Définition et Typologie de la Fraude relative aux Cartes de Paiement

L’annexe E du dernier rapport de l’observatoire de la sécurité des cartes de paiement définit les typologies de la fraude relative aux cartes de paiement. C’est une liste intéressante de menaces à prendre en considération lors de son analyse de risque dans un contexte PCI DSS ou autre, ça permet également de sensibiliser le personnel interne.

Le rapport rappel les origines de la fraude (source: rapport annuel de de l’observatoire de la sécurité des cartes de paiement) :

• carte perdue ou volée : le fraudeur utilise une carte de paiement obtenue à l’insu de son titulaire légitime, suite à une perte ou à un vol,
• carte non parvenue : la carte a été interceptée lors de son envoi à son titulaire légitime par l’émetteur. Ce type d’origine se rapproche de la perte ou du vol. Cependant, il s’en distingue, dans la mesure où le porteur peut moins facilement constater qu’un fraudeur esten possession d’une carte lui appartenant et où il met en jeu des vulnérabilités spécifiques aux procédures d’envoi des cartes
• carte falsifiée ou contrefaite : une carte de paiement authentique est falsifiée par modification des données magnétiques, d’embossage ou de programmation. La contrefaçon d’une carte suppose la création d’un support donnant l’illusion d’être une carte de paiement authentique et/ou susceptible de tromper un automate ou une personne quant à sa qualité substantielle. Pour les paiements effectués sur automate de paiement, une telle carte, fabriquée par le fraudeur, supporte les données nécessaires à tromper le système. En commerce de proximité, une carte contrefaite est une carte fabriquée par un fraudeur, qui présente certaines sécurités (dont l’aspect visuel) d’une carte authentique, supporte les données d’une carte authentique et est destinée à tromper la vigilance d’un accepteur,
• numéro de carte usurpé : le numéro de carte d’un porteur est relevé à son insu ou créé par « moulinage » et utilisé en vente à distance, numéro de carte non affecté : utilisation d’un PAN (numéro de carte) cohérent mais non attribué à un porteur, puis généralement utilisé en vente à distance, fractionnement du paiement : action qui consiste à scinder le paiement en vue de passer en dessous des plafonds fixés par l’émetteur

Et les techniques de fraudes :

• skimming : technique qui consiste en la copie, dans un commerce de proximité ou dans des distributeurs automatiques, des pistes magnétiques d’une carte de paiement à l’aide d’un lecteur à mémoire appelé « skimmer ». Éventuellement, le code confidentiel est également capturé de visu, à l’aide d’une caméra ou encore par détournement du clavier numérique. Ces données seront inscrites ultérieurement sur les pistes magnétiques d’une carte contrefaite,
• hameçonnage ou « phishing » : technique utilisée par les fraudeurs visant à obtenir des données personnelles, principalement par le biais de courriels non sollicités renvoyant les utilisateurs vers des sites frauduleux ayant l’apparence de sites de confiance ouverture frauduleuse de compte : ouverture d’un compte de référence en fournissant de fausses données personnelles,
• usurpation d'identité : actes frauduleux liés à un paiement par carte et supposant l’utilisation de l’identité d’une autre personne,
• répudiation abusive : contestation par le porteur, de mauvaise foi, d’un ordre de paiement valide dont il est l’initiateur,
• piratage d'automates de paiement ou de retrait : techniques qui consistent à placer des dispositifs de duplication de cartes sur des automates de paiement ou des distributeurs automatiques de billets,
• piratage de systèmes automatisés de données, de serveurs ou de réseaux : intrusion frauduleuse sur de tels systèmes
• moulinage : technique de fraude consistant à utiliser les règles, propres à un émetteur, de création de numéros de cartes pour générer de tels numéros et effectuer des paiements.