Le cas a fait grand bruit outre-Sarine: un certain Werner Zippel découvre un avis de débit de 807 euros sur le décompte mensuel de sa carte de crédit. Montant qu’il n’a jamais dépensé. Il contacte alors sa banque pour signaler l’erreur. C’est là qu’il apprend qu’un paiement sur internet a été effectué avec sa MasterCard SecureCode et que, par conséquent, la responsabilité lui incombe.
Faille dans l’inscription
MasterCard SecureCode ou Verified by Visa, c’est blanc bonnet et bonnet blanc. Il s’agit en fait du nouveau protocole appelé «3D Secure» et destiné à améliorer la sécurité des transactions sur internet. Il oblige les détenteurs de cartes de crédit à s’identifier via un mot de passe avant de conclure tout achat en ligne.
Mais la mésaventure de Werner Zippel prouve que le système n’apporte de loin pas toutes les garanties attendues. La faille se trouve dans la procédure d’enregistrement pour l’obtention du code 3D Secure. Il suffit, en effet, aux fraudeurs de connaître quelques données basiques de leur victime pour créer un faux profil en ligne. Profil qui leur suffira pour se procurer très facilement le fameux code (lire encadré).
En Suisse, UBS, PostFinance, GE Money Bank et Viseca exigent déjà ce nouveau protocole pour toute transaction sur les sites internet qui l’ont intégré. Et Bonus Card SA l’introduira dès cet été sur les cartes de crédit CFF et Jelmoli. L’acheteur est généralement averti à trois reprises de son existence, à la suite de quoi il est obligé de s’enregistrer pour faire tout nouvel achat. Seul Cornèrcard laisse le choix au consommateur en se contentant de lui rappeler le procédé à chaque opération.
Risques non assumés
Au-delà de cette faille dans l’enregistrement, cette nouvelle technologique présente d’autres inconvénients de taille: Cornèrcard et Viseca vantent le procédé 3D Secure, mais se déchargent des risques potentiels. En clair, si un détenteur de carte de crédit est victime d’une fraude comme Werner Zippel et que des achats sont faits sur son dos, il devra en assumer les conséquences. Viseca accepte toutefois d’entrer en matière si un piratage informatique peut être prouvé. Mais Cornèrcard estime que l’utilisation du code 3D Secure a la même valeur qu’une signature et que le titulaire en est responsable «quand bien même cette utilisation serait le fait de tiers non autorisés».
En revanche, à UBS, PostFinance, GE Money Bank et Swisscard, le recours au code 3D Secure ne provoque pas un glissement aussi insidieux des responsabilités vers le détenteur d’une carte.
Inscription à la légère
Les banques émettrices de cartes de crédit prétendent que la sécurité a été renforcée grâce au protocole 3D Secure. C’est peut-être vrai pour le cryptage des données en ligne, mais l’est nettement moins dans le processus d’inscription. Alors que les codes d’identification (PIN) pour les cartes bancaires sont généralement transmis par courrier postal, l’obtention du code 3D secure peut se faire très aisément sur internet.
En résumé, il suffit de rentrer les données suivantes pour obtenir le fameux code 3D Secure: les nom et prénom du propriétaire, le numéro de la carte et le code de sécurité à trois chiffres inscrit au dos de la carte ainsi que la date d’expiration et sa date de naissance. Autant de données que les fraudeurs peuvent se procurer sans difficulté pour créer un code 3D Secure à l’insu du vrai propriétaire. On ne peut dès lors que conseiller aux détenteurs de cartes de crédit qui ne l’auraient pas encore fait, de procéder à l’inscription pour éviter de se faire devancer par des petits malins malintentionnés.