L'OSMP a publié le 10 septembre 2024 son rapport annuel 2023 présentant le bilan de l'activité des moyens de paiement et la situation de la fraude.
Vous retrouverez ici nos commentaires sur ces points. Mais si l’évolution des paiements et de la fraude fait l’objet dans la presse et les médias de nombreuses reprises et commentaires, cette thématique ne reflète pas l’ensemble des travaux de l’OSMP.
Nous avons donc choisi ici de nous focaliser ici sur trois sujets d’importance pour les années à venir qui sont également abordés dans ce rapport.
Travaux sur la fraude aux paiements SEPA
Le développement du virement instantané représente désormais 6% du nombre de virements émis. La fraude observée dans ce domaine est pour le moment extrêmement basse. Mais la croissance du virement, notamment dans sa version instantané, expose les acteurs à de nouveaux risques, dont les commerçants peuvent également être victimes. L’Observatoire de la sécurité des moyens de paiement propose, dans ce chapitre, un tour d’horizon des mesures et bonnes pratiques. Au-delà des mesures communes à tous les moyens de paiement (authentification, pédagogie …), voici quelques unes des pistes évoquées :
• la temporisation : elle existe déjà en cas de suspicion sur le virement classique, mais est interdite dans le cas des virements instantanés par les exigences règlementaires. Nous ne sommes pas favorables à cette pratique à contre‑courant de la tendance du marché qui converge vers des paiements plus rapides et plus fluides.
• Les partage de données : souvent évoquées, ces initiatives se heurtent toutefois aux droits nationaux qui empêchent le partage des données clients hors des frontières du pays, voire entre des établissements d’un même pays. La communauté bancaire française a néanmoins souhaité engager des travaux dans l’optique de mettre en œuvre un dispositif de partage de données, dont la Banque de France serait le tiers de confiance gestionnaire, et de faire évoluer la législation française au préalable. Nous sommes favorables à cette évolution de partage de données dans le cadre exclusif de la lutte contre la fraude bien sûr.
• Le contrôle de cohérence entre l’IBAN et le nom du bénéficiaire prévu par le règlement sur le virement instantané sera également de nature à renforcer la protection contre les virements frauduleux.
• Enfin, l’arrivée prochaine de solutions d’identité numérique (eIDAS) pourrait être utilement mise à profit pour sécuriser les KYC tant pour les particuliers que pour les entreprises.
Les travaux avec les opérateurs de télécommunications
Les fraudeurs se sont adaptés. Ils ont développé des techniques d’attaque par manipulation. En particulier, la fraude au faux conseiller bancaire consiste soit à faire valider les opérations frauduleuses par les victimes elles‑mêmes, soit à ce que les fraudeurs s’approprient les outils d’authentification forte pour réaliser directement des opérations frauduleuses. La collaboration du monde bancaire avec celui des télécoms est une priorité que nous soutenons pour lutter contre ces pratiques. Parmi les initiatives en cours :
• Le programme MAN (mécanisme d’authentification des numéros) prévu par la loi dites « Naegelen » est enfin appliqué depuis le 1er octobre 2024. Il prévoit l’interruption de l’acheminement (c’est‑à‑dire la coupure) des appels qui ne sont pas authentifiés.
• la lutte contre le smishing (SMS frauduleux) par la protection des OAdC (Originator Address Codes), libellé du sms qui s’affiche en lieu et place du numéro de l’émetteur. Lorsqu’il est usurpé, il laisse entendre au destinataire du SMS que ce dernier provient d’un expéditeur légitime (banque, service public, etc.) ;
• La lutte contre le SIM swapping (changement de carte SIM par le fraudeur) avec le recours à l’API multi‑opérateurs « SIM verify ».
L’informatique quantique et la sécurité des systèmes de paiement par carte bancaire
L’informatique quantique offre des perspectives prometteuses dans bien des domaines. Mais un cas d’usage bien identifié est problématique à un horizon de dix à vingt ans : le déchiffrement des communications électroniques sécurisées, dont les paiements. Il s’agit d’une menace sérieuse vis‑à‑vis de la sécurité nationale qui est déjà prise en considération par les autorités publiques (le Mémorandum de sécurité nationale américain de mai 2022 et la loi française de programmation militaire d’août 2023).
Le secteur des paiements doit s’en saisir, dès maintenant et à haut niveau, en raison des cycles de vie des matériels et logiciels de paiement par carte (puces, terminaux de paiement électronique [TPE], serveurs, etc.).
La fiche de veille technologique du rapport de l’OSMP lance donc une alerte et une approche visant à anticiper les besoins chez les acteurs du paiement pour inventorier les différents dispositifs de sécurité des systèmes d’information, évaluer les vulnérabilités, hiérarchiser les données selon leur degré de sensibilité et réaliser des expériences d’implémentation de solutions. Elle invite également à mener ces travaux à l’échelle européenne.
Nous vous invitons à découvrir ces trois sujets de façon plus approfondie dans le rapport lui-même à télécharger ici