Acheter en ligne sur Internet
Depuis l'année 2007, le paiement sur Internet est devenu un acte banal pour 45% des français.
La carte bancaire est le moyen de paiement le plus simple pour régler un achat en ligne mais ne l'utilisez que si vous êtes certain de pouvoir identifier le commerçant. Assurez-vous aussi que votre ordinateur est protégé par un anti-virus et un firewall (pare-feu) à jour.
L'année 2004 a marqué un tournant dans les habitudes d'achat des français. Faire ses emplettes sur Internet et payer en ligne ne semble plus poser de problème à une majorité des internautes. Ainsi en France, la FEVAD a recensé plus de 25 millions de cyber-acheteurs actifs durant l'année 2010, et près de 30 millions fin 2011.
A titre d'exemple, nous citerons la SNCF qui réalise dorénavant autant de ventes par Internet que les guichets en gare. Le volume des achats réalisés sur Internet par carte bancaire a augmenté de 30% par an ces cinq dernières années.
Quelles informations sont demandées pour payer en ligne par CB ?
- Votre nom tel qu'il apparait sur la carte.
- Le numero à 16 chiffres de votre carte de paiement.
- Les 4 chiffres de la date de validité représentant le mois et l'année.
- Les 3 derniers chiffres du pictogramme au dos de la carte de paiement.
- Depuis 2010, certaines banques effectuent une vérification supplémentaire : envoi d'un code par texto pour confirmer la transaction, question secrète, âge du porteur de la carte, etc ...
Toute personne disposant de ces informations peut effectuer un achat en ligne, tant que la carte n'est pas déclarée volée et mise en opposition. Chaque paiement en ligne initie une demande d'autorisation par contrôle du format du numéro de la carte puis par interrogation du fichier des cartes volées ou mises en opposition.
Le réseau inter-bancaire qui centralise les informations renvoie alors un accord, ou refuse l'autorisation de paiement.
En aucun cas, vous n'aurez à communiquer votre code confidentiel à 4 chiffres.
L'obligation depuis Janvier 2004, de fournir le pictogramme inscrit au dos de la carte a été mis en place pour protéger le commerce en ligne des impayés. Il est aujourd'hui impossible de produire ce code avec les logiciels générateurs de "carte probable".
Les risques auxquels s'expose le cyber-consommateur.
- Le site malhonnête : La marchandise n'est pas livrée ou le site utilise les identifiants bancaires pour réaliser des opérations frauduleuses.
Evitez d'acheter sur les sites X et les commerces en ligne situés à l'étranger et notamment dans les paradis fiscaux.
- Le piratage des identifiants bancaires pendant la communication par écoute de la ligne ou plus probablement par vol de fichiers client sur le serveur du site marchand.
- La capture de vos identifiants bancaires sur votre PC par un programme espion de type Keylogger, une technique de plus en plus utilisée par les pirates.
Avant d'utiliser votre ordinateur pour faire des achats en ligne, il convient de
sécuriser le poste et l'accès au réseau.
La connexion sécurisée au serveur de paiements.
Lors du paiement en ligne et plus particulièrement au moment de la saisie de vos identifiant bancaires vous devez vous assurer que la communication va bien s'effectuer en mode sécurisé. L'encodage
SSL (Secure Sockets Layer) est un algorithme d'encryptage à clé réputé pour son inviolabilité. Selon la configuration de votre navigateur une boite d'alerte peut vous prévenir du passage en mode sécurisé mais il y a plusieurs indication qui permettent d'identifier une liaison encryptée :
- L'url dans la barre d'adresse commence par https
|
Le protocole https |
- Un cadenas fermé s'affiche en bas du navigateur
|
Le cadenas du mode SSL |
L'encryptage des données n'est pas la seule fonctionnalité du protocole SSL. Il assure également l'identification du serveur auquel le navigateur client se connecte. Cette opération est réalisée à l'aide d'un certificat numérique délivré par des sociétés appelées autorités de certification. Ainsi les navigateurs en mode HTTPS vérifient ce certificat et signalent toute anomalie pouvant apparaitre sur la date de validité et l'identification de l'autorité ayant délivré le certificat.
Si vous ne pouvez vérifier l'activation du mode SSL, vous devez reconsidérer votre achat.
Même si le risque est faible de voir des informations non cryptées être interceptées sur le réseau, l'encodage d'information confidentielles est une mesure élémentaire de sécurité qui lorsqu'elle n'est pas mise en place doit être perçue comme une négligence inacceptable.
Aujourd'hui, l'évolution des solutions de paiement en ligne tend à dégager les sites marchands des opérations bancaires. La transaction est alors intégralement sous-traitée sur le serveur d'une banque - sécurisation SET (Secure Electronic Transaction). Vos informations bancaires ne sont alors ni connues, ni stockées sur le site ou vous réalisez votre achat. Si vous avez le choix vous devez préférer cette solution de paiement.
Une alternative : la carte virtuelle de paiement dynamique CVD.
L'idée de l'e-Carte Bleue a été introduite en 2001 et connait un succès mitigé car toutes les banques ne proposent pas encore ce service. Ce dispositif est portant une solution idéale pour le porteur de carte.
Grâce à un logiciel à télécharger sur le site de votre banque, vous allez pouvoir générer des identifiants de carte bancaire à votre nom, à usage unique et de courte durée. Le numéro étant utilisable une seule fois, il empêche toute réutilisation ultérieure sur le Web. Aujourd'hui, les banque proposant ce service sont le Crédit Lyonnais, Axa Banque, la Société Générale, la Banque Populaire, la Caisse d'Epargne et la Poste. Il serait souhaitable que tous les cyber-commerçants acceptent ce mode de paiement.
