Achats en ligne : comment les sécuriser ?

Achats en ligne : comment les sécuriser ?
Ne répondez pas aux messages demandant vos données bancaires ! - © franckreporter

Même si les montants détournés sont moins élevés, le nombre de cartes de paiement utilisées en fraude a bondi de 40 % en 2 ans, principalement sur Internet. Nos experts examinent 8 idées reçues pour vous aider à acquérir les bons réflexes.

Les piratages sont dus à
 un défaut de sécurisation des sites marchands

Vrai, en partie 

« Le risque de se faire voler son numéro de carte, sa date d’expiration et son cryptogramme peut venir soit du piratage de la base de données clients d’un site ou d’une application où elles sont enregistrées, soit
 de votre ordinateur ou smartphone où un logiciel espion a été installé à votre insu pour enregistrer ces données et les communiquer à un fraudeur », explique Frédérique Richert, directrice marketing banque digitale chez Gemalto, le spécialiste français de la sécurité numérique. Le risque de hameçonnage ou phishing est aussi conséquent. Non protégés, vos identifiants, voire vos numéros de carte bancaire, se retrouvent en pâture sur le
 Net.

« Les données d’une carte française se monnayent autour de 15 euros », précise le colonel Cyril Piat, du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie nationale.

Rien ne s’oppose à l’utilisation frauduleuse d’une carte jusqu’à
 son opposition

Faux 

En France, les règles de sécurité établies 
par les cybercommerçants et les banques limitent les transactions frauduleuses. Certains sites repèrent ainsi l’utilisation de cartes volées en détectant les incohérences entre la transaction et l’historique des achats, les lieux de connexion, etc. S’ils ont adhéré à 3D Secure – solution grâce à laquelle la banque authentifie le payeur comme le porteur de la carte en lui envoyant un code par SMS ou une notification sur mobile pour valider la transaction –, cette dernière pourra aussi être bloquée. Reste que, pour passer sous les radars de 3D Secure, les pirates multiplient désormais les achats de montants modestes qui ne déclenchent pas le système.

Mieux vaut acheter chez les géants du e-commerce que sur de petits sites

Plutôt vrai

Près de 80 % des entreprises ont été la cible d’au moins une cyberattaque en 2017, d’après un rapport du ministère de l’Intérieur de juin dernier. Aucun site n’est à l’abri, même si les géants consacrent davantage de ressources à leur cybersécurité. Cela explique le succès de leurs « marketplaces » : Amazon, Cdiscount ou Rueducommerce... y accueillent les articles de petits commerçants et permettent ainsi à leurs clients de payer en ligne plus sereinement.

Soyez vigilant face à un site inconnu, notamment ceux aux prix alléchants, promus par des petites annonces ou les réseaux sociaux. Au mieux, les produits seront contrefaits ou jamais livrés. Au pire, le site n’est destiné qu’à collecter vos numéros de carte... Pour débusquer les chausse-trappes, consultez les forums où ces sites sont signalés, comme Signal-arnaques.com.

Les cartes bancaires virtuelles sont plus sûres

Vrai 

Service payant proposé par les banques, ces e-cartes bleues permettent de générer un numéro de carte valable pour un seul achat. Les numéros ne pouvant être réutilisés, il n’y a aucun risque de détournement a posteriori.

« Mais cette solution n’offre pas une expérience satisfaisante », précise Frédérique Richert. Non mémorisables, ces cartes à usage unique ne permettent pas les achats en un clic – au grand dam des sites marchands – pas plus que des achats de billets de spectacle ou de titres de transport retirables sur présentation de la carte utilisée, ou encore ceux d’abonnements à paiement mensuel automatique (VOD, forfait mobile, etc.).
 La plupart des banques ne les proposent plus. Comme alternative, « les particuliers peuvent opter pour une carte bancaire à cryptogramme dynamique, dont le code à trois chiffres au dos change régulièrement sur un petit écran », précise Frédérique Richert.

Il est plus risqué d’acheter sur tablette ou mobile que sur ordinateur

Faux

« Android et iOS, les systèmes d’exploitation des smartphones et tablettes, sont plus récents que ceux des ordinateurs et donc mieux sécurisés, indique Frédérique Richert. Mais les attaques qui les visent sont de plus en plus fréquentes et évoluées. Les commerçants, comme les banques, doivent veiller à sécuriser leurs applications mobiles. » La sécurité des appareils dépend aussi de l’utilisateur, la base étant de verrouiller son appareil (code, empreintes, etc.) et d’utiliser un antivirus en téléchargeant les versions gratuites d’Avast, Avira, AVG ou Kaspersky... Des précautions incontournables si vous utilisez les solutions de paiement Apple Pay, Samsung Pay, Paypal ou Paylib.

