Que sont les tests de cartes et comment protéger votre site de commerce électronique

Le test de carte (également appelé « vérification de carte ») est un type de fraude au paiement où les fraudeurs utilisent des outils automatisés ou des robots pour vérifier des numéros de cartes de crédit en effectuant de petits achats ou en tentant d’autoriser des transactions sur des sites de commerce électronique. 

Ces attaques consistent généralement à soumettre de nombreux numéros de carte au moyen de scripts automatisés. Elles peuvent apparaître comme des tests de cartes sur votre page de paiement ou comme des tentatives d’ajout de carte enregistrée par l’intermédiaire de la page de profil du compte, ce qui nécessite généralement une vérification de carte. Le but est de savoir quelles cartes sont toujours actives et disposent de crédit. La prévention de ces attaques nécessite l’application de plusieurs couches de sécurité et de contrôles. 

Pour arrêter ou diminuer les tests de cartes sur votre site, mettez en œuvre les meilleures pratiques suivantes.

 1. Utilisez la solution de paiement hébergée Moneris Checkout

• Moneris Checkout offre des outils de prévention de la fraude intégrés qui sont faciles à activer et n’exigent aucune intégration supplémentaire.
• Assurez-vous d’avoir activé des outils de prévention de la fraude tels que SVA (service de vérification d’adresse), CVV (code de vérification de carte), 3D Secure, Kount et  le montant de transaction minimum
• Activez l’option de décision automatique pour éviter que des transactions potentielles de tests de cartes ne soient envoyées à l’émetteur de carte à des fins d’autorisation.
• Moneris Checkout utilise Cloudflare, un fournisseur infonuagique de sécurité pour entreprises qui offre une protection de pare-feu adaptée aux entreprises contre les attaques par déni de service, les robots malveillants et les autres vulnérabilités en matière de sécurité sur le Web.

2. Mettez en place une protection contre les robots (CAPTCHA)

• La plupart des attaques par test de carte utilisent des scripts et des outils automatisés pour vérifier rapidement un grand nombre de cartes sur le site Web d’une commerçante ou d’un commerçant.
• Utilisez reCAPTCHA v3 de Google ou hCaptcha sur vos formulaires de paiement.
• reCAPTCHA v3 de Google fournit un résultat entre 0 et 1 pour aider à repérer les activités potentielles de robot, sans nécessiter d’interaction avec l’utilisatrice ou l’utilisateur.
• hCaptcha présente un défi aux utilisatrices et utilisateurs, comme l’identification d’images, ce qui est facile à faire pour les êtres humains, mais difficile pour les robots.

3. Limitation du volume d’envoi et empreinte digitale des appareils

• Les tests de cartes se présentent souvent sous la forme d’attaques très fréquentes menées au moyen de cartes volées ou générées.
• Mettez en place une limitation du volume d’envoi pour restreindre le nombre de fois qu’une utilisatrice ou un utilisateur ou une adresse IP peut faire une tentative de transaction durant une courte période.
• Utilisez l’empreinte digitale des appareils pour suivre les appareils suspects et comparer leurs activités à des tendances connues en matière de fraude.

4. Surveillez les tendances en matière de transaction

• Les tests de cartes sont souvent caractérisés par de nombreuses transactions de faible valeur ou de multiples tentatives infructueuses.
• Signalez les comptes associés à un nombre excessif de tentatives infructueuses.
• Surveillez les transactions multiples effectuées à partir de différents comptes utilisant la même adresse courriel ou le même appareil.
• Surveillez les tendances telles qu’un grand nombre de petits achats, des soumissions rapides de transactions ou des numéros d’identification bancaire (NIB) inhabituels, par exemple une carte émise dans un pays étranger.
• Utilisez la solution Moneris Kount Entreprise pour la surveillance des fraudes en temps réel.

