sur Internet - Université Paris

Livre Blanc
www.fia-net.com
La sécurité des transactions commerciales
sur Internet
Sixième Édition - Mai 2006
FIA-NET
15 rue du Faubourg Montmartre 75009 Paris
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de FIA-NET,
de ses ayants droits, ou ayants cause, est illicite (Loi du 11 mars 1957, article 40, alinéa 1).
Toutefois, la loi du 11 mars 1957 autorise les copies ou reproductions strictement réservées à l’usage privé
du copiste et non destinées à une utilisation collective d’une part, et, d’autre part, les analyses
et les courtes citations dans un but d’exemple et d’illustration (Article 41, alinéas 2 et 3).
© FIA-NET - 2006
Création, réalisation maquette et infographies : Franck Dastot & Corinne Gaston
2
Sommaire
Données et sources d’informations …………………………………………………………………… 4
Pertinence des échantillons suivis ……………………………………………………………………… 5
Méthodologie et périmètre ……………………………………………………………………………… 6
A. La fraude sur internet depuis 2002 …………………………………………………8
1. Taux de tentatives de fraude et d’impayés et panier moyen 2002-2005 ………………………… 9
2. Taux de tentatives de fraude mois par mois ………………………………………………………… 10
3. Taux d’impayés mois par mois ………………………………………………………………………… 11
B. De l’observation FIA-NET à une extrapolation pour le marché ……………… 12
C. Efficacité de la lutte contre la fraude …………………………………………… 13
D. De 2003 à 2005, les secteurs d’activité et la fraude ………………………… 14
1. Répartition des impayés par secteur en valeur (montant des fraudes) ………………………… 14
2. Répartition des impayés par secteur en volume (nombre de fraudes)…………………………… 14
E. Première approche dans le recensement des fraudeurs ……………………… 16
1. Méthodes d’analyse et données brutes …………………………………………………………… 16
2. Identification des fraudeurs ………………………………………………………………………… 17
F. La fraude en réseaux organisées ………………………………………………… 18
1. Méthodes d’analyse et données brutes …………………………………………………………… 18
2. Activité des réseaux …………………………………………………………………………………… 19
3. Techniques de camouflage des réseaux …………………………………………………………… 19
Conclusion
A. Deux outils d’analyse : le scoring et le contrôle humain……………………… 22
1. Le scoring interne ou externe………………………………………………………………………… 22
2. Les étapes du contrôle humain ……………………………………………………………………… 22
B. Le coût réel de la fraude ………………………………………………………… 24
C. Un taux d’incertitude réduit à moins de 1 % …………………………………… 25
3
Cette sixième édition du Livre Blanc de FIA-NET permet au lecteur
de mesurer l’évolution de la sécurité des transactions en ligne depuis 2000.
DONNÉES ET SOURCES D’INFORMATIONS
Depuis 2004, le Livre Blanc de FIA-NET se consacre exclusivement à la fraude frappant les commerçants,
qui subissent de fait les véritables préjudices liés aux failles dans la sécurité du paiement existant sur Internet.
Les fraudes et litiges frappant les internautes, parfaitement protégés par leurs contrats bancaires, dont les
principes ont été réaffirmés dans la Loi sur la sécurité quotidienne du 15 novembre 2001, étaient jusqu’alors
traités dans la seconde partie de ce livre blanc. FIA-NET leur consacrera dorénavant une étude à part entière,
distincte de ce Livre Blanc. Cette étude portera avant tout sur les litiges commerciaux dont sont victimes les
cyber-consommateurs. En effet, par leur fréquence, ces litiges constituent de très loin le premier risque auquel
s’expose tout acheteur en ligne, loin devant les problématiques d’incidents de paiement ou de piratage de
numéros de cartes bancaires en ligne.
Comme chaque année, les chiffres livrés par FIA-NET sur l’année qui vient de s’écouler ne doivent pas être
considérés comme définitifs : le temps de latence entre la réalisation d’une fraude, puis sa découverte par le
consommateur, puis enfin par le commerçant électronique éventuellement concerné, peut atteindre six mois,
voire les dépasser.
