Minimiser les risques liés aux systèmes de paiement : une séance de questions avec Gord Jamieson

Le mois de la prévention de la fraude tire à sa fin, alors nous avons collaboré avec un spécialiste de l’industrie de longue date afin de comprendre le paysage actuel de la fraude et les mesures que les commerçants peuvent prendre pour la prévenir. Gord Jamieson est chef des services de risques à Visa Canada. Son objectif est de permettre à Visa de se démarquer de ses concurrents, de réduire les risques de répercussions réglementaires et d’appuyer la croissance interne de l’entreprise en interagissant avec les clients canadiens pour minimiser les risques liés aux systèmes de paiement.

Pour commencer, selon vous, quels sont les principaux types de fraudes auxquels les entreprises font face?

La pandémie de COVID-19 a changé les tendances et les comportements d’achat des consommateurs. En raison des préoccupations croissantes liées à la sécurité, 79 % des consommateurs canadiens ont modifié leur façon de payer^[1]. Partout dans le monde, les consommateurs ont opté pour le magasinage en ligne avec carte absente  et, comme de plus en plus de consommateurs achètent dans des commerces électroniques, les tentatives de fraude associées aux transactions avec carte absente ont augmenté. Bien que le nombre de fraudes se soit accru au début de la pandémie, tout comme le volume de transactions avec carte absente, nous avons remarqué une tendance à la baisse depuis avril^[2].

Les fraudes associées aux transactions avec carte absente représentent plus de 90 % des fraudes signalées par les émetteurs canadiens aujourd’hui^[3].

Le commerce électronique est florissant depuis le début des années 90. Aujourd’hui, les consommateurs utilisent différents appareils et modes de paiement pour acheter des produits et des services en ligne,  ce qui entraîne également la hausse du nombre de fraudes associées au commerce électronique. Les fraudeurs adoptent constamment de nouvelles pratiques et stratégies pour profiter des récents canaux de ventes électroniques et modes de paiement. Le profil du fraudeur typique évolue aussi; la fraude associée au commerce électronique ne se limite plus aux personnes ou aux petites équipes. De nos jours, la fraude est une industrie qui comprend des réseaux criminels nationaux et mondiaux qui emploient des techniques sophistiquées.

Quel est le plus important risque de fraude auquel les entreprises font face?

Les transactions avec carte absente présentent le plus grand risque pour les commerçants et prennent différentes formes.

• Prise de contrôle de comptes : Un fraudeur utilise des renseignements d’identification volés afin de prendre contrôle du compte d’une personne sur le site Web d’un commerce électronique ou d’une banque, ou par l’entremise d’une solution de paiement. Le fraudeur peut changer les renseignements personnels ou utiliser les renseignements sur le paiement du compte pour effectuer des achats.

• Achat en ligne et cueillette en magasin : Un fraudeur utilise des renseignements volés pour effectuer un achat en ligne et va cueillir la marchandise en magasin, et ce, avant que le détaillant ne détecte la fraude.

• Fraude propre : Un fraudeur utilise une carte de crédit volée afin d’effectuer un achat en ligne, en entrant suffisamment de renseignements valides sur le titulaire de carte pour que la transaction semble valide et qu’elle ne soit pas touchée par les vérifications de sécurité.

• Test de carte : Un fraudeur utilise un robot automatisé pour effectuer de nombreuses petites transactions en utilisant des numéros de carte de crédit volés. Le but de ces tests est de détecter les cartes qui peuvent être utilisées pour d’autres transactions frauduleuses de plus grande valeur et celles qui doivent être jetées.

• Fraude amicale : Un client achète un article au moyen de sa carte de paiement et ensuite, il dit que l’achat n’était pas autorisé ou que l’article n’a jamais été reçu. L’entreprise rembourse le client, qui obtient l’article gratuitement.

• Fraude liée aux remboursements et aux retours : Un fraudeur achète de la marchandise en ligne en utilisant des renseignements d’identification volés, puis il se rend au magasin et demande un remboursement. Souvent, une carte-cadeau lui est remise puisqu’il n’a pas son reçu.

• Fraude liée à l’expédition : Un fraudeur utilise les renseignements volés sur le paiement pour acheter des biens. Par la suite, il communique avec l’expéditeur et demande de changer l’adresse d’expédition, ou il paie des gens connus comme des passeurs ou des transitaires pour jouer le rôle de destinataire. Les passeurs expédient ensuite les biens aux fraudeurs ou à d’autres emplacements pour la revente.

