B. UN PHÉNOMÈNE DONT IL FAUT RELATIVISER L'IMPORTANCE
1. Un taux de fraude moindre en France qu'à l'étranger...
Tous les pays semblent touchés par le développement de la fraude aux cartes de paiement. A titre d'exemple, en Allemagne, ce phénomène a connu un développement considérable : le nombre des fraudes a augmenté de 40 % entre 1998 et 1999 alors que les fraudes par utilisation de fausse monnaie et de chèques falsifiés ont décru pendant la même période.
D'après les informations obtenues par votre rapporteur auprès du Groupement des cartes bancaires « CB », le taux de fraude concernant l'utilisation en paiement de cartes « CB » à l'étranger s'est élevé à 0,571 % en 2000 . Ce taux est à rapprocher du taux de fraude constaté la même année concernant les paiements par carte « CB » en France, qui a atteint 0,026 %.
Quant au taux de fraude concernant l'utilisation en paiement de cartes étrangères dans le système « CB », il s'est monté à 0,532 % en 2000.
Ces chiffres, même s'ils doivent être appréhendés avec précaution, montrent que les cartes bancaires « CB », lorsqu'elles sont utilisées dans le système « CB », connaissent un taux de fraude moins important que les cartes bancaires étrangères.
L'une des raisons fréquemment avancées pour expliquer ce phénomène est le faible niveau de sécurité des cartes étrangères, qui résulte essentiellement de l'absence de puce de sécurité intégrée aux cartes de paiement.
2. Qui s'explique par le haut degré de sécurité des cartes bancaires « CB »
Le « groupe technique » constitué dans le cadre des travaux du Conseil national de la consommation 3 ( * ) a précisé les caractéristiques techniques des cartes de paiement utilisées en France et a conclu au caractère infalsifiable de la puce.
Toute carte de paiement est constituée d'une carte en plastique conforme à une norme ISO (International Organisation for Standardization) et destinée au contrôle visuel pour tous les usages en face-à-face ainsi qu'une piste magnétique.
En France, les cartes du système Cartes Bancaires « CB » ont en outre une puce à microprocesseur, sorte de « mini-ordinateur » qui est mis en tension chaque fois que l'on enfiche la carte dans un lecteur approprié. Or, la présence de cette puce a considérablement renforcé la sécurité du paiement par carte de paiement.
Trois informations sont communes à la carte plastique, à la piste et à la puce : le numéro de carte à 16 chiffres, la date de validité de la carte et le nom du porteur. En revanche, ces trois supports diffèrent par les autres informations distinctives qu'ils renferment et par leur degré variable de réplication.
Le rectangle de plastique comporte une signalétique qui identifie l'émetteur et le réseau auquel appartient la carte. Au verso est apposé un exemplaire de la signature du titulaire. Une carte en plastique est au moins aussi difficile à reproduire qu'un billet de banque. Toutefois, la circulation d'un très grand nombre de cartes différentes peut rendre la reconnaissance desdites cartes problématique pour les fournisseurs. En outre, les données imprimées sur la carte ne sont nullement sécurisées.
La piste magnétique contient quelques informations complémentaires d'authentification. Avec la diffusion de la micro-informatique, elle est cependant devenue facile à reproduire.
La puce est capable de stocker des informations devant rester secrètes. Elle met en oeuvre des techniques de cryptologie pour comparer les indications transmises de l'extérieur et les données secrètes. C'est ainsi qu'elle permet de vérifier l'exactitude du code, de certifier l'authenticité de la carte, mais aussi de stocker des preuves de chaque transaction. D'après les informations obtenues par votre rapporteur, à l'heure actuelle, la sécurité de la puce est inviolable . En outre, personne n'est encore parvenu à programmer une puce ou un objet capable d'imiter une puce pendant toutes les étapes d'une transaction commerciale classique.
En conséquence, chaque fois que la puce est utilisée dans la transaction, les risques de fraude sont considérablement réduits. Or, c'est le cas en France pour tous les paiements de proximité.
Au contraire, lorsqu'on utilise une carte bancaire à l'étranger, les terminaux de paiement ne lisent pas la puce, mais la piste magnétique. Ce n'est donc pas le code confidentiel qui authentifie le porteur, mais sa signature, beaucoup plus facile à se procurer puisqu'elle figure au verso de la carte.
3. Un effort continu pour améliorer la sécurité des paiements
Même si le système cartes bancaires « CB » offre un niveau de sécurité élevé, un effort permanent doit être fourni par tous les professionnels pour améliorer la sécurité des paiements, notamment en raison de l'évolution de la fraude et des technologies qui sont mises à son service.
Trois priorités apparaissent : l'allongement des clés qui permet de vérifier que la carte utilisée dans la transaction est bien une carte bancaire, le renforcement de la sécurisation des terminaux de paiement et des distributeurs automatiques de billets et le développement de techniques de paiement sécurisées dans le cadre de la vente à distance.
a) L'allongement des clés
Si la puce est restée jusqu'à ce jour inviolable, le protocole d'identification de la carte auprès de certains terminaux pour des transactions « hors ligne » (c'est-à-dire sans connexion au réseau interbancaire) a pu être « piraté ». Lors de cette procédure d'identification, le terminal de paiement vérifie que la carte est bien une carte bancaire, sans s'assurer qu'elle est rattachée à un compte valide. La carte fournit au terminal son identifiant et une valeur d'identification (toujours la même pour une carte donnée), qui correspond à cet identifiant chiffré au moment de la création de la carte à l'aide d'un algorithme et d'une clé privée connue du seul Groupement des cartes bancaires « CB ». Le terminal déchiffre alors cette valeur d'authentification à l'aide de la clé publique qu'il contient et vérifie que le résultat obtenu est bien égal à l'identifiant de la carte. La carte n'effectue donc aucun calcul. Elle ne fait que présenter ces deux données au terminal.
