Quasiment toutes les banques en France utilisent le système 3D-Secure lorsque l'un de leurs clients veut payer par carte bancaire sur un site Internet. Un système censé être sûr et qui est entré dans les mœurs. Le journal Le Monde dévoile un rapport de l'Institut national américain des normes et de la technologie (NIST) qui remet les choses en perspective : en fait, les pirates peuvent le contourner.
Le système 3D-Secure : un SMS envoyé avec un code pour valider le paiement
Quiconque a déjà payé sur Internet par carte bancaire a utilisé ce système : lors du paiement d'une commande, le site vous renvoie vers un site affilié à votre banque. Là, on vous demande un code de confirmation de plusieurs chiffres, code à usage unique et dont la durée de validité est limitée dans le temps. Sans ce code, impossible de compléter la transaction.
Le code en question vous est envoyé par la banque de manière automatique sur le numéro de téléphone portable associé à votre compte. Ainsi faisant, la banque est quasiment sûre que c'est bien vous qui demandez le paiement. Certes, quelqu'un pourrait vous avoir volé la carte bancaire et votre téléphone portable, mais c'est assez rare (sans compter qu'il faudrait alors que cette personne connaisse également votre code de déverrouillage...)
Le NIST ne s'inquiète pas de ces malfrats... il veut alerter sur un risque bien plus sournois.
Le détournement de ligne... et donc de SMS de validation
Selon le NIST le problème survient lorsque la ligne téléphonique est dupliquée ou détournée. Un système utilisé par les espions dans les films mais qui existe réellement et que les fraudeurs semblent commencer à appliquer pour contourner ces sécurités. C'est un phénomène qui prend de l'ampleur et qui commence à faire douter de l'efficacité du 3D-Secure, pourtant considéré comme très sûr.
Mais bien qu'elle soit de plus en plus courante, ce type de fraude à la carte bancaire est difficile à mettre en place. Interrogé par le journal Les Echos, Pierre Chassigneux, directeur des projets et des risques au GIA Cartes Bancaires CB, estime que "La fraude sur les paiements 3D-Secure avec SMS représente moins de 10 % du total de la fraude à la carte bancaire sur Internet".