Toutefois, en se fondant sur les évolutions constatées les années précédentes entre les chiffres connus au moment
de la publication du Livre Blanc et les chiffres définitifs, FIA-NET a pu mesurer des taux de progression des
fraudes au cours des mois suivant la parution du Livre Blanc : cette observation statistique a permis de pondérer les
taux connus aujourd’hui pour prévoir leur état final qui ne sera sans doute fixé définitivement qu’entre septembre
2006 et janvier 2007. En effet, les temps d’imputation des fraudes sur les comptes bancaires des commerçants
concernés sont variables d’un site à l’autre : elles dépendent notamment du type de carte employée, mais aussi des
conditions des conventions signées entre le commerçant et sa banque. A titre d’exemple, ce délai, normalement
de 6 mois dans le contrat type CB, est porté à 8 mois par certains établissements bancaires.
La méthode statistique de pondération permet donc de modéliser les taux de fraude sur l’ensemble de l’année
2005 et, même si ces derniers seront encore réajustés lors du prochain Livre Blanc, de dresser la tendance du
marché dans son ensemble pour l’année écoulée.
Les sources d’informations de FIA-NET pour constituer ces statistiques n’ont pas varié depuis 2002. Il s’agit
des déclarations de sinistres adressées par ses clients, sites marchands, assurés contre les fraudes sur Internet et
utilisant le système d’analyse des commandes de FIA-NET.
4
PERTINENCE DES ECHANTILLONS SUIVIS
Les données présentées dans ce Livre Blanc fournissent des indicateurs pertinents de la fraude dans le secteur
du commerce électronique :
Tout d’abord, les observations ce Livre Blanc se fondent sur une analyse d’environ 961 millions d’euros de ventes
réalisées par les commerçants FIA-NET en 2005. En rapportant ces ventes à la taille du marché, estimée à 7
milliards d’euros par le Benchmark Group sur l’année écoulée, nous obtenons une base d’observation représentant
14% du marché en 2005. Il s’agit d’une base statistique très large garantissant la valeur des données.
Le Livre Blanc constitue le seul observatoire en temps réel et continu de la fraude sur le web français. Les
informations fournies sont donc indépendantes d’événements particuliers ou de la saisonnalité de l’activité
e-commerce, comme par exemple les fêtes de fin d’année.
La population étudiée nous semble être la plus représentative du marché dans son ensemble. Les sites intégrés
à cette étude offrent une image fiable de l’hétérogénéité du commerce électronique français. En effet, le réseau
FIA-NET rassemble un éventail large de cyber-marchands :
- 1 109 sites marchands différents…
- Présentant des nombres de transactions et des chiffres d’affaires variés : plus de 700 000 transactions et
200 millions d’euros de ventes pour le plus important d’entre eux à une transaction par mois en moyenne
pour les plus petits…
- Ayant une expérience du e-commerce ou nouveaux entrants : le site le plus ancien date de 1999 et FIA-NET
signe de nouveaux entrants chaque mois
- Vendant des produits cibles de la fraude ou des produits préservés : les contrats d’assurance de FIA-NET
imposent aux cyber-commerçants de soumettre l’intégralité de leurs ventes au système d’analyse des
commandes pour éviter des effets pervers dus à une anti-sélection.
La plupart des panels se concentrent sur les acteurs majeurs du web et fournissent donc des indications
représentatives d’un type particulier du e-commerce.
Les données proviennent des déclarations d‘incidents de paiement et constituent donc le miroir de la fraude
sur le Net. Il ne s’agit pas de sondages déclaratifs avec toutes les réserves à appliquer à ces techniques.
La méthodologie demeure identique depuis 4 ans ce qui permet de comparer les données. Les tendances
apportent autant d’informations qualitatives que les données annuelles brutes.
Enfin, la démarche garantit une homogénéité des critères de définition et de détection de la tentative de fraude
pour l’ensemble la population étudiée.
5
MÉTHODOLOGIE
2002 a vu la mise en place systématique du système d’analyse des commandes de FIA-NET sur ses sites
marchands assurés contre la fraude.
Dans le cadre de ce système, chaque transaction réalisée sur un site participant est analysée afin de calculer
une probabilité de fraude. Selon cette probabilité équivalant au niveau de risque de la transaction, une garantie
d’assurance est délivrée par FIA-NET. Les statistiques obtenues grâce à la mise en place d’un tel système sont
donc nettement plus fines que celles obtenues par FIA-NET en 2000 et 2001. En particulier, elles permettent
de suivre :
• le montant des ventes réalisées par le marchand,
• le montant des fraudes subies par ce marchand, et comparé à son chiffre d’affaires,
• le montant des tentatives de fraudes repérées par le système.
