Le nombre de participants inscrits à cette table ronde illustre le fait que la fraude aux moyens de paiements est un sujet passionnant. Merci à Marie-Christine Caffet, Médiatrice auprès de  la Fédération Bancaire Française, à Christine Lensel-Martinat, Partner dans le Groupe ONEPOINT,  à Julien Lasalle, chef du Service de Surveillance des moyens de paiement scripturaux (SMPS) de la Banque de France, à Nicolas de Sèze,  vice-président de France Payments Forum et Secrétaire général du Cercle des médiateurs bancaires, à Thomas Roth, Head of Fraud and Risk Management chez Natixis Payments, à Franck Maillard, responsable des activités Scoring chez STET, à Jean-Pierre Doussot, vice-président de la Fédération des Tiers de Confiance du Numérique (FNTC), à Yannick Ragonneau, Consulting Partner Digital Leadership dans le Groupe ONEPOINT  et à Thomas Dognin, responsable des offres de lutte contre les crimes financiers chez IBM, d’avoir bien voulu  partager  leur expérience et leur vision lors de cette Table Ronde organisée par notre Groupe de Travail Sécurité et Lutte contre la Fraude

Hervé Sitruk – Président de France Payment Forum

Introduction

La lutte contre la fraude est une course-poursuite permanente. Comment mieux protéger les clients, les banques et les marchands sans entraver la fluidité des opérations ? Tel est l’équilibre délicat à rechercher.

Cette Table Ronde s’est déroulée en trois temps :

  • État des lieux des typologies de fraudes, avec les interventions de Julien Lasalle, Nicolas de Sèze et Marie-Christine Caffet.
  • Retours d’expériences de terrain, avec les interventions de Thomas Roth et de Franck Maillard, complétées par un éclairage sur l’intégrité de l’identité numérique par Jean-Pierre Doussot.
  • L’apport des technologies, avec les interventions de Yannick Ragonneau et de Thomas Dognin.

Etat des lieux des typologies de fraude

Julien Lasalle, Chef du Service de Surveillance des moyens de paiement scripturaux de la Banque de France et Secrétaire de l’Observatoire de la sécurité des moyens de paiement

Rappel du contexte

La crise sanitaire et les confinements successifs se sont traduits par des évolutions de comportement des consommateurs et des commerçants, avec en particulier :

  • Une « aversion au contact » qui a conduit à délaisser certains instruments de paiement tels que le chèque, les espèces et même le carte avec saisie du code PIN.
  • Un report vers le e-commerce, avec un développement des livraisons à domicile et du click and collect.
  • Le relèvement de 30 à 50 euros du plafond du paiement sans contact, qui a joué un rôle de stimulant assez remarquable sur l’usage des moyens de paiement.

Quand on considère la fraude et la résilience des moyens de paiement face à la fraude, il faut tenir compte de cette nouvelle équation :

  • Historiquement, le taux de fraude sur les cartes était très bien maîtrisé grâce à la saisie du code PIN (pour les paiements de proximité), mais le paiement à distance représentait les deux tiers de la fraude pour seulement 15% des transactions.
  • Aujourd’hui, on utilise moins le mode le plus sécurisé (saisie du code PIN) et plus le sans-contact, mais le taux de fraude s’améliore car les banques ont mis en place des dispositifs de prévention supplémentaires.
  • Par ailleurs il est impératif de réduire la fraude sur le e-commerce, devenu un canal majeur du commerce et de la consommation (et qui le restera probablement).

On est aujourd’hui dans la dernière ligne droite de la migration à l’authentification forte. Celle-ci était vraiment nécessaire à la confiance dans le e-commerce et à la maîtrise du taux de fraude face à l’évolution des habitudes de paiement de nos concitoyens. Le bilan en sera présenté dans le rapport annuel 2020 de l’OSMP (qui sera publié début juillet).

