Sécurité des terminaux de paiement : élevée, mais des risques de fraude

Le nombre de transactions frauduleuses effectuées à l’aide d’un terminal de paiement est beaucoup plus faible (0,11 %) que celui observé sur les transactions à distance (0,39 %), d’après le rapport 2022 de l’Observatoire de la sécurité des moyens de paiement (Banque de France) [1].

Ce faible taux de fraude est dû au respect de normes rigoureuses qui président à la conception des terminaux de paiement.

Les terminaux de paiement sont sûrs, cependant le commerçant et le consommateur ne sont pas complètement à l’abri des fraudes et escroqueries. Il convient de les connaître afin de les prévenir.

Les TPE doivent se conformer à des normes de sécurité

Pour fabriquer et commercialiser un terminal de paiement, il faut se plier à des normes de sécurité, qui concerne aussi bien le terminal que la transmission des données. Ces normes sont émises par des consortiums de d’industriels du secteur et sont appliquées à l’échelle mondiale.

La norme EMVCo encadre la communication avec la carte

C’est la norme actuelle des cartes à puce. EMV est l’acronyme d’Europay, Mastercard et Visa, les fondateurs du standard auxquels se sont agrégés d’autres acteurs comme JCB, American Express etc.

Ce standard est inspiré de celui de la carte à puce française d’origine ; il a été conçu pour être plus sûr et devenir une norme internationale permettant aux cartes d’être utilisé dans tous les pays.

En Europe plus de 95 % des terminaux utilisent la norme EMV, qui implique notamment l’utilisation obligatoire du code NIP (PIN en anglais), qui signifie numéro d’identification personnelle, et le cryptage des données entre le terminal et la carte.

L’ensemble de la transaction doit s’inscrire dans un cadre sécurisé défini par la norme PCI DSS qui englobe le matériel et logiciel utilisés par le commerçant.

La norme PCI DSS évite les fuites de données

Cette norme est établie par le Conseil des normes de sécurité PCI (Payment Card Industry Security Standard Council), qui regroupe notamment les acteurs cités dans le paragraphe précédent.

Son but est de protéger les données du porteur de carte et tout particulièrement le numéro de carte. Ces normes peuvent s’appliquer à n’importe quelle entreprise qui traite des données bancaires.

Le standard de sécurité des données PCI DSS (Data Security Standard) impose de respecter 12 points regroupés en 6 directives :

1. Construire et maintenir un réseau sécurisé (pare-feu, mots de passes…)
2. Protéger les données du porteur de carte (stockage, cryptage…)
3. Avoir un programme de gestion des vulnérabilités (antivirus, système d’exploitation…)
4. Mettre en place des mesures de contrôle de l’accès aux données (limitations des données recueillies, identification, restrictions physiques)
5. Pratiquer des contrôles et enregistrer tous les accès aux données
6. Avoir une politique de sécurité information vis-à-vis du personnel

Il s’agit ici de directives globales. En réalité, chaque marque de carte de paiement met en place son propre programme de mise en conformité aux normes PCI DSS. Les entreprises qui traitent et stockent des données issues de carte bancaire doivent donc être certifiées par Visa, Mastercard, American Express, etc.

La norme PCI PTS s’assure de la conformité du terminal

La norme PCI PTS (PIN Transaction Security) concerne spécifiquement le lecteur de carte et s’inscrit dans le cadre de la norme PCI DSS. Les lecteurs nouvellement commercialisés doivent recevoir un certificat de conformité délivré par l’un des laboratoires partenaires du PCI Security Standards Council.

Voici dans les grandes lignes les éléments sur lesquels portent la conformité :

1. Sécurité physique et logique de dispositif acceptation du code PIN
2. Contrôle de la sécurité du terminal lors de la fabrication, de transport, etc.
3. Sécurité du protocole
4. Cryptage des données dans le terminal

Les terminaux ne sont pas à l’abri des fraudes

Malgré ces normes de sécurité, les TPE sont la cible des délinquants. Les commerçants ne sont pas à l’abri de fraudes et d’escroqueries qu’il convient de connaître pour s’en prémunir.