• Fraude sur le marché gris : Un fraudeur achète des biens en utilisant une carte de crédit volée et la revend dans des marchés non autorisés ou à rabais. (Ce type est aussi connu sous le nom de « fraude liée à la revente ».)

• Fraude de cartes de fidélité : Un fraudeur obtient l’accès non autorisé à un compte lié à un programme de fidélisation ou de récompense offert par le commerçant.
  

Source : Livre électronique de Cybersource – eCommerce Fraud Explained (PDF)

Les commerçants sont-ils responsables de la fraude qui se produit dans leur établissement?

En ce qui concerne les transactions avec carte à puce présente, le commerçant se dégage de sa responsabilité en matière de fraude; cependant, les droits liés aux responsabilités et aux différends sont déterminés en fonction de la transaction (a-t-elle été lue et entièrement autorisée de façon électronique?) et des parties associées à la transaction (respectent-elles les règles de Visa?).

Pour les transactions avec carte absente, le commerçant est responsable des transactions frauduleuses et peut être soumis à des différends, à moins qu’il ne souscrive à Visa Secure (programme 3DS or 3-D Secure).

Les commerçants peuvent-ils entrer manuellement les données des cartes? 

La façon la plus sécuritaire de traiter un paiement par carte est de lire sa puce en l’insérant dans le terminal ou en présentant la carte au lecteur sans contact de l’appareil.  Dans certains cas, votre terminal ne lira pas nécessairement la carte à puce. Voici les quatre causes possibles de ce problème :

• Le lecteur de carte à puce du terminal ne fonctionne pas correctement.

• La carte n’est pas insérée ou présentée correctement.

• La carte de paiement peut être contrefaite ou modifiée.

• La puce de la carte est endommagée ou démagnétisée.

Les dommages aux cartes peuvent se produire accidentellement, mais ils peuvent également indiquer que la carte est contrefaite ou a été modifiée. Si vous ne pouvez pas lire la carte, vous devriez faire ce qui suit :

• Vérifiez le bon fonctionnement du terminal et si vous insérez ou présentez la carte correctement.

• Si le terminal est en bon état, regardez les renseignements de sécurité de la carte afin de vous assurer qu’elle n’est pas contrefaite ou qu’elle n’a pas été modifiée.

• Si le problème semble être lié à la puce, respectez les procédures de votre magasin. Vous pouvez peut-être utiliser la fonction de contournement manuelle pour entrer les données de transaction et obtenir une autorisation, ou vous pouvez appeler votre système d’autorisation vocale.\

• Pour les transactions manuelles ou par autorisation vocale, faites une impression du devant de la carte. L’impression prouve que la carte était présente au point de vente et peut protéger votre commerce contre les différends potentiels si la transaction est frauduleuse. Elle peut être faite sur le reçu de vente imprimé par le terminal ou manuellement sur un formulaire de reçu de vente distinct qui est signé par le client.

Pour certains commerçants, un nombre élevé de saisies manuelles est causé par une erreur de classement des transactions avec carte absente, qui fait qu’elles ressemblent à des transactions avec carte présente. Communiquez avec votre acquéreur pour savoir si vos transactions avec carte absente sont bien classées avec les indicateurs de commande postale ou téléphonique et de commerce électronique appropriés.

Source : Article de Visa – Reducing Counterfeit Fraud Through Acceptance Best Practices

En raison de la pandémie de COVID-19, plusieurs entreprises ont encouragé les paiements sans contact. Nous savons tous que ces paiements sont plus sanitaires, mais sont-ils plus sécuritaires?

Oui, chaque transaction, ainsi que les renseignements personnels de votre client, est protégée par les mesures de sécurité suivantes :

• La technologie de chiffrement dynamique intégrée transforme les données de chaque transaction sans contact par carte Visa en un code unique qui peut être utilisé une seule fois. Le nom du titulaire de carte n’est pas transmis durant la transaction, et les données de transaction ne peuvent pas être utilisées pour créer une carte contrefaite en raison des données uniques.

• La portée de lecture de la carte extrêmement courte (deux centimètres) aide à éliminer les risques qu’un appareil non autorisé puisse « lire » les données de paiement.

• La politique Responsabilité zéro de Visa**^[4] veille à ce que les titulaires de carte ne soient pas responsables des achats frauduleux et peuvent magasiner sans tracas.

En avril 2020, Visa a fait passer la limite maximale de transactions sans contact au Canada à 250 $ CA en raison de la pandémie de COVID-19.