Le hameçonnage est indétectable

Faux

Subir un premier piratage conduit généralement à être plus vigilant face
 aux pièges d’internet, notamment le hameçonnage. Il consiste pour les fraudeurs, après avoir copié l’identité visuelle d’une institution, à vous envoyer un message d’alerte ou une promesse alléchante afin de vous soutirer vos identifiants de connexion à un site ou vos données bancaires. Un mail de votre banque vous signale le blocage de votre carte, les impôts ou la CAF vous informent d’un trop perçu en votre faveur ? Méfiance !

« Le phishing peut aussi être réalisé par SMS ou appel téléphonique, note le colonel Cyril Piat. Ne communiquez rien sur demande
 et, dans le doute, contactez directement l’établissement à partir des coordonnées présentes sur vos factures. »

Il ne faut jamais enregistrer sa carte bancaire sur un site

Plutôt vrai

Inventé par Amazon, le paiement en un clic supprime la contrainte de saisir à chaque achat ses numéros de carte puisque vous avez accepté qu’ils soient enregistrés. Très pratique, cette solution appelle à plus de vigilance. Vos comptes doivent être sécurisés par un mot de passe complexe 
et vos ordinateur et smartphone protégés des attaques. À noter : depuis l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD) en mai dernier, en cas de vol de données, 
les entreprises sont désormais contraintes de signaler les attaques à leurs clients et
 aux autorités.

« Quand il y a une fraude, la responsabilité pèse sur le e-commerçant, il doit donc tout mettre en œuvre pour protéger les utilisateurs, d’abord, parce qu’il n’a pas envie de supporter un gros montant de fraude, ensuite, parce qu’il verrait sa réputation en pâtir, note Frédérique Richert. Cette situation va évoluer grâce à la directive européenne sur les services de paiement (DSP2) qui imposera aux banques de s’assurer que le risque est minimal et d’authentifier les porteurs de cartes lorsqu’elles le jugent nécessaire. »

Passer par Paypal
 ou Paylib, c’est plus sûr

Vrai

Les porte-monnaies électroniques, comme l’américain Paypal ou le français Paylib, ajoutent une couche de sécurité lors
 des paiements. Ces solutions incluent une authentification du payeur par un code et évitent le stockage des données de la carte bancaire qui lui est associée chez les e-commerçants. Seul point de vigilance à respecter, le couple e-mail et mot de passe choisi ne doit pas être déjà utilisé sur d’autres sites ou pour se connecter aux réseaux sociaux. Un fraudeur obtenant la combinaison après un vol de données pourrait sinon accéder à votre porte-monnaie électronique, comme c’est arrivé par le passé à des utilisateurs de Paypal.

Les bonnes habitudes pour limiter les risques

1. Tenir son antivirus à jour sur son ordinateur, utiliser un pare-feu (« rewall »).

2. Verrouiller son mobile avec un code, ses empreintes digitales ou la reconnaissance faciale.


3. Nettoyer régulièrement ses appareils avec des logiciels gratuits à télécharger : CCleaner, Glary Utilities, Malwarebytes.


4. Ne jamais communiquer ses données personnelles et bancaires en cliquant
 sur un lien reçu par e-mail ou SMS (banque, impôts, CAF, Pôle emploi...).


5. Ne pas enregistrer en favoris ses sites de e-commerce préférés ou celui de 
sa banque pour ne laisser aucun indice
 sur ses habitudes.


6. Choisir des mots de passe comportant au minimum 8 caractères dont une majuscule, une minuscule, un chiffre et un caractère spécial.

En cas de fraude en ligne, la banque doit vous rembourser

Lorsqu’il y a usurpation ou contrefaçon de vos numéros de carte, votre banque doit rembourser les sommes détournées ainsi que les frais d’agios éventuels et de fabrication de la nouvelle carte... Procédez dans l’ordre : faites immédiatement opposition et listez les opérations litigieuses. Signalez la fraude aux forces de l’ordre sur Service-public.fr. Un récépissé vous est transmis. Adressez-le par courrier recommandé à votre banque accompagné de votre demande de remboursement. D’après l’article L133-18 du Code monétaire et financier, 
elle doit vous rembourser le montant des opérations non autorisées au plus tard
 à la fin du premier jour ouvrable suivant sa mise au courant, sauf si elle a de bonnes raisons de soupçonner une fraude de votre part et si elle en communique les raisons par écrit à la Banque de France. Attention, si elle prouve une négligence grave de votre part, par exemple une très grande naïveté lors d’un hameçonnage, elle peut refuser de vous rembourser (article L133-23).

> À LIRE AUSSI

Fraude à la carte bancaire : une nouvelle plateforme pour obtenir réparation plus vite

Les cartes de fidélité sont-elles intéressantes ?