Mutualisé entre plus de 800 sites*, le système permet également d’appréhender la fraude dans sa globalité et de
tirer des statistiques comportementales sur les fraudeurs en termes de montant et de fréquence d’achat, sites
visés et type de matériels détournés.
La généralisation de ce système technique a également entraîné une évolution du périmètre suivi par FIA-NET.
Depuis novembre 2002, les sites n’implémentant pas cet outil de détection de la fraude ont été systématiquement
résiliés. La consolidation du e-commerce depuis l’an 2000 s’est aussi traduite par la disparition de nombreux
sites. L’ensemble de ces facteurs a conduit FIA-NET à modifier le périmètre statistique suivi.
Au 31/12/2005, FIA-NET assurait 1 109 sites* commerçants (1 081 au 31/12/2004).
FIA-NET a directement tiré les chiffres présentés ci-après du système d’analyse des commandes auquel
participent ou ont participé plus de 1 400 sites depuis 2001. Tous les indices suivis sont désormais étudiés
en termes de ratios sur les ventes des commerçants participants, ce qui a permis d’abandonner les méthodes
d’échantillonnage constant qui devaient être réajustées chaque année en raison des forts taux de disparition de
sites sur le marché.
En prônant cette approche sous forme de ratios et en livrant les chiffres comparables pour les trois exercices
précédents, FIA-NET permettra au lecteur d’avoir la vision statistique d’ensemble la plus exacte possible du
phénomène de la fraude à la carte bancaire sur le marché français, et de son évolution sur les 4 dernières
années.
* Tous les sites assurés (1.109 sites) ne soumettent pas l’ensemble de leurs commandes au Système d’Analyses des Commandes. Ils
ont donc été exclus de la population étudiée dans le Livre Blanc 2005 (800 sites).
6
LA LUTTE CONTRE LA FRAUDE
À LA CARTE BANCAIRE SUR INTERNET
Une menace de mieux en mieux maîtrisée par les sites
7
A. La fraude sur internet
depuis 2002
DEFINITION : On peut définir la fraude à la carte bancaire comme l’acte délictueux réalisé en utilisant des
moyens déloyaux destinés à commander une marchandise sur un site marchand sans en assurer le règlement. Il
est possible de distinguer deux types de fraudes dont le résultat est le même, la perte sèche de la marchandise
pour le commerçant sans règlement effectif de la contrepartie. Ces deux types de fraudes sont :
1. l’utilisation de numéros de cartes de paiement usurpés pour régler en ligne. L’usurpation peut trouver
son origine dans le vol physique de la carte, dans le simple vol du numéro ou encore dans la génération d’un
numéro de carte grâce aux algorithmes connus des fraudeurs, numéro de carte correspondant à un porteur
réel. Dans tous ces cas de figure, on a affaire à un porteur de carte de bonne foi, dont le numéro est utilisé à
son insu pour réaliser des achats chez des commerçants en ligne.
2. l’utilisation abusive et détournée de la Loi sur la sécurité quotidienne du 15 novembre 2001 permettant
à un acheteur identifié et malhonnête de se soustraire à ses obligations de règlement. L’acheteur affirme à
son banquier ne pas être à l’origine des achats afin de pouvoir les révoquer et ne pas les régler. Dans ce cas
de figure, à la différence du précédent, il y coïncidence entre le fraudeur et le porteur du numéro de carte
utilisé.
FIA-NET a été créé afin de protéger les commerçants électroniques contre ce type de risque. En effet, le
commerçant assume la responsabilité finale de tous les impayés survenant suite à révocation des paiements par
le porteur de bonne ou de mauvaise foi.
Afin de rembourser ce porteur, l’établissement recrédite son compte en débitant celui du commerçant chez
qui la fraude a été commise. Les conventions bancaires stipulent qu’il est de la responsabilité du commerçant
d’identifier correctement ses clients. A défaut, ses paiements ne sont pas garantis. C’est cette situation qui
prévaut sur Internet pour la quasi-totalité des transactions, en l’absence de tout dispositif d’authentification
forte (type signature électronique).
FIA-NET garantit les transactions des commerçants en s’attaquant à la fraude de 2 façons :
en remboursant les impayés subis par les commerçants suite à la réalisation de la fraude
en détectant les tentatives de fraude commises sur ses sites adhérents.