En 1999, un informaticien, M. Serge Humpich, a réussi à trouver ladite clé privée et a fabriqué une fausse carte à partir de cet identifiant valide et de cet identifiant chiffré avec cette clé secrète, en programmant la carte de manière à ce qu'elle réponde « ok » à tout code tapé.
Il convient cependant de remarquer que l'augmentation de la longueur de la clé rend son piratage plus difficile. Le passage des cartes au standard EMV (Europay, Mastercard, Visa), qui devrait être achevé au 1 er janvier 2003, devrait réduire considérablement ce type de fraude. Il est donc nécessaire que les émetteurs de cartes bancaires, à savoir les établissements de crédit, investissent les moyens financiers nécessaires pour assurer cette mutation.
b) La sécurisation des terminaux de paiement et des distributeurs automatiques de billets
Les terminaux de paiement électroniques (TPE) et les distributeurs automatiques de billets (DAB) constituent une pièce maîtresse du dispositif.
Les TPE permettent de faire le lien entre la carte et son porteur, entre le fournisseur et le réseau. En outre, ils enregistrent la transaction. Les TPE sont soit loués à la banque du commerçant dans le cadre d'un contrat qui peut prévoir la maintenance et la mise à niveau logicielle, soit achetés par le commerçant, qui doit alors gérer la maintenance.
Selon les chiffres fournis par le Groupement des cartes bancaires « CB », sur 648.000 terminaux de paiement, seuls 250.000 sont conformes à la norme CB5 (ils sont alors capables de lire des clés plus longues). En outre, tous les terminaux devront ensuite passer à la norme EMV. Il s'agit donc d'un investissement considérable bien qu'indispensable, qui doit tenir compte des capacités financières des commerçants qui ont déjà eu à supporter le coût du passage à l'an 2000 et doivent faire modifier les logiciels de leurs TPE pour le passage à l'euro.
Les DAB permettent le retrait de billets de banque après identification du porteur. Ils sont systématiquement connectés au centre informatique des banques émettrices de carte lors de chaque transaction. Les établissements de crédit sont responsables de leur fonctionnement.
Selon les chiffres fournis par le Groupement des cartes bancaires « CB », au 1 er janvier 2001, 33 % des distributeurs de billets (soit 35.000 en valeur absolu) sont encore dans l'incapacité de lire la puce , fragilisant ainsi la sécurité du système. Les banques se sont engagées à accélérer l'équipement des DAB afin que les retraits de billets se fassent uniquement par la puce. Le coût de cette opération est assez lourd puisqu'il s'élève à environ 300 millions de francs (soit environ 10.000 francs par distributeur) 4 ( * ) .
c) La sécurisation des paiements dans le cadre de la vente à distance
La sécurisation des paiements par carte bancaire dans le cadre de la vente à distance constitue un véritable enjeu économique dans la mesure où ce sont les paiements qui ont vocation à se développer le plus dans les prochaines années, alors qu'ils sont à l'heure actuelle peu fiables puisque les ordres de paiement sont dans la plupart des cas réalisés par la communication du numéro de la carte, de sa date d'expiration et du nom du porteur. Certes, en cas de fraude, le coût financier n'est pas supporté par le consommateur puisqu'il peut contester toute transaction à distance dont il n'est pas l'auteur. Mais le coût de la fraude est reporté sur le commerçant.
Ce type de paiement est intrinsèquement le plus difficile à sécuriser. Toutefois, dans le cadre des paiements par Internet, il existe des solutions techniques permettant de développer la sécurité des ordres de paiement donnés en utilisant un lecteur de carte connectable à l'ordinateur afin de faire contrôler le code secret par la puce.
D'après les informations obtenues par votre rapporteur, les obstacles au déploiement de ce dispositif résideraient surtout dans le coût unitaire du lecteur, de l'ordre de 200 francs. Votre rapporteur estime que ce coût est relativement modéré et qu'une solution pourrait être facilement trouvée pour en promouvoir l'acquisition, notamment lors de l'achat d'un ordinateur.
* 3 Rapport précité sur la sécurité des cartes de paiement, pages 37 et 38.
* 4 Les banques se sont lancées dans cet investissement tout en faisant part de leurs réticences à partir de deux arguments. Elles jugent cet investissement excessif au regard du montant de la fraude constatée (61 millions de francs en 2000). En outre, elles font remarquer que cet investissement ne mettra pas un terme aux fraudes liées au retrait de billets de banque : les autres types de fraude par l'utilisation de la violence ou l'abus de confiance persisteront tandis que les retraits effectués par des cartes bancaires étrangères, qui ne possèdent pas de puce, se feront toujours exclusivement par la lecture de la piste.