Comment déjouer la fraude sur Internet

«Les fraudeurs font de la R&D, ils recherchent des failles en multipliant les tests», a expliqué Didier Douilly, major du pôle financier et contrefaçon à la Gendarmerie Nationale, lors des récents Enjeux e-tourisme organisés par L'Écho touristique et la Fevad. Et quand ils repèrent une brèche dans un système de protection des paiements, ils s'y engouffrent parfois en bandes organisées, afin d'optimiser leurs gains.

%%HORSTEXTE:1%%Une fraude à la carte bancaire a ainsi coûté plusieurs centaines de milliers d'euros à 57 compagnies aériennes entre 2009 et 2011, a raconté Didier Douilly. Les billets d'avion étaient revendus, avec un réseau bien organisé de complices, sur Leboncoin. Plus récemment, des voyageurs ont acquis frauduleusement des produits détaxés en vol. Ces passagers savaient que le personnel navigant ne pouvait pas vérifier, avant l'atterrissage de l'appareil, l'authenticité des codes tapés sur les terminaux de paiement TP€. Il est donc nécessaire de rester sur ses gardes, pour ne pas brûler ses marges, à cause d'usurpations répétées d'identité. Mais le sujet est sensible. Car si le client souhaite une transaction sécurisée, il refuse cependant que son parcours d'achat se transforme en parcours du combattant, avec trop de vérifications à la clé. Il faut trouver un point d'équilibre, pour éviter une diminution du taux de conversion.

Les limites de 3D Secure

%%HORSTEXTE:3%%Bonne nouvelle : le taux de fraude sur Internet a légèrement diminué en 2012 (voir l'infographie). Le développement de 3D Secure, qui a l'avantage de transférer le risque du marchand vers la banque, l'explique en partie. Voyages-sncf.com figure parmi les premiers grands sites marchands à avoir adopté un tel processus d'authentification, avec un code reçu par SMS. «Ce dispositif est désormais bien accepté par les clients», estime Nicolas Bosmans, responsable lutte contre la fraude de Voyages-sncf.com. Qu'en pensent les autres e-marchands ? Mi-2013, la Fevad a sondé ses adhérents, tous secteurs confondus. Le déploiement systématique de 3D Secure sur tout achat remporte seulement 16% des suffrages. 45% des répondants estiment qu'il peut avoir un effet défavorable, voire catastrophique, sur l'essor de l'e-commerce. Ils sont donc en majorité favorables à un 3D Secure sélectif, limité aux transactions considérées à risques. D'autant que le taux d'échec d'authentification 3D reste fort (17,5% en avril 2013). Travelfactory/Locatour, lui, a testé pendant une saison le mode sélectif, avant de revenir avec soulagement à du systématique. «Le 3D Secure systématique est bien admis dans le cadre d'un achat réfléchi comme des vacances à la neige. Ce n'est pas un frein à l'achat, mais un élément sécurisant», assure Ilan Koskas, directeur marketing et e-commerce du pure player. Le groupe estime avoir réglé la grande majorité des impayés sur le web, ce qui a déplacé une partie du problème vers le call center. «Du coup, nous avons renforcé les systèmes de vérification au téléphone», notamment pour les dossiers de dernière minute.

Le cas particulier du mobile

En plein essor, le mobile pose, lui, une certaine difficulté. «Le dispositif 3D Secure n'est pas encore optimal pour un parcours d'achat sur smartphone», explique Nicolas Bosmans, de Voyages-sncf.com, qui demande aux mobinautes le seul cryptogramme de leur carte bancaire. «Un grand effort doit être entrepris afin de l'adapter au mobile», note Ilan Koskas, de Travelfactory, qui l'a toutefois instauré sur l'ensemble des achats. Mais la plupart des sites s'en dispensent encore et les consommateurs mal intentionnés risquent d'en profiter. Autrement dit, tant que les entreprises n'auront pas trouvé une solution efficace pour les transactions validées sur les smartphones, le risque fraude restera palpable. Sans surprise, Ronan Le Mestre, responsable Risque Europe de ReD, société spécialisée dans la lutte contre la fraude, observe une migration des fraudeurs sur le canal mobile. Raison de plus pour renforcer ses mesures permettant d'endiguer la cybercriminalité, rappelées par ReD lors des Enjeux e-tourisme : redoubler de vigilance pendant les heures creuses, adapter sa stratégie à chaque canal, exploiter toutes ses données internes, gérer un tableau de bord en temps réel. «Il est possible de paramétrer et de modifier les règles de «scoring», afin de prendre en compte les nouvelles méthodes des fraudeurs, tout en préservant le parcours des vrais clients», souligne Ronan Le Mestre.

Le problème des virements

Dans la location saisonnière, les arnaques ont pris d'autres formes. HomeAway/Abritel et Leboncoin savent que les virements, vers des comptes à l'étranger pilotés par de petits délinquants, font toujours florès. Afin de limiter le nombre de locations fantômes, Abritel réalise un important travail d'informations auprès des consommateurs. Son site pousse également depuis un an les règlements par CB. «Nous n'avons pas de fraude avec les paiements par carte bancaire, grâce à notre processus d'authentification très strict», se réjouit Cyrille Coiffet, directeur général de HomeAway en France. Les sites marchands ont tout intérêt, aussi, à travailler ensemble, dans le respect de la protection des données personnelles si chère à la CNIL. Lastminute.com l'a bien compris. L'agence en ligne a passé des accords avec certains TO afin d'être remboursée en cas de suspicion de fraude détectée dans les 24h. La coopération entre professionnels peut être payante, la Fevad en est intimement convaincue.

%%HORSTEXTE:2%%%%HORSTEXTE:4%%