Les fraudes à la carte bancaire sont monnaie courante dans l'univers du web et particulièrement chez les fintech. En effet, les escrocs redoublent d'ingéniosité quand il s'agit d'arnaquer les internautes par diverses moyens, qu'il s'agisse d'un hacking ou d'une campagne de phishing.
Ce phénomène a été nettement endigué par le déploiement progressif de la DSP2 au sein de l'union européenne.
Néanmoins lorsque vous avez une plateforme web de type Fintech qui permet de stocker des fonds et les retirer à n'importe quel moment telle qu'une plateforme de néo-banque ou une plateforme de financement participatif, il ne suffit pas de compter sur la DSP2 et son authentification forte pour limiter le risque de fraude pour les 3 raisons suivantes :
La DSP2 n'est en vigueur que depuis septembre 2019 et de nombreuses banques ou états sont encore à la traîne.
L'authentification forte imposée par la DSP2 est une norme européenne et ce n'est donc pas applicable aux pays en dehors de celle-ci.
Même dans le cas d'une authentification forte, un risque de fraude est toujours présent : un exemple est donné ci-dessous.
Exemple de fraude malgré le 3DS
En tant qu'internaute et à l'approche des fêtes de Noel, je souhaite absolument me procurer une PS5 pour l'offrir à un de mes proches. Cependant, comme vous le savez peut-être, les stocks de PS5 sont très limités. Je tombe sur un nouveau site marchant qui vient justement d'avoir un nouveau stock de ps5 (bizarrement il ne vend que ça d'ailleurs).
J'effectue mes vérifications classiques avant de procéder au paiement par carte bancaire, on parle tout de même de 500 € :
Le petit cadenas est présent dans la barre d'adresse : le site est le HTTPS
En tapant "<Le nom du site> Arnaque" dans Google, je ne trouve pas de résultats
J'effectue donc mon paiement, le paiement me demande également le 3DS, c'est rassurant même si bizarrement mon application bancaire prend presque 1min30 à me demander de valider le paiement... Je valide le paiement, c'est parfait, on m'indique que je recevrai ma PS5 sous 1 semaine.
Je viens de me faire voler de 500 € et je ne recevrai jamais de PS5.
Comment est-ce possible ?
Le site marchand sur lequel je viens de saisir mes coordonnées de CB était en réalité un site frauduleux (phishing) et son propriétaire a récupéré en direct les coordonnées CB que j'ai fournies et a fait en parallèle un paiement d'un montant identique sur un compte crée avec une identité usurpé sur une banque en ligne ! Ce montage paraît alambiqué mais il est pourtant très rapide et simple a mettre en place.
Note : cet exemple est un cas réel que nous avons rencontré chez l'un de nos clients chez Capsens, l'agence de développement web et mobile spécialisée dans les fintech, qui héberge ce blog ;)
Comment faire dans ce cas pour éliminer le risque ?
Vous ne pouvez pas. En informatique, le risque 0 n'existe pas. De nouvelles failles seront sans cesse découvertes (hello Log4j).
Ok, quelles solutions pour réduire le risque ?
Solution 1 : Se prémunir contre l'usurpation d'identité : le KYC video
C'est en réalité ici que réside le problème de fond. Il est de nos jours très facile de se procurer sur Internet (notamment grâce au dark web) des documents d'identité volés.
Ensuite l'utilisateur peut alors se créer un compte et passer sans encombre les mesures de vérifications de l'identité (KYC) demandées par la plateforme.
L'une des meilleures solutions pour s'assurer qu'il ne s'agit pas d'une usurpation d'identité est d'ajouter une vérification vidéo du KYC. C'est-à-dire que l'on vérifie que le visage de la personne qui utilise le compte correspond bien aux photographies des documents d'identités fournis pour ce même compte.
Des vérifications variées sont effectuées sur le document :
Vérification de l'authenticité : il s'agit bien de la pièce d'identité attendue
Vérification que le document n'a pas été modifié avec un logiciel PAO (Photoshop etc)
Cependant cette solution présente quelques inconvénients non négligeables:
Elle rajoute une étape à notre processus d'inscription et réduis donc légèrement votre taux de conversion
Elle est coûteuse : il faut général compter entre 2 et 3 € par utilisateur vérifié
Malgré ces inconvénients, cette solution tant à se généraliser de plus et plus car il s'agit actuellement du système de vérification la plus fiable pour lutter contre l'usurpation d'identité.
Solution 2 : Valider manuellement certaines demandes de débit
Quelle que soit le type de fraude et les moyens employés, il y a certains signaux qui se retrouvent systématiquement :
L'utilisateur réalise plusieurs crédits de son compte par carte bancaire, souvent en utilisant différentes cartes bancaires.
L'utilisateur s'est récemment inscrit (cela peut aller jusqu'à quelques mois) et n'a pas réalisé d'opérations classiques sur votre plateforme.
L'utilisateur demande un débit de compte pour retirer l'argent qu'il a pourtant crédité récemment.
Un moyen simple de réduire le risque de fraude est d'appliquer une vérification manuelle des demandes de débit par un administrateur lorsque l'utilisateur n'est pas considéré comme fiable. C'est à dire tant qu'il n'a pas réalisé un minimums d'opérations classiques ou qu'il n'a pas été identifié manuellement comme tel par un administrateur.
Une fois la demande de débit effectuée, l'administrateur peut choisir de l'approuver ou la refuser en se basant sur toutes les informations à sa disposition fournies par votre prestataire de paiement (crédits de compte effectués, géographie, montants ...).
S'il considère les procédure comme suspecte, alors il peut signaler le compte à son prestataire de paiement qui prendra le relais conformément à ses engagements pour la lutte anti-fraude et blanchiment d'argent.
Cette solution présente également des inconvénient pour des raisons évidentes :
Elle peut s'avérer chronophage pour les administrateurs
Le risque humain est toujours présent : l'administrateur peut se tromper
Elle rallonge les délais avant que l'utilisateur ne puisse débiter son compte
En conclusion, il n'y a malheureusement pas de solutions miracles. Les 2 solutions évoquées ci-dessus présente chacune d'elles des inconvénients non négligeables qu'ils s'agissent de coûts supplémentaires ou de temps humain. Néanmoins, les fraudes continueront d'exister et de croître. Si votre plateforme semble plus perméable à celles-ci que la moyenne, alors vous deviendrez rapidement une cible privilégiées des escrocs. Il est donc fortement recommandé de prendre les devants pour combler ces vulnérabilités.