Nouvelles techniques des fraudeurs et nouveaux enjeux

Les fraudeurs se concentrent aujourd’hui sur:

  • Le chèque qui, depuis 2019, est devenu l’instrument de paiement le plus fraudé, avec un développement des techniques dites de « fraude à la mule » : un fraudeur recrute, généralement via les réseaux sociaux, des personnes auxquelles il promet un gain facile et/ou adresse un appel à l’aide du genre : « je suis interdit bancaire, pouvez-vous encaisser ces chèques à ma place et m’en verser le montant par virement ou en espèces ? ». La victime (qui, sans en avoir nécessairement conscience, se rend complice du fraudeur) encaisse les chèques et remet les fonds au fraudeur, mais les chèques sont ensuite rejetés. Un certain nombre de cas de ce genre ont fait les titres de l’actualité ces derniers mois, dans un contexte où l’isolement dû au confinement a accru le recours aux réseaux sociaux.
  • Le phishing, avec des mails de mieux en mieux contrefaits. Il y a quelques années, les mails de phishing étaient assez faciles à identifier (fautes d’orthographe, logos mal imités…). Aujourd’hui, ils sont de plus en plus difficiles à détecter.
  • L’ingénierie sociale: le fraudeur se fait passer, par exemple, pour un technicien de la banque du client ayant besoin de faire des tests de sécurité dans le but d’amener le porteur à valider des transactions qui sont en réalité frauduleuses.

L’un des enjeux essentiels est l’éducation du public. La DSP2 s’est certes traduite par un haut niveau de raffinement technologique et de vrais efforts de la part de l’ensemble des acteurs de la chaîne des paiements, mais aujourd’hui ce sont les utilisateurs qui constituent « le maillon faible ». Il faut les amener à adopter les mêmes réflexes de vigilance sur les paiements en ligne que ceux qu’ils ont acquis pour les paiements au point de vente : de même qu’on ne partage pas sa carte ou son code PIN, on ne doit pas non plus communiquer des codes de validation par mail, par téléphone ou dans une fenêtre internet mal identifiée.

Nicolas de Sèze, vice-président de France Payments Forum et Secrétaire général du Cercle des médiateurs bancaires

En moyenne pour l’ensemble des médiateurs bancaires, la part des litiges portant sur les moyens de paiement est passée de 25% en 2017 à 45% en 2019 et 53% en 2020. La sécurité des moyens de paiement est donc pour le Cercle des médiateurs bancaires un sujet essentiel, sur lequel il organise régulièrement à l’intention de ses membres des séances de formation ou de mise à niveau (dont Julien Lasalle est l’un des invités habituels).

Quelques constats

  • Les cas de fraude à la carte bancaire suscitent de fortes incompréhensions. D’un côté, les clients sont persuadés qu’ils bénéficient d’un droit inconditionnel à remboursement ; de l’autre côté, les banques ont tendance à invoquer quasi-systématiquement la négligence grave du client. Les textes disposent que c’est à la banque de prouver cette négligence grave, et la Cour de cassation considère que cette preuve « ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés« . Mais il peut y avoir d’autres éléments de preuve. Ainsi par exemple, la Cour de cassation a jugé qu’un client pouvait avoir commis une négligence grave en répondant à un mail de phishing dont « un utilisateur normalement attentif » pouvait se douter qu’il était frauduleux.
  • Les techniques de fraude sont de plus en plus sophistiquées : messages de phishing ou contrefaçons de sites internet de plus en plus plausibles ; fraudeurs se faisant passer pour un conseiller bancaire, un responsable sécurité, voire pour un policier, et ayant au préalable « profilé » leurs victimes pour cerner leurs vulnérabilités.
  • Face à cette sophistication, les mises en garde sont de plus en plus précises, sur les sites officiels tout comme sur les sites de nombreux opérateurs privés. Mais il s’agit d’une course-poursuite permanente avec les fraudeurs.
  • L’authentification forte, désormais en vigueur, devrait améliorer sensiblement les choses. Mais paradoxalement, comme l’a souligné le site gouvernemental cyber malveillance, l’actualité de ces derniers mois autour de la DSP2 a même été exploitée par les fraudeurs pour mieux abuser leurs victimes.
  • Enfin, comme il l’écrit dans son rapport d’activité 2020, Nicolas de Sèze souligne l’importance de la pédagogie dans le rôle du médiateur. Dans un contexte où l’information du public passe bien souvent par des sites internet, réseaux sociaux, ou forums de discussion qui véhiculent parfois des idées reçues ou des approximations, le consommateur attend du médiateur qu’il joue un rôle de « tiers de confiance », capable de traduire en termes simples des choses qui sont par nature complexes et techniques.