•
•
Dès lors, mesurer la fraude sur le marché français revient à prendre en compte ces deux phénomènes :
le taux d’impayés permet de mesurer la fraude effectivement réalisée qui donne lieu à une perte immédiatement
quantifiable par le commerçant
le taux de tentatives de fraude permet de mesurer l’ampleur des intentions de nuire des cyber-fraudeurs.
Même si ces dernières échouent, elles constituent bien un acte délictuel, notamment dans le cas où l’on se
retrouve bien face à un acheteur utilisant un numéro de carte à l’insu du véritable porteur.
•
•
Les statistiques livrées par FIA-NET dans ce Livre Blanc concernent donc ces 2 indicateurs majeurs :
par impayé, il faut entendre les fraudes réussies qui aboutissent à une perte sèche pour le commerçant
électronique
par tentative de fraude, on entend les transactions commises par des individus avec des moyens de paiement
usurpés, comprenant aussi bien les échecs que les transactions ayant réussi et aboutissant à des impayés.
•
•
Le suivi de ces 2 indicateurs est d’autant plus intéressant qu’il donne une vraie mesure de l’efficacité des sites
en matière de lutte contre les transactions frauduleuses.
8
1. Taux de tentatives de fraude et d’impayés / Panier moyen 2002-2005
3,00 %
700 ¼
Panier moyen des impayés
Taux d'impayés / ventes
600 ¼
Taux de commandes frauduleuses / ventes
2,41 %
2,50 %
2,22 %
500 ¼
1,83 %
1,73 %
2,00 %
400 ¼
1,50 %
300 ¼
1,00 %
200 ¼
578
200 ¼
569 ¼
100 ¼
0,46 %
0,22 %
505 ¼
360 ¼
0,50 %
0,27 %
0,07 %
0¼
2002
2003
2004
2005
0,00 %
GRAPHIQUE 1
ÉVOLUTION ANNUELLE DE LA FRAUDE DEPUIS 2002
•
2005 est marqué par une forte baisse de la fraude, tant en termes de tentatives que de fraudes effectivement
réalisées. Après une remontée sensible de ces deux indicateurs en 2004, le taux de tentatives et le taux d’impayés
finaux effectivement subis par les commerçants atteignent en 2005 un niveau plus bas que celui de 2003, déjà
marqué par une forte accalmie de l’activité frauduleuse.
Ce phénomène s’explique par une tendance régulière depuis 4 ans et qui se confirme en 2005 : la baisse du
•panier
moyen des impayés qui enregistre son niveau le plus faible sur ces 4 ans. Les impayés moyens subis par
les commerçants ne sont plus que de 360 euros contre 505 en 2004 et 578 en 2002.
Cette baisse du panier moyen des impayés est clairement le résultat des efforts des commerçants afin de
•lutter
contre les fraudes à la carte bancaire : devant l’impossibilité de détourner des marchandises de valeur
élevée, les fraudeurs concentrent leurs efforts sur des produits de valeur plus faible, sur lesquels les contrôles des
commerçants ne sont pas forcément aussi poussés et aussi systématiques que pour des articles plus chers.
•
La baisse des tentatives de fraude en pourcentage des ventes des commerçants (moins 29% entre 2004 et
2005) est sensiblement égale à celle du panier moyen. Ainsi, les tentatives de fraude ne sont-elles pas moins
nombreuses, mais elles visent des marchandises de valeur faible et elles aboutissent de moins en moins souvent.
9
2. Taux de tentatives de fraude mois par mois
140 000 000
120 000 000
C.A. mensuel
4,50 %
Taux de tentatives de fraudes
4,00 %
3,50 %
100 000 000
2,87 %
2,89 %
3,00 %
2,47 %
80 000 000
2,50 %
60 000 000
2,00 %
1,53 %
40 000 000
1,28 %
1,00 %
20 000 000
0
2002
1,50 %
1,46 %
0,50 %
0,00 %
2003
2004
2005
GRAPHIQUE 2
TAUX DE TENTATIVES DE FRAUDE RECENSÉS MENSUELLEMENT SUR LES SITES FIA-NET
Les tentatives de fraudes (en % du CA des sites) recensées sur les sites FIA-NET connaissent une baisse
sensible à partir de la fin de l’année 2004, principalement due à la baisse du panier moyen des tentatives de
fraude.