 5. Utilisez la vélocité, le seuil et les règles d’utilisation

• La clientèle légitime n’a pas l’habitude d’effectuer de multiples transactions en un court laps de temps.
• Limitez le nombre de tentatives par adresse IP, appareil, compte, adresse courriel et numéro de carte par heure et par jour.
• Bloquez les adresses IP ou les emplacements suspects, par exemple : une utilisatrice ou un utilisateur qui se connecte normalement à partir de Vancouver effectue soudainement un achat de grande valeur à partir d’une adresse IP en Allemagne, en utilisant un VPN, et fait expédier son achat à une case postale en Floride. Cette combinaison est susceptible de déclencher une alerte à la fraude.
• Utilisez des pare-feu applicatifs Web, tels que Cloudflare Bot Management, pour bloquer les schémas de tests de cartes.

Règles d’utilisation :

• Exigez que l’utilisatrice ou l’utilisateur mette en place l’enregistrement avant le passage à la caisse et ajoute une vérification telle qu’un code ou une confirmation par courriel.
• Limitez le nombre de comptes d’utilisateur pouvant être ajoutés au cours d’une période donnée.
• Limitez le nombre de cartes pouvant être ajoutées au compte d’une cliente ou d’un client.
• Ajoutez une limite de temps aux sessions avec un mécanisme de temporisation.

6. Consignez et analysez les transactions échouées

• Les tests de cartes peuvent souvent être détectés rapidement en surveillant les transactions refusées.
• Mettez en place des alertes pour les hausses soudaines de refus.
• Analysez les journaux pour identifier les adresses IP et les appareils couramment utilisés lors des attaques.

7. Protégez vos clés API

• Si votre jeton API est compromis, les attaquants peuvent contourner entièrement votre site Web.
• Remplacez votre jeton API de Moneris dans le Centre de ressources de Moneris : assurez-vous que les remboursements, les annulations ou les préautorisations ont été conclus avant de remplacer votre jeton.
• Passez en revue vos politiques de protection de clés API.

8. Protégez-vous contre les attaques frontales de sites Web

• Les fraudeuses et fraudeurs peuvent tenter d’exploiter la partie frontale de votre site Web.
• Protégez vos API publiques (au moyen de jetons d’authentification, par exemple).
• Masquez les points de terminaison de paiement qui ne s’adressent pas à la clientèle.
• Utilisez le protocole HTTPS pour votre site Web afin de chiffrer toutes les communications entre les serveurs frontaux et dorsaux.
• Limitez autant que possible l’utilisation de clés API sur la partie frontale de votre site Web.
• Utilisez des services de pare-feu applicatifs Web tels que Cloudflare, AWS WAF ou Akamai pour détecter et bloquer les attaques.

9. Mettez régulièrement à jour les plugiciels et les logiciels

• Les logiciels obsolètes peuvent être vulnérables à la fraude.
• Apportez régulièrement des correctifs à votre plateforme de commerce électronique, et tenez à jour vos plugiciels et bibliothèques.

Pourquoi la protection de votre site contre les tests de cartes est-elle importante?

Il est important que vous protégiez votre site Web contre les tests de cartes. Les conséquences peuvent être graves :

1. Frais de marque de carte excessifs- Les marques de carte peuvent facturer des frais pour chaque tentative non autorisée.
2. Frais liés aux rétrofacturations- Des frais fixes sont associés au traitement de chaque rétrofacturation.
3. Atteinte à la réputation de votre entreprise- Titulaires de cartes en colère contre votre entreprise pour une transaction non autorisée apparaissant sur leur carte.
4. Possible désactivation temporaire du compte Passerelle de la ou du propriétaire de commerce- Votre compte de propriétaire de commerce pourrait être désactivé temporairement jusqu’à ce que le problème de test de cartes soit résolu, ce qui nuirait à votre capacité à servir votre clientèle légitime.

Bien que Moneris offre des outils de prévention de la fraude, il incombe à la commerçante ou au commerçant de mettre en place les couches de sécurité nécessaires pour prévenir les tests de cartes. Une approche par couches est toujours le moyen le plus efficace de limiter ce type de fraude.

Profil de l’auteur

Chris Hale

Profil de l’auteur

Chris Hale est un professionnel certifié des paiements, spécialisé en passerelles de commerce électronique, en prévention de la fraude et en modes de paiement de remplacement. Il a occupé divers postes dans le secteur des paiements, où il a fourni et géré des solutions de produits, toujours en se concentrant sur l’amélioration de l’expérience de la clientèle ou des propriétaires de commerce.