Marie-Christine Caffet, Médiatrice auprès de la Fédération Bancaire Française (FBF)

Rôle de la médiatrice et méthode de travail

La médiation auprès de la FBF compte 130 banques adhérentes, dont 95% des banques en ligne, la quasi-totalité des petites banques et tout ou partie de trois grands réseaux bancaires. La médiatrice, qui est totalement indépendante à l’égard de la FBF et des banques adhérentes, a une équipe de près de vingt collaborateurs. Elle a reçu en 2020 presque 7 000 saisines, dont plus de la moitié sont relatives à des fraudes ou escroqueries sur les moyens de paiement.

Lorsque la médiatrice est saisie d’un cas de fraude ou d’escroquerie, elle demande à la banque concernée de lui fournir les éléments dont elle dispose pour lui permettre de vérifier s’il y a eu négligence grave du client, si l’opération a fait l’objet d’une authentification forte, s’il y a eu phishing ou vishing avec validation effective de l’opération par la victime. Au vu des éléments fournis par le client et la banque, un juriste de l’équipe fait une analyse très fouillée, validée par un juriste senior puis complétée par une proposition de solution qui est transmise à la médiatrice. Celle-ci échange en direct avec le juriste en charge du dossier pour s’assurer que la proposition de solution est conforme en droit mais aussi qu’elle va dans le sens de l’équité, puisque la médiation consiste aussi à apprécier, au vu des circonstances, si une mesure d’équité peut être proposée à la banque.

Typologie des fraudes : distinction entre fraude et escroquerie

  • La fraude peut se définir comme « un acte réalisé en utilisant des moyens déloyaux destiné à surprendre un consentement, obtenir un avantage matériel ou moral indu, ou réalisé avec l’intention d’échapper à l’exécution des lois« .
  • L’escroquerie est définie dans le code pénal (article 313-1) comme « le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge« .

Comme elle l’explique dans son rapport d’activité 2020, Marie-Christine Caffet  constate « de moins en moins de fraudes inexplicables et de plus en plus d’escroqueries » :

  • Moins de cas de fraudes inexplicables car avec la montée en régime de l’authentification forte, il est désormais plus facile de repérer qu’une opération que le client dit ne pas avoir autorisée a été effectuée par un proche qui a eu accès à ses données et à ses appareils ;
  • Plus de cas d’escroquerie, avec une participation involontaire de la victime, ce qui renvoie à ce que disait plus haut Julien Lasalle à propos de la nécessaire « éducation du public ».

S’agissant des escroqueries, on peut en distinguer deux catégories :

  • Escroquerie à l’opération (vishing) : le fraudeur appelle le client au téléphone en se faisant passer, par exemple, pour un responsable du service de lutte contre la fraude de la banque, et dit à la victime « je vais vous envoyer une notification que vous devrez valider pour permettre de refuser l’opération ». La banque dispose alors des éléments prouvant que c’est bien le client qui a validé l’opération, sur l’appareil qui a été enregistré et avec un code personnel qu’il est seul à connaître (ou avec son empreinte digitale).
  • Escroquerie à l’installation de l’authentification forte (également appelée enrôlement). Le client clique sur un mail, un sms ou un site de banque, et il croit être en train d’installer l’authentification forte. Mais en réalité, il a donné ses identifiants et codes d’accès à un fraudeur qui, à l’insu du client mais aussi à l’insu de la banque, a installé le système d’authentification forte sur son propre appareil.

Recommandations

Marie-Christine Caffet a, dès 2019, recommandé aux banques de mettre en place des alertes et des temporisations de façon à vérifier qu’il y a bien une concordance entre l’appareil sur lequel a été installée l’authentification forte et celui qui est identifié dans leurs bases de données. La plupart des banques ont désormais mis en place des systèmes de prévention des fraudes qui reposent sur des scorings de détection d’opérations répétées ou anormales et qui commencent maintenant à repérer les discordances entre les appareils enregistrés et les appareils sur lesquels interviennent des opérations douteuses.