Cette baisse semble être le résultat des politiques de contrôle et de vigilance accrues des sites pour la préparation
des fêtes de Noël 2004, après les niveaux élevés de fraudes connus pendant les premiers mois de l’année : 5
mois de 2004 ont atteint ou dépassé 2,81%, contre un seul en 2003. En 2005, tous les mois de l’année restent
en dessous de la barre des 2,5 % et 11 sur 12 se situent sous les 2 points.
Très clairement, les efforts des commerçants semblent avoir payé car depuis 15 mois, la fraude ne revient pas
aux niveaux connus antérieurement. On notera seulement la reprise ponctuelle de la fraude au cours de l’été
2005, comme chaque année d’ailleurs, les fraudeurs profitant souvent des vacances scolaires pour procéder à des
usurpations d’identité en masse et se faire livrer à des adresses inoccupées.
Comme chaque année également, les plus bas niveaux de fraudes sont atteints à Noël, période au cours de
laquelle les fraudeurs qui ont une activité régulière toute l’année voient leurs tentatives « noyées » au milieu des
nombreuses commandes de personnes honnêtes pour cette période de l’année.
10
3. Taux d’impayés mois par mois
2,50 %
140 000 000
C.A. mensuel
Taux d'impayés sur C.A.
120 000 000
2,00 %
100 000 000
1,50 %
80 000 000
60 000 000
1,00 %
0,74 %
40 000 000
0,40 %
20 000 000
0
2002
0,05 %
0,26 %
2003
0,50 %
036 %
0,00 %
2004
2005
GRAPHIQUE 3
TAUX D’IMPAYÉS DE FRAUDE RECENSÉ MENSUELLEMENT SUR LES SITES FIAT-NET
Les taux d’impayés subis par les commerçants FIA-NET décroissent très nettement à compter de novembre
2004. Ils se stabilisent ensuite de façon régulière en dessous de 0,10% pour toute l’année 2005.
11
B. DE L’OBSERVATOIRE FIA-NET A UNE EXTRAPOLATION
POUR LE MARCHÉ
Portefeuille FIA-NET
Extrapolation sur le marché
Nombre de tentatives de fraude
50 364
366 621
Montant des tentatives de fraude
16 586 097
Taux estimé pour le marché
120 737 404
En % des ventes des sites
1,72 %
1,72 %
Nombre d'impayès
1 895
13 795
Montant des impayés
682 448
4 967 834
En % des ventes des sites
0,07 %
Taux estimé pour le marché
0,07 %
TABLEAU 1
LE PHÉNOMÈNE DE LA FRAUDE EN VALEUR ABSOLUE SUR LE PORTEFEUILLE FIA-NET
ET EN EXTRAPOLATION SUR LE MARCHÉ
La fraude reste une vraie menace pour les commerçants électroniques.
extrapolant les taux de tentatives de fraudes du portefeuille FIA-NET à l’ensemble du marché, estimé
•à 7Enmilliards
d’euros en 2005 par le Benchmark Group, on aboutit à plus de 120 millions d’euros de tentatives
sur l’ensemble de l’année (contre un peu plus de 100 millions en 2004).
•
Si les autres commerçants connaissent le même succès que les sites FIA-NET dans la lutte contre la
fraude, ce serait en revanche, au final, seulement 5 millions d’euros qui seraient détournés annuellement par
les fraudeurs.
•
La vraie question dans la lutte contre la fraude ne devient dès lors plus le coût final de cette fraude,
constitué par les impayés subis par le commerçant, mais bien le coût de gestion de la détection de fraude
pour réussir à passer d’un taux de tentatives de 1,72% à un taux finalement subi de 0,07%.
à ce marché de 7 milliards, le coût potentiel de la fraude évitée est donc de 1,65%, soit plus de
•115Rapporté
millions d’euros.
Ce tableau appelle trois questions :
1. Quelle part de ce budget de fraudes évitées les sites consacrent-ils pour lutter contre ce phénomène et
atteindre ces résultats, s’ils sont atteints sur l’ensemble des sites français ?
2. Quel est l’effet de la présence du logo FIA-NET ? A-t-il un effet dissuasif sur les tentatives de fraudes ?
Dans l’affirmative, le pourcentage de tentatives pour l’ensemble des acteurs devrait être supérieur à 1,72 %.
