Données personnelles et paiement en ligne : gare au SIM-swap
Dans un récent rapport, l’Institut national américain des normes et de la technologie (NIST) indique que l’envoi de SMS, dans le cadre de l’authentification des utilisateurs via le protocole 3D Secure, n’est pas infaillible. Déjà, l’Observatoire de la sécurité des cartes avait interpellé les principaux opérateurs téléphoniques français sur ce problème d’usurpation d’identité, et des données personnelles.
Comment procèdent les fraudeurs ? Ils installent des logiciels malveillants sur les téléphones, afin de dérouter l’envoi du SMS d’authentification des paiements vers un autre mobile. Pour ce faire, ils usurpent l’identité de l’utilisateur directement auprès de son opérateur, prétextant avoir égaré la carte SIM. C’est la technique de SIM-swap. Cependant, Pierre Chassigneux, directeur des Projets et des risques au GIE Cartes Bancaires CB, déclare que « la fraude sur les paiements 3D-Secure avec SMS représentent moins de 10 % de la fraude à la carte bancaire sur Internet. ».
Les solutions pour plus de sécurité lors de vos paiements en ligne
Première option : misez sur l’authentification par la voix, grâce à « Talk to Pay ». Lors d’un paiement en ligne, un cryptogramme à usage unique se substitue au code situé au dos de la carte (CVV pour Cardholder Verification Value), une fois que l’authentification vocale du payeur est validée. Plusieurs banques (LCL, La Banque Postale, Carrefour Banque) vont le mettre en place prochainement.
Autre possibilité : la carte à cryptogramme dynamique. Le principe consiste à modifier régulièrement, ou lors de chaque achat en ligne, le CVV. Là encore, plusieurs établissements sont en phase de test, comme BNP Paribas, BPCE et Société Générale.
Enfin, une dernière solution est apportée par les cartes virtuelles dynamiques à usage unique. L’abonnement concerne déjà 4 millions d’utilisateurs via l’e-Carte Bleue (Société Générale, La Banque Postale, LCL, et BPCE), la Payweb Card (Crédit Mutuel-CIC), ou la Virtualis (Crédit Mutual Arkéa).
Enfin notons qu'en matière de sécurité des données personnelles, une étude publiée par la Fédération bancaire Française en juillet 2015 montrait que les usagers bancaires Français avaient confiance en leur banque.