Au Canada, le montant de la transaction sans contact n’a aucune incidence sur les droits liés aux responsabilités et aux différends. Pour les transactions sans contact, les droits liés aux responsabilités et aux différends sont déterminés en fonction de la transaction (a-t-elle été lue et entièrement autorisée de façon électronique?) et des parties associées à la transaction (respectent-elles des règles de Visa?). Les différends des émetteurs sont considérés comme non valides si une preuve montre que la transaction a été lue et autorisée de façon électronique.

En quoi consiste une attaque par énumération?

Les énumérations d’utilisateur sont un problème très répandu qui touche les émetteurs, les commerçants et les acquéreurs partout dans le monde. Les cybercriminels profitent des mégadonnées et de l’intelligence artificielle pour trouver les nouvelles vulnérabilités et les exploiter. Pour effectuer des transactions électroniques frauduleuses, les cybercriminels testent les champs de paiement habituels au moyen d’un système modulable et programmatique de tests automatisé, une méthode connue également sous le nom d’énumération d’utilisateur. Cette pratique peut causer des centaines de millions de dollars de pertes liées à la fraude dans tout l’écosystème de paiement. Une fois les renseignements de paiement valides obtenus, ils sont vendus sur le « Dark Web » et sur les sites de carte clandestins pour les cybercrimes. De plus, l’énumération augmente les frais de traitement des transactions pour les acquéreurs et les émetteurs et perturbe les modèles de gestion du risque. Les commerçants sont également contrariés parce qu’ils peuvent perdre de la marchandise et gaspiller des ressources en concluant des commandes pour de faux clients.

Quels sont les conseils et les meilleures pratiques pour éviter les attaques par énumération?

CAPTCHA

• Mettez en place les contrôles de CAPTCHA pour empêcher les robots ou les scripts d’effectuer des transactions automatiques (p. ex. cinq autorisations provenant d’une adresse IP ou d’un réseau personnel dans un délai précis).

Authentification améliorée

• Utilisez l’authentification 3-D Secure. 

Détection d’anomalie

• Recevez des alertes sur les transactions ayant un volume élevé d’approbations ou de refus dans une même fourchette de numéros d’identification bancaire (NIB).

• Recevez une alerte lorsque le nombre de demandes d’annulation augmente. Parfois, les fraudeurs envoient immédiatement une demande d’annulation après avoir obtenu l’approbation.

• Analysez les différences dans les fuseaux horaires et les incohérences dans l’adresse IP du titulaire de carte et l’appareil. Classez ces transactions comme étant à risque élevé et faites une vérification plus rigoureuse.

• Ajoutez les adresses IP qui comportent plusieurs échecs de données de cartes de paiement à une liste noire de détection de la fraude à des fins de vérifications manuelles.

• Recherchez les utilisations excessives et regardez la consommation de la bande passante pour un seul utilisateur.

• Cherchez plusieurs éléments de suivi dans un achat liés au même appareil. Par exemple, de multiples transactions provenant de différents comptes de paiement qui utilisent la même adresse courriel et le même ID d’appareil peuvent signaler une fraude ou demander une vérification.

• Regardez les ouvertures de session d’un même compte de paiement en provenance de plusieurs adresses IP.

• Passez en revue les ouvertures de session qui utilisent des mots de passe suspects (ou des hachages de mots de passe uniques chiffrés) fréquemment utilisés par les pirates informatiques. Certains commerçants peuvent détecter les fraudes en fonction d’une liste grise qui inclut des combinaisons de mots de passe par secteur utilisées fréquemment dans des transactions frauduleuses.

Seuils de vélocité

• Surveillez la vélocité des transactions, petites et grandes, et profitez des vérifications de la vélocité pour vérifier les montants faibles ou les transactions qui nécessitent absolument une autorisation. Le montant des transactions de tests de compte est souvent inférieur à 10 $ US.

• Le nombre de transactions effectuées dans un délai précis devrait également être limité.

• Surveillez la vélocité de différentes données, y compris l’adresse IP, l’appareil, l’adresse courriel et les pratiques exemplaires pour contrer les attaques par énumération et les tests de compte.

Empreinte digitale

• Utilisez les systèmes de détection de la fraude qui prennent en charge les fonctions d’empreinte digitale et de détection de botnet.

Sessions d’utilisateur

• Profitez de la méthode de limitation de bande passante lors de la vérification d’un compte afin de ralentir les grosses attaques qui dépendent du temps, surtout pour les NIB considérés comme représentant un plus grand risque de fraude.

• Ajoutez les vélocités des sessions HTTP qui limitent le nombre d’opérations pour chaque session d’utilisateur et qui établissent le délai d’inactivité avant l’expiration des sessions.