3. De la même manière, les sites isolés dans leur lutte contre la fraude, ne bénéficiant pas de l’effet de
mutualisation de l’information ni de l‘expertise du système d’analyse des commandes FIA-NET, peuvent
présenter un taux d’impayés supérieur à 0,07 %.
12
C. EFFICACITÉ DE LA LUTTE
CONTRE LA FRAUDE
L’indicateur d’efficacité suivi par FIA-NET en matière de lutte contre la fraude témoigne bien du succès des
marchands dans ces efforts : il est en constante amélioration depuis novembre 2004. A partir de février 2005, il
dépasse de façon ininterrompue ses plus hauts niveaux précédents connus en juillet 2003.
40,00
36,48 %
Ratio tentative de fraude / impayés
35,00
Moyenne mobile sur 6 mois
35,00
30,00
30,00
25,00
25,00
20,00
17,04 %
20,00
15,00
15,00
13,43 %
12,75 %
10,00
10,00
5,00
5,00
0,00
2002
0,00
2003
2004
2005
GRAPHIQUE 4
INDICATEUR D’EFFICACITÉ DE LA LUTTE CONTRE LA FRAUDE
RATIO MONTANT DES TENTATIVES / MONTANT DES IMPAYÉS
En juin 2005, pour un euro de fraude subi, ce sont 36,48 euros de tentatives de fraude qui ont été détectés et
évités.
Depuis la fin 2004, ce ratio est en très forte augmentation ce qui témoigne du succès des commerçants à
repérer les commandes frauduleuses. Comme on l’avait déjà vu précédemment, la baisse des impayés est donc
nettement plus forte que celle des tentatives et elle ne correspond donc pas à une baisse de la fraude dans son
ensemble, mais bien à la réussite des commerçants à la déjouer.
13
D. DE 2003 A 2005
LES SECTEURS D’ACTIVITÉ ET LA FRAUDE
1. Répartition des impayés par secteur en valeur (montant des fraudes)
40 %
75 % en 2005
35 %
2005
30 %
2004
25 %
2003
20 %
15 %
10 %
5%
0%
Électronique
matériel
Tourisme
Informatique
Mode et
textiles
Téléphonie
Électronique Électroménager
petit matériel
Parfums
Alimentation
Autres
GRAPHIQUE 5
RÉPARTITIION DE 2003 À 2005 DES IMPAYÉS PAR SECTEUR D’ACTIVITÉ
EN VALEUR (MONTANTS DÉTOURNÉS PAR SECTEUR)
Comme en 2004, le matériel électronique confirme sa grande popularité auprès des fraudeurs : il est le
•premier
secteur fraudé, avec 30% des impayés subis par les marchands. Comme chaque année, on y trouve
principalement des appareils photos, des caméscopes numériques et des lecteurs et enregistreurs numériques.
•
Tourisme (en deuxième place) et Informatique (en troisième place) échangent leurs positions de 2004, mais
confirment la grande stabilité du trio de tête des produits les plus fraudés depuis 2003. Comme en 2003 et
2004, le tourisme dont les vols secs représentent le produit le plus fraudé, présente le panier moyen le plus élevé
à 1 057 euros.
de la mode confirme sa progression entamée il y a 3 ans en se classant en 4 position avec près
•deLe10%secteur
des impayés. Avec un panier moyen de 255 euros, les vêtements de luxe et les lunettes de soleil de
ème
grandes marques se taillent la part du lion parmi les fraudes subies par les commerçants de ce secteur.
2. Répartition des impayés par secteur en volume (nombre de fraudes)
•
La téléphonie reprend la première place du classement en nombre d’impayés, comme en 2003. Avec un panier
moyen de 85 euros, c’est le secteur dans lequel les impayés sont les plus faibles en moyenne. 85% d’entre eux
sont d’un montant inférieur à 30 euros. Ils concernent des recharges téléphoniques à distance pour lesquelles la
fraude est relativement aisée (absence de livraison d’un matériel à une adresse physique). A noter : l’explosion
des fraudes concernant des téléphones GPS et des logiciels de géolocalisation, classés en téléphonie.
En nombre d’impayés, le secteur de la mode et du textile atteint désormais la troisième place, juste après le
matériel électronique.
