Paiements en ligne : comment les pirates contournent la double authentification
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
![Image Un forum russophone sur Kaspersky victime d’un [vol de données]](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
Ce 3 février 2022, la Banque de France a fait le point sur la fraude aux paiements en ligne et a alerté sur les techniques employées par les cybercriminels pour contourner la double authentification.
La directive européenne des service de paiement (DSP2) a imposé la mise en place d’une authentification forte pour valider les paiements à distance, via un second facteur d’authentification (validation dans une application mobile, code envoyé par SMS, ou boitier physique pour les personnes ne disposant pas d’un smartphone).
Obligatoire depuis mai 2021, opérationnelle aujourd’hui chez 97 % des porteurs de cartes bancaires en France, cette double authentification avait déjà été déployée par de nombreuses banques avant cette date, limitant ainsi le piratage des paiements en ligne en France.
Ce 3 février 2022, la Banque de France révèle en effet, dans son observatoire, un reflux de 14 % de la fraude aux paiements en ligne au premier semestre 2021, par rapport à la moyenne de l’année 2020. Les fraudes ne touchent plus que 0,149 % des transactions à distance. Les rares paiements non soumis à l’authentification forte sont d’ailleurs deux fois plus frappés par la fraude.
La Banque de France alerte par ailleurs sur les techniques employées par les cybercriminels pour contourner cette double authentification chez les particuliers, au-delà de la fameuse « arnaque à la carte SIM », qui vise majoritairement des professionnels. Le plus souvent, les pirates appellent une personne vulnérable (souvent âgée), peu à l’aise avec les TI et dont ils possèdent les numéros de carte bancaire, via du phishing ou un malware.
Ils se font alors passer pour la banque de la victime, sous prétexte d’une “transaction frauduleuse” ou d’une “tentative de fraude” et lui demandent de réaliser un « test de sécurité » ou une « opération d’annulation ». Ce faisant, ils incitent la cible à valider un paiement donné ou à modifier le numéro de téléphone autorisant la double authentification, au profit d’un smartphone qu’ils contrôlent.
La Banque de France invite donc chacun à rappeler à son entourage, en particulier aux personnes vulnérables, les bonnes pratiques pour éviter le phishing et la fraude, en insistant sur le fait qu’une banque ne demandera jamais à un client « de valider à distance une opération à des fins de test ou en réponse à une fraude ».