très efficace de carte virtuelle. Le principe est le suivant : plutôt que d’utiliser le véritable numéro de la carte bancaire, le client rentre un « faux » numéro fourni par la banque !

Voici dans le détail le fonctionnement de la carte virtuelle :

• Etape 1 : se connecter dans l’espace client de la banque et aller dans la section adéquate
• Etape 2 : sélectionner le montant maximum d’achat, et la durée de validité du numéro virtuel
• Etape 3 : le client reçoit un numéro de carte bancaire unique, valable que pour le montant et la durée déterminés.

Grâce à ce numéro virtuel, le risque de vol du vrai numéro de carte est donc tout simplement réduit à néant

Par contre, le revers de la carte virtuelle est que certains marchands (tickets de concerts, d'évènements sportifs, transports, etc...) conditionnent le retrait des billets à l'utilisation de la "vraie" carte bancaire. La carte virtuelle n'a alors plus aucun intérêt !

Dans ce cas de figure, c'est donc au client de repérer en amont la méthode de paiement la plus appropriée.

Parmi les banques en ligne, Fortuneo est la seule à proposer ce service (gratuitement), tandis que les banques traditionnelles facturent en moyenne une dizaine d’euros par an.

Les cartes bancaires "technologiques"

Les banques traditionnelles ont pris le taureau par les cornes pour proposer de nouvelles cartes bancaires plus sécurisées, en profitant des possibilités offertes par la technologie.

Ainsi, nous dénombrons deux nouveaux types de cartes :

• La carte biométrique : avec un lecteur d'empreinte digitale intégré à la carte, l'acheteur doit réaliser un paiement sans contact en pressionnant le pouce au bon endroit sur la carte afin de valider son achat
• La carte à cryptogramme dynamique : le cryptogramme, ces trois numéros au verso de la carte, est changé à intervalles réguliers, par exemple toutes les heures. Cette protection supplémentaire est donc dédiée aux achats en ligne.

Ces protections supplémentaires constituent à coups sûrs des remparts bienvenus contre la fraude. Toutefois, elles sont facturées avec un coût supplémentaire par rapport aux cartes classiques.

Pratique normale pour un service supplémentaire ?

La question mérite d'être débattue, car la sécurité des moyens de paiement relève en théorie de la responsabilité des banques, et non des clients.

Or, en vendant plus cher des "options de sécurité", les banques gagnent de l'argent tout en diminuant le coût lié à la fraude...

Des achats ont été effectués en mon nom, que faire ?

La tuile ! Malgré toutes vos précautions, un fraudeur a tout de même réussi à faire ses emplettes sur Internet grâce à votre numéro de carte... Ce scénario, bien qu’il ne soit pas plaisant, n’est toutefois pas aussi dramatique qu’à première vue. La parole est à la défense !

En théorie : la loi est à 100% du côté du consommateur

Plutôt que de réciter les textes de loi, allons directement à l’essentiel :

• En cas de perte ou de vol de ses moyens de paiement, le consommateur n’est redevable que d’une franchise jusqu'à 50€
• Sur Internet, le consommateur n’est redevable de cette franchise de 50€ que dans le cas où le fraudeur a réussi à passer à travers les mailles du 3D Secure
• La banque est alors tenue de rembourser le consommateur immédiatement, ainsi que tous les frais annexes engendrés

En contrepartie, les seuls cas de figure où le consommateur est tenu comme responsable sont :

• Le consommateur a lui-même pris part à la fraude
• La banque peut prouver que le consommateur a été négligent envers la protection de ses propres données confidentielles, ou bien que celui-ci a trop tardé pour dénoncer la fraude

En d’autres termes, à partir du moment où une fraude est constatée, la loi stipule clairement que le consommateur doit simplement contacter sa banque, pour que celle-ci reverse immédiatement les sommes volées, sans omettre les frais annexes dus à la fraude le cas échéant (coût de la nouvelle carte bancaire, découvert potentiel ou incident de paiement, etc…).

Difficile de bénéficier d’une réglementation plus protectrice !

En pratique : les banques traînent souvent des pieds

D'après une enquête du magazine Que Choisir, les banques ont une interprétation parfois particulière des textes de loi...

En effet, celles-ci n’hésiteraient pas à demander l’enregistrement d’un dépôt de plainte comme condition indispensable pour engager la procédure de remboursement.

Ce qui dresse un tableau peu reluisant des pratiques bancaires :

• Du fait du caractère non obligatoire du dépôt de plainte, les commissariats peuvent tout simplement refuser de l’enregistrer, ce qui amène le client à se retourner une nouvelle fois vers la banque, pour une procédure qui se retrouve allongée (si celui-ci persiste !)
  
• Les banques oublient souvent que les frais annexes engendrés par la fraude sont aussi à prendre à leur charge
  
• Dans les cas extrêmes, le discours tenu est tout simplement faux dans le but de faire souscrire une assurance des moyens de paiement

Difficile de généraliser pour dire si toutes les banques se comportent de la même manière, mais si le consommateur peut compter sur des textes de loi très favorables, il faut encore les connaître !

Dans ces conditions, le consommateur ne doit pas hésiter à rappeler les obligations de la banque au conseiller, et ainsi « mettre la pression » pour obtenir un remboursement accéléré, avec la prise en compte des frais annexes.

Sans un maximum de réactivité de la part du client, le délai de règlement risque ainsi de dépasser la barre des 3 mois, quand la loi stipule un versement immédiat.

Une nouvelle protection pour le consommateur : découvrez Perceval !

Face à ce tableau globalement peu reluisant, le vent est heureusement en train de changer en faveur des consommateurs.

Depuis 2018, un service dénommé Perceval a été mis en ligne par la gendarmerie nationale.

A condition d'avoir toujours en sa possession la carte bancaire incriminée et d'avoir fait opposition sur celle-ci, Perceval permet de gagner en efficacité :

• Plus besoin de se déplacer en gendarmerie grâce à la dépose du dossier en ligne, avec en retour un numéro de suivi à faire parvenir à sa banque
• Le remboursement est donc en théorie plus rapide de la part de la banque
• Grâce aux données collectées, la gendarmerie est en mesure de faire des recoupements plus facilement et de lutter plus efficacement contre les fraudes

Une initiative dont l'existence même est la preuve d'un déficit d'application des lois existantes, mais dont l'intérêt ne fait aucun doute pour le consommateur...

Il n’y a pas que la carte bancaire dans la vie… découvrez les méthodes alternatives

Avec 80% des achats sur le web réalisés par carte bancaire, il est sûr que ce moyen de paiement se taille la part du lion… Mais attention, ce n’est pas la seule manière de régler ses achats en ligne :

• Portemonnaie électronique : ils se nomment Paypal ou Apple Pay. Le principe est d’ouvrir un compte, de le créditer à l’aide de dépôts sécurisés par carte bancaire ou par virements, pour ensuite disposer librement de cet argent sur les sites marchands qui présentent le logo du portefeuille électronique. Le niveau de sécurité est très élevé, et les paiements se font très rapidement grâce simplement à un mot de passe et une adresse email.
• Virement : certains commerçants acceptent le traditionnel virement bancaire, bien que si le délai de paiement peut varier en quelques secondes et jusqu'à deux semaines..

Ces méthodes alternatives de paiement rencontrent de plus en plus de succès auprès des internautes, portées par le besoin global d’un meilleur contrôle des dépenses, de sécurité et de respect de la vie privée.

Malheureusement, leur principale limite est une forte dépendance aux marchands en ligne, qui n’acceptent que très rarement l’intégralité des moyens disponibles…

Par conséquent, le consommateur ne doit donc pas hésiter à vérifier par avance la présence du moyen de paiement convoité sur ses sites de vente favoris.

<!-- LE GUIDE DE LA BANQUE BIG BUTTON -->