•
14
Le petit matériel électronique comme les jeux videos et leurs consoles, les CD ou les DVD se classe en
•quatrième
position, juste devant le tourisme.
On
notera
aussi que l’électroménager et les parfums progressent régulièrement dans le hit-parade des
•
fraudeurs depuis 2003.
40 %
35 %
2005
30 %
2004
25 %
2003
20 %
15 %
10 %
5%
0%
Électronique
matériel
Tourisme
Informatique
Mode et
textiles
Téléphonie
Électronique Électroménager
petit matériel
Parfums
Alimentation
Autres
GRAPHIQUE 6 : RÉPARTITIION DE 2003 À 2005 DES IMPAYÉS PAR SECTEUR D’ACTIVITÉ EN VOLUME
(NOMBRE D’IMPAYÉS PAR SECTEUR)
Part des secteurs
dans la valeur de la fraude 2005 en %
4
Part des secteurs
dans le volume de la fraude 2005 en %
9
3 111
30
2
3 2
2
7
16
31
10
8
18
12
25
15
Électronique : matériel
Électronique : petit matériel
Tourisme
Électroménager
Informatique
Parfums
Mode et textiles
Alimentation
Téléphonie
Autres
GRAPHIQUES 7 ET 8
POIDS RESPECTIFS DE CHAQUE SECTEUR DANS LA FRAUDE EN
15
2005 EN VALEUR ET EN VOLUME
E. PREMIÈRE APPROCHE DANS LE RECENSEMENT
DES FRAUDEURS
1. Méthodes d’analyse et données brutes
Nombre de fraudeurs en 2005 (identités différentes)
9 752
Nombre de fraudeurs recensés par FIA-NET depuis 2000
25 171
Nombre de fraudes commises en 2005
31 518
10 942 668 ¼
Montant total des fraudes en 2005
Nombre moyen de fraudes par individu
3,23
Montant moyen par fraude
347 ¼
Montant moyen par individu
1 122 ¼
TABLEAU 2
NOMBRE DE FRAUDEURS ET VOLUME DE FRAUDE PAR INDIVIDU
FIA-NET a exclu de cette analyse, dont le but est de recenser les fraudeurs et leur façon d’agir, environ 18 000
transactions (plus de 50 000 tentatives de fraudes au total ont été recensées en 2005).
En effet, ces tentatives de fraudes ne permettent pas de relier les fraudeurs à des identités ou à des adresses
vraisemblables ou effectives (soit la livraison a lieu dans des points-relais, soit seule l’adresse est en fichier
« incidents » FIA-NET, mais les identités employées sont fantaisistes). Bien souvent, le but de ces nombreux
fraudeurs est avant tout de tester des numéros de carte sur les pages de paiement des sites (« carding »), sans
même essayer de récupérer une marchandise : ils ont donc été exclus de cette analyse. D’autres fraudeurs se
concentrent avant tout sur des sites de téléchargement, pour lesquels une identité réelle n’est pas nécessaire (pas
de livraison physique de marchandises).
Sur les 31 518 transactions avec une adresse de livraison identifiée, la typologie des fraudeurs recensés par
FIA-NET évolue également fortement par rapport à l’année précédente : 9 752 fraudeurs actifs ont été
repérés en 2005 (nombre d’identités distinctes employées), soit une augmentation de 16% par rapport à
l’année précédente. Depuis 2001, plus de 25 000 identités différentes ont été employées pour commettre des
escroqueries à la carte bancaire.
Ces fraudeurs ont réalisé plus de 31 000 commandes en 2005 pour environ 11 millions d’euros, soit 3,23
fraudes et 1 112 euros par identité employée.
Ces chiffres indiquent un changement clair de comportement de ces fraudeurs bien « identifiés » à des adresses
réelles : le panier moyen de leurs fraudes a chuté drastiquement passant de 534 euros à 347 euros. Dans le
même temps, le nombre moyen de fraudes commises par individu a augmenté (+35% de 2,40 achats à 3,23),
mais cette croissance s’est faite dans des proportions similaires, voire inférieures, à celles du marché. Au final,
ces chiffres traduisent bien une baisse générale des montants fraudés.
16
2. Identification des fraudeurs
Nombre de fraudes commises en 2005 sous ces identités
31 518
Nombre de fraudes pour lesquelles l'adresse de livraison était identifiée
comme celle de l'acheteur au