• Verrouillez un compte si un utilisateur entre le nom d’utilisateur et le mot de passe ou tout autre renseignement d’authentification du compte incorrectement après « x » tentatives d’ouvertures de session.

Création de comptes

• Limitez le nombre de cartes qui peuvent être ajoutées à un compte et à une session.

• Limitez le nombre de comptes qui peuvent être créés pour une même adresse IP dans un délai précis.

• Surveillez la fréquence de changements des modes de paiement dans les comptes.

• Utilisez l’outil reCAPTCHA pour les inscriptions des utilisateurs.

• Fermez les sessions en attente pour les utilisateurs invités après une certaine durée.

Outils de réseau

• Mettez en place un pare-feu applicatif Web (WAF).

• Utilisez des outils de base pour détecter, prévenir et supprimer les botnets. Les outils comme les systèmes de détection d’intrusion dans les réseaux (NIDS), les ensembles de détection de programmes malveillants furtifs (rootkit), les renifleurs de réseau et les programmes spécialisés anti-bots peuvent être utilisés pour fournir une protection plus sophistiquée contre les botnets.

Détection Cross-Site Request Forgery (CSRF)

• Mettez en place des jetons CSRF pour prévenir les attaques automatisées simplistes.

• Assurez-vous que toutes les pages du site Web contiennent des protocoles « https » et sont protégées par un jeton CSRF.

Autres recommandations

• Les renseignements du compte et les applications du terminal doivent être supprimés de façon sécuritaire de toutes les banques de mémoire lorsque vous retirez un appareil de PDV.

• Soyez conscients de l’hameçonnage dont le but est d’obtenir les renseignements d’identification d’une passerelle de paiement.

• Adoptez une approche de validation à plusieurs niveaux qui utilisent le CVC2 et le service de vérification d’adresse (SVA).

• Redéfinissez les clés API si les attaques de tests de carte touchent directement votre API au lieu du formulaire du site Web.

• Remboursez les paiements frauduleux afin d’éviter les différends.

Source : Anti-Enumeration and Account Testing Best Practices for Merchants – livre blanc de Visa, septembre 2020

Comment Visa collabore-t-elle avec les fournisseurs de services de paiement comme Moneris pour aider les propriétaires d’entreprise à gérer les transactions frauduleuses?

Visa travaille avec les acquéreurs de transactions sur une base mensuelle afin de cerner les commerçants qui ont peut-être dû faire face à des niveaux élevés de fraude et de débit compensatoire, d’évaluer leurs capacités actuelles de gestion de la fraude et de mettre en place en plan de correction. Visa surveille également les réseaux de façon proactive pour détecter les attaques par énumération d’utilisateur et avertir l’acquéreur lorsque l’un de ses commerçants est victime d’une telle attaque afin d’en atténuer les conséquences.

Quels sont des moyens simples que les commerçants peuvent prendre pour se protéger en ligne? Et en magasin?

Les commerçants qui acceptent les transactions avec carte absente devraient adopter une approche à plusieurs niveaux pour la gestion de la fraude qui comprend de nombreux outils et services, notamment :

• les services de validation pour le CVC2, le SVA, le numéro de téléphone et l’outil 3-D Secure;

• les données exclusives et l’historique du client, comme les listes négatives et positives, la surveillance de la vélocité des commandes et l’historique des commandes du client;

• les services d’alerte des cartes de crédit.

Vous souhaitez en savoir plus? Pendant le mois de mars, nous allons publier de nouveaux articles informatifs au sujet de la prévention de la fraude et sur la façon dont les commerçants de Moneris peuvent se protéger. Consultez notre section Petites entreprises tout au long du mois de la prévention de la fraude pour lire des nouvelles publications, et approfondissez vos connaissance grâce à nos favoris sur la fraude, notamment le balado Why You Need to Prevent Fraud Before it Becomes a Problem. 

^[1] Étude Back to Business de Visa, décembre 2020

^[2] Gestion des risques de gestion du système de paiement de Visa – Rapport sur la fraude et ventes (TC40)

^[3] Gestion des risques de gestion du système de paiement de Visa – Rapport sur la fraude et ventes (TC40)

^[4] La politique Responsabilité zéro de Visa ne s’applique pas aux transactions anonymes effectuées avec les cartes Visa prépayées, Visa Entreprise et Visa Commerciale ou à toute autre transaction non traitée par Visa. Le compte et le NIP doivent être protégés.  D’autres conditions et restrictions s’appliquent.  Pour en savoir plus, consultez la documentation de l’émetteur de carte.