Les réservations en ligne à la suite desquelles il faut présenter la carte bancaire pour retirer, par exemple des billets de spectacle, ne peuvent pas être effectués avec une e-carte bleue.
Renseignez auprès de vote établissement bancaire pour bénéficier de cette formule de paiement.
Les labels et les assurances du commerce en ligne.
Le label Fia-Net propose des garanties pour le commerce en ligne. Associé à BNP Paribas pour le paiement sécurisé, Fianet garantit la sécurité des transactions et couvre, contre toute fraude, aussi bien le cyber-consommateur que le site marchand. Ce label est matérialisé par un logo présent sur les sites de commerce.
Il est aussi possible de souscrire des assurances spécifiques couvrant aussi bien les risques de fraudes à la carte bancaire, que la casse pendant la livraison ou les défaillances du marchand. A cet effet, de nombreuses banques associent à leur carte bancaire une garantie optionnelle dit "garantie Internet".
Ces assurances vous rembourseront les frais d'opposition et les franchises que certaines banques appliquent au remboursement des opérations frauduleuses.
Les mesures à postériori en cas de débit frauduleux.
L'utilisation frauduleuse d'identifiants bancaires reste le plus souvent limitée à l'achat de prestations en ligne anonymes. Il s'agit dans ce cas de petites sommes mais ces opérations pouvant se répéter l'addition peut rapidement augmenter. Tout possesseur de CB doit aujourd'hui plus que jamais être vigilant en épluchant régulièrement ses relevés bancaires.
La Loi sur la Sécurité Quotidienne du 15/11/01.
Cette loi contient plusieurs dispositions qui modifient le Code monétaire et financier. La loi généralise la possibilité de contester un paiement effectué à distance avec une carte bancaire (Carte Bleue, Visa, MasterCard) durant les 70 jours qui suivent l'opération, si le paiement a été effectué frauduleusement, à distance, sans utilisation matérielle de la carte, ou si la carte a été contre-faite et que, au moment de l'opération, le propriétaire de la carte était lui-même en possession physique de sa carte.
Vous pouvez consulter intégralement, la
LOI n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne. Les articles 34, 36, 37 et 38 précisent les conditions de remboursement d'un débit frauduleux réalisé en ligne.
Article 34 : Modifie l'alinéa de l'article L. 132-2 du Code Monétaire et Financier :
« Il ne peut être fait opposition au paiement qu'en cas de perte, de vol ou d'utilisation frauduleuse de la carte ou des données liées à son utilisation ... »
Article 36 : A la suite de l'article L. 132-2 du C.M.F., il est ajouté un article L. 132-4 ainsi rédigé : « Art. L. 132-4. - La responsabilité du titulaire d'une carte mentionnée à l'article L. 132-1 n'est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte. De même, sa responsabilité n'est pas engagée en cas de contrefaçon de sa carte au sens de l'article L. 163-4 et si, au moment de l'opération contestée, il était en possession physique de sa carte. ... Si le titulaire de la carte conteste par écrit avoir effectué un paiement ou un retrait, les sommes contestées lui sont recréditées sur son compte par l'émetteur de la carte ou restituées, sans frais, au plus tard dans le délai d'un mois à compter de la réception de la contestation. »
Article 37 : Après l'article L. 132-2 du C.M.F., il est inséré un article L. 132-5 qui précise : « Art. L. 132-5. - En cas d'utilisation frauduleuse d'une carte mentionnée à l'article L. 132-1, l'émetteur de la carte rembourse à son titulaire la totalité des frais bancaires qu'il a supportés. »
Article 38 : Après l'article L. 132-2 du C.M.F., il est inséré un article L. 132-6 rédigé ainsi : « Art. L. 132-6. - Le délai légal pendant lequel le titulaire d'une carte de paiement ou de retrait a la possibilité de déposer une réclamation est fixé à soixante-dix jours à compter de la date de l'opération contestée. Il peut être prolongé contractuellement, sans pouvoir dépasser cent vingt jours à compter de l'opération contestée. »
Si vous constatez un débit frauduleux, vous devez le contester par écrit de préférence en RAR às de votre banque dans un délai maximum de
70 jours à 120 jours (vérifier votre contrat) à compter de l'opération.
La banque est légalement tenue de recréditer le compte de son client.
Pour conclure :
La fraude à la carte bancaire représente un tout petit pourcentage des transactions en ligne. En 2003, les services du Ministère de l'Intérieur ont recensé 12000 plaintes relatives à l'utilisation frauduleuses de cartes bancaires françaises sur Internet. Depuis, ce chiffre a sensiblement augmenté et 14000 plaintes pour usurpation d'identité lors d'un achat sur Internet ont été déposées au cours de l'année 2009.
Pour le cyber-consommateur les risques liés à l'achat en ligne par CB sont bien réels mais les intervenants indélicats du commerce traditionnel sont majoritairement à l'origine du détournement d'identifiants bancaires.
Tout propriétaire de carte bancaire est de fait exposé à cette nouvelle forme de fraude liée au développement des formules de paiement en ligne qui sont réalisés sans le code confidentiel. En cas de débit frauduleux, il est conseillé de déposer une plainte. Mais depuis l'année 2010, la police aurait reçu pour consigne de n'enregistrer que des mains courantes lorsque les victimes n'ont pas été physiquement dépossédées de leur carte de crédit...
... dernière mise à jour en février 2012