Dans certains cas c’est le commerçant qui est malveillant :

Fausse erreur de paiement – Le commerçant indélicat prétend qu’il y a eu une erreur dans la transaction et demande au client de répéter le paiement, sur une autre machine. Ainsi, le client finit par payer deux fois pour le même service ou produit.

L’écran défectueux – Le commerçant prétend que l’écran de la machine est défectueux et que le client ne peut donc pas voir les informations correctes de la vente. Le client tape quand même le mot de passe et finit par payer un montant plus élevé que prévu.

Le commerçant est le plus souvent la victime dans les affaires de fraude au terminal :

Le changement furtif de TPE – L’escroc achète un appareil identique à celui du commerçant et, sans que celui-ci s’en aperçoive, effectue l’échange au comptoir. De cette manière, tous les paiements enregistrés vont sur le compte du délinquant.

Image : Mobile Transaction

Le remplacement du TPE du commerçant par celui des fraudeurs est difficile à détecter.

Le skimming – Des dispositifs électroniques capable de lire et transmettre les données de carte bancaire sont généralement ajoutés aux distributeur de billets de banque, mais ils peuvent aussi être ajoutés à des terminaux de station service.

Les malwares – C’est un type de logiciel malveillant, qui peut être installé sur un TPE pour voler les données du client. C’est la tactique utilisée, par exemple avec le virus Prilex virulent en Amérique latine, qui génère un faux message d’erreur et peut même bloquer la transaction sans contact. Le client insère à nouveau sa carte et le logiciel malveillant vole les données puis les transmet au pirate.

L’ingénierie sociale – Ici les délinquants vont utiliser la faiblesse humaine pour parvenir à leur fin, en persuadant par exemple les employés de télécharger une nouvelle version d’un logiciel, qui est en réalité une version infectée par un virus.

Comment améliorer la sécurité des TPE ?

Le commerçant a intérêt à adopter un ensemble de bonnes pratiques et d’habitudes qui l’aideront à réduire les risques de sécurité au minimum lors de l’utilisation des terminaux de paiement.

Maintenir les TPE à jour – Veillez à ce que vos terminaux soient toujours équipés des dernières versions des applications et des systèmes d’exploitation. Ces mises à jour comprennent généralement des correctifs de sécurité et des corrections de bogues qui peuvent aider à prévenir la fraude et les violations de données.

Former ses employés – Tenez vos employés bien informés sur la manière de détecter et de prévenir la fraude à la carte bancaire. Veillez à ce qu’ils sachent identifier les activités suspectes et traiter correctement les informations financières des clients.

Être à l’affût de tout comportement suspect – Soyez attentif aux clients qui semblent nerveux, agités ou qui tentent de vous distraire. Les fraudeurs peuvent travailler en équipe, une personne essayant de perturber le vendeur pendant qu’une autre installe le skimmer dans le TPE ou effectue la substitution.

Image : Mobile Transaction

La mise à jour régulière du terminal est nécessaire et doit suivre un protocole précis.

Sécuriser le mode hors-ligne – Les terminaux de type Ingenico sont capables de télécharger des listes de cartes bloquées, ainsi le blocage est opérationnel même en mode hors-ligne, c’est-à-dire sans qu’il y ait besoin interroger la banque de l’émetteur ou le réseau de carte bancaire.

Inspecter les terminaux – Recherchez des pièces desserrées ou mal alignées. Les escrocs installent souvent un dispositif sur le terminal qui semble faire partie de l’appareil, mais qui est repérable avec de l’habitude.

Sécuriser les appareils – Empêchez tout accès non autorisé. Conservez les TPE dans un endroit sûr lorsqu’ils ne sont pas utilisées et veillez à ce que seul le personnel autorisé y ait accès. Ne laissez pas la machine sans surveillance sur le comptoir. Utilisez des mots de passe fort.

Rapprochement quotidien – Veillez à ce que les transactions effectuées sur le terminal correspondent aux ventes enregistrées dans votre logiciel de caisse en procédant à un rapprochement quotidien des transactions.

Sources

[1] Observatoire de la sécurité des moyen de paiement –  rapport T1 2022 (PDF)