Toutefois, il faut aussi être conscient qu’environ 10% des clients des banques sont dans une situation de grande vulnérabilité et ne maîtrisent pas les techniques sophistiquées qui vont avec l’authentification forte.

En conclusion, Marie-Christine Caffet fait part de ses craintes à l’égard du virement instantané, car le temps d’analyse ne permet pas un scoring pertinent, cependant que le montant moyen de la fraude (au virement) est potentiellement très supérieur à celui de la fraude à la carte.

Retours d’expériences de terrain

Thomas Roth, Head of Fraud and Risk Management chez Natixis Payments

Retour sur le contexte particulier de la crise sanitaire

L’évolution des habitudes de paiement évoquée par Julien Lasalle, qui fait que plus de la moitié des transactions ne bénéficient plus de la saisie du code confidentiel (qui offre le meilleur niveau de sécurité),  a contraint l’ensemble des acteurs de la chaine des paiements à accélérer sur les dispositifs de détection. Il convient de rappeler que pendant cette période de migration vers les dispositifs répondant aux exigences de la DSP2,  les établissements tels que Natixis Payments, mais aussi les Fintechs spécialisées dans l’acceptation des e-commerçants pour leur permettre de mettre en place du jour au lendemain une boutique de vente en ligne, ont été contraints de mener de front deux migrations :

  • Une migration vers Securepass, avec aujourd’hui plus de transactions faisant l’objet d’une authentification forte via un smartphone que via un sms ;
  • Les incitations par « soft decline« , c’est-à-dire un code retour envoyé par la banque au commerçant pour lui notifier que la transaction n’est plus conforme car insuffisamment sécurisée. La nouvelle version (V2) de 3D Secure permet une évaluation du risque au sein de l’échange de données entre le commerçant et l’émetteur de la carte.

Nouvelles typologies de fraude : quels impacts et quelles solutions pour les contrer ?

La problématique du moment est le phishing actif : l’ingénierie sociale, les données auxquelles les fraudeurs ont accès pour « profiler » leurs victimes (habitudes de consommation et d’utilisation des réseaux sociaux) sont absolument imparables. Ceci a conduit les banques à investir lourdement dans des méthodes de détection basées sur des algorithmes de machine learning qui leur permettent de bloquer beaucoup de transactions frauduleuses, mais pas toutes. C’est en effet une course-poursuite permanente.

La DSP2 impose un changement de paradigme en donnant à la banque émettrice du moyen de paiement plus de responsabilités, puisque in fine c’est elle qui doit exempter la transaction de l’authentification forte, si besoin il y a. Face à la sophistication des attaques des fraudeurs, la réponse des banques doit être intense et permanente.

Franck Maillard, responsable des activités scoring chez STET

Méthodes mises en place pour détecter les opérations frauduleuses

STET a mis en place deux dispositifs de scoring :

  • L’un pour les transactions par cartes, principalement au sein du réseau d’autorisation : scoring des opérations au niveau de l’authentification pour évaluer s’il y a besoin ou non d’une authentification forte, complété par un suivi au niveau des opérations d’autorisation pour avoir une deuxième « barrière » ;
  • L’autre pour les opérations SEPA (SCC, SDD et SCTinst), afin de détecter les fraudes sur les virements et d’identifier aussi les risques sur les prélèvements.

Même si les types de fraude sont différents selon qu’il s’agit de transactions carte ou d’opérations SEPA, les techniques mises en œuvre dans ces deux dispositifs sont les mêmes (statistiques, machine learning, réseaux de neurones…).

Mais bien sûr, pour être efficaces, les analystes (data scientists) qui travaillent sur ces éléments d’information ont besoin non seulement de données exhaustives, mais aussi de l’éclairage des experts « métiers » sur les techniques de fraude afin notamment d’identifier les cas atypiques ou les ruptures comportementales.

Difficultés rencontrées

Les difficultés rencontrées sont principalement liées aux aspects réglementaires, notamment le RGPD. Les systèmes de détection respectent bien sûr la réglementation. La tokenisation permet certes de sécuriser certains éléments-clé d’identification des personnes, tels que l’IBAN, l’adresse mail ou le n° de téléphone. Mais pour d’autres données à caractère personnel également nécessaires au scoring telles que l’adresse IP, l’adresse de livraison ou l’adresse de facturation, la tokenisation est plus difficile. Il faut donc prendre en compte ces contraintes pour assurer, conformément aux dispositions du RGPD, une « privacy by design« .

Jean-Pierre Doussot, Vice-Président de la Fédération des Tiers de Confiance du numérique

Présentation de la FNTC

Créée en 2001 par les professions règlementées, les opérateurs/éditeurs de services de confiance numériques et les Autorités de Certification, la FNTC a pour mission de promouvoir les techniques et méthodes visant à garantir la confiance dans le numérique. Elle met en place des référentiels de bonnes pratiques et élabore des labels qui viennent compléter les normes et certifications. Elle participe aux travaux de normalisation. Ses travaux sont structurés autour de groupes de travail qui se réunissent régulièrement (GT Archivage, GT Blockchain, GT e-finance, GT KYC, GT RGPD…).

Exemple de réalisation

Il y a trois ans, les banques ont fait part à la FNTC d’une expression de besoin. Elles constataient en effet une évolution dans le matériel informatique, dans le télétravail et dans les risques de fraude (notamment de fraude interne) auxquels elles étaient exposées, avec des usurpations de signature électronique ou d’authentification forte et une certaine négligence dans la gestion des clés cryptographiques et des postes de travail.

Le CFONB et les grands groupes bancaires ont demandé à la FNTC de pouvoir rencontrer les opérateurs et éditeurs de solutions de plateformes bancaires et les autorités de certification afin de répondre à leurs réflexions face à cette problématique d’évolution du parc et des usages de leur clientèle d’entreprises. Le besoin était donc de renforcer la sécurité en généralisant l’authentification forte par des modèles cryptographiques et des solutions de signature électronique.

Ce projet a été très instructif, car il a illustré la nécessité de mieux écouter les donneurs d’ordres dans l’évolution de leurs besoins. Ce n’est en effet pas uniquement une problématique réglementaire : c’est aussi une problématique des usages des utilisateurs finaux, de leurs environnements et de leurs habitudes de travail. Et le développement du télétravail lié à la crise sanitaire a accéléré ce processus.

Ceci a conduit à se doter, pour les besoins du projet, d’un « démonstrateur » d’authentification forte et de signature en mobilité à partir de solutions de type tablette, téléphone portable ou PC portable. Ceci avec un prérequis d’interopérabilité entre les banques car il ne s’agissait pas, bien sûr, de bâtir des solutions propriétaires.

Bien que les travaux aient pris un peu de retard du fait de la crise sanitaire, la solution est aujourd’hui finalisée et va pouvoir être mise en exploitation avec un ou deux groupes bancaires. La méthode de travail adoptée pour ce projet a permis d’être plus agiles en matière de déploiement de solutions qui, technologiquement, évoluent constamment

L’apport des technologies

Yannick Ragonneau, Consulting Partner Digital Leadership dans le Groupe OnePoint

Dans le cadre de ses missions, le groupe OnePoint partage le constat de la Banque de France sur l’accélération de l’usage des moyens de paiements digitaux, mais aussi, sur la fraude associée.

Par ailleurs, il est clair que la crise sanitaire est un véritable catalyseur d’innovations en matière de :

  • Enrôlement à distance
  • Protection et sensibilisation des clients
  • Plateformes de paiement et d’acceptation simplifiées
  • Accompagnement et coordination entre prestataires et industriels

Les paiements transactionnels deviennent de plus en plus numériques, le paiement est désormais principalement électronique et s’articule autour de la validation et de l’authentification. La question clé pour les paiements électroniques est l’exigence d’une authentification forte du client, preuve d’un consentement fort.

Les techniques innovantes à disposition actuellement pour sécuriser les opérations portent sur les domaines suivants :

  • Sécurité (scan biométrique, vérification de documents, signature électronique)
  • Contrôle (accès à distance)
  • Flexibilité (niveau de sécurité préféré)
  • Expérience client (vitesse des opérations, assistance à distance, transactions en ligne grâce aux données biométriques)

Il est nécessaire de trouver un équilibre entre la cybersécurité active et les gains d’efficacité opérationnelle obtenus grâce à l’identité numérique. Il faut noter que le fait de passer à une identité numérique revient à embarquer l’identité comme pivot de toute opération ; on parle de ‘digital at core’.

Pour faire face à ces vulnérabilités et mettre en œuvre les exigences en matière d’identité, l’identité unique semble être la clé, mais aussi pour accroître les avantages et générer de meilleurs retours sur investissement.

Il y a deux grandes façons de mettre en œuvre l’identité numérique unique :

  • Accélérer l’onboarding du client par l’utilisation de technologies biométriques et en augmentant la force de l’authentification dans le traitement de ses transactions.
  • Utiliser les technologies biométriques pour le paiement instantané : cela apporte une flexibilité accrue et permet d’augmenter les flux pour les services de paiement.

En conclusion, la plupart des menaces informatiques se multiplient et évoluent rapidement, il est donc nécessaire de poursuivre les travaux en matière de sécurité pour construire un écosystème fort.

Le « modèle économique » de la cybercriminalité repose sur la création d’une chaîne de valeur qui propose de nouvelles méthodes, notamment la cybercriminalité en tant que service, c’est-à-dire la facilitation d’activités illégales par des services

Pour faire face à cette menace la collaboration et la co-construction entre les acteurs sont cruciales

Thomas Dognin, responsable des offres de lutte contre les crimes financiers chez IBM

Quels principaux axes d’innovation émergeant aujourd’hui ?

  • D’une part, l’intelligence artificielle (IA) et le Machine Learning, dans une logique de point d’attention et d’amélioration continue.
  • D’autre part, l’informatique quantique, avec son potentiel d’accélération des calculs et de brassage de l’information

Tout le monde parle d’IA, en quoi est-ce un domaine d’innovation ?

  • Les algorithmes existent pour la plupart depuis bien longtemps, mais leurs usages se perfectionnent. On voit, notamment dans les travaux de recherches appliquées chez IBM, de nouvelles méthodes émerger, beaucoup plus précises et fines, pour représenter le « réel », par exemple les algorithmes et méthodes d’Intelligence Artificielle neuro-symbolique.
  • Les domaines d’innovation résident dans le couple « data/IA ». La question est toutefois : les institutions financières, l’État… sont-ils prêts à joindre les silos ?
  • Autre domaine d’innovation : les algorithmes et l’explicabilité. Ils sont intéressants sur les domaines de la fraude, obligatoires pour les domaines de la conformité.
  • Enfin, l’auto-apprentissage permanent, le recalibrage des algorithmes, et l’amélioration continue : système autonome sous contrôle de l’humain

Informatique quantique, rêve ou réalité ?

  • L’informatique quantique en synthèse et perspective d’industrialisation
  • Les domaines estimés clés pour le quantique : en lien avec le sujet de cette table ronde, on peut citer le domaine de la cryptographie et celui de la LCB-FT (lutte contre le blanchiment d’argent et le financement du terrorisme)
  • Et pour la fraude …. Pour traiter toujours plus rapidement le couple (data/IA), avec des volumes de données beaucoup plus importants.
  • In fine rendre les contrôles de plus en plus précis et le moins présents possible dans la chaîne des paiements.

En conclusion

Partant du constat que la fraude atteint un niveau  très élevé de sophistication qui crée des situations de risques plus importantes (montant plus élevés, industrialisation des fraudes, organisation criminelles organisées …), sous la houlette du régulateur, des établissements financiers et plus largement de l’ensemble des acteurs de la place, un écosystème se forme depuis plusieurs années pour structurer les apports de chacun et des réponses innovantes et coordonnées à ce risque permanant.