Face à une nouvelle augmentation des paiements frauduleux en ligne en 2013, garder la confiance des consommateurs dans les produits de paiement est une nécessité, même si le challenge est devenu un peu plus difficile. Dans un monde où les transactions atteignent des volumes de plus en plus élevées, l’attraction qu’elles exercent sur les criminels va sans dire. Les fraudeurs ayant souvent une longueur d’avance sur les systèmes sensés les dissuader, l’industrie des paiements doit faire preuve d’une vigilance sans faille face aux toutes dernières menaces de fraude et prendre des mesures adaptées de protection des données de paiement de ses clients.

Prenons l’exemple de la vague d’escroqueries qui touche les cartes prépayées à boucle ouverte. Ces cartes supposées anti-fraude à l’origine, notamment parce que les fonds chargés dessus sont de la responsabilité du client et non de leur émetteur, ont permis à plusieurs reprises de voler des millions de dollars dans des temps étonnamment courts.

Les fraudeurs piratent le système de gestion des cartes prépayées et autorisent des soldes de carte « illimités ». À l’aide de cartes clonées créées avec des données de piratage, ils retirent ensuite à des DAB situés dans le monde entier des sommes « illimitées », ces opérations coordonnées se déroulant en moins de 24 heures. La dernière attaque documentée montre qu’une seule carte clonée a permis de dérober 2,9 millions de dollars américains en moins de 24 heures à des DAB de New York. Cette attaque n’a mobilisé que 12 cartes pour un butin total de 40 millions de dollars américains.

Une série d’alertes a été émise après la première attaque signalée il y a cinq ans environ. Cela n’a toutefois pas empêché des attaques similaires. Quatre attaques de ce type ont été portées à la connaissance du public. Mais combien d’autres sont passées inaperçues ?

Ces menaces n’ont bien sûr rien de nouveau. Une autre attaque a eu lieu effectivement en avril 2014, là ce sont les faiblesses des systèmes de DAB qui ont permis aux criminels de retirer des sommes d’argent quasi illimitées.

Bien des points faibles qui permettent ces attaques sont connus. Toutefois, les méthodes utilisées évoluent et les émetteurs et les fournisseurs de services de paiement ne réagissent pas assez vite ou, on s’en étonnera, les mesures prises sont trop souvent tout simplement inexistantes. Ces attaques peuvent paralyser des réseaux entiers,  comme ce fut le cas après une arnaque aux faux billets de 1000 et 5000 roubles en Russie où les scanners des DAB dans les kiosques de dépôt d’espèces ont été dupés.

La plupart des opérateurs ont dû alors cesser d’accepter ces billets. Les coupures en question étant largement utilisées par les consommateurs dans leur vie quotidienne, concrètement cela revenait à fermer «  boutique », les seuls opérateurs de kiosques encore en mesure de fonctionner étant ceux ayant adopté des mesures préventives. L’un d’eux, QIWI, avait mis récemment en œuvre le logiciel de prévention de la fraude d’IRIS Analytics, adapté pour répondre rapidement à ce nouveau type de menace. Résultat, les clients de QIWI ont pu continuer à effectuer leurs paiements tandis que les concurrents étaient bloqués.

Avec l’émergence permanente de nouvelles menaces, la garantie d’une confiance du consommateur dans les produits de paiement est de la responsabilité directe des fournisseurs d’infrastructures de paiement et dépend donc de la robustesse et de la flexibilité de leurs systèmes.

Si votre société étudie actuellement des stratégies de prévention de la fraude, il importe qu’elle garde les points suivants à l’esprit :

• Basez votre stratégie sur le fait que les fraudeurs innovent en permanence !
• Cherchez sérieusement une nouvelle ligne de défense au-delà des pare-feux, détection de logiciels malveillants et détection d’intrusions – aujourd’hui, ces mesures de sécurité sont trop souvent obsolètes.
• Sélectionnez une technologie polyvalente de sécurisation de paiements, rentable et adaptable sans problème aux nouvelles situations sans avoir à faire appel au fournisseur  pour des services de conseil.
• Assurez-vous de mettre en œuvre une solution holistique de prévention de la fraude, pour la surveillance de  transactions monétaires (p. ex. paiements, retraits) mais aussi d’évènements non monétaires (p. ex. évolution des limites, évènements DAB non monétaires)
• La surveillance en temps réel est essentielle – vous devez être en mesure de réagir automatiquement et « à la volée » lorsque les fraudeurs passent à l’attaque.
• L’idéal est de choisir une solution à infrastructure souple permettant d’intégrer rapidement vos activités aux nouveaux produits de paiement dès que ceux-ci sont disponibles.

La solution de sécurisation des paiements qui prend ces points en compte est pour vous la garantie de garder une longueur d’avance sur les fraudeurs et de ne pas rester dans l’ignorance.

Nikolaus Bayer, directeur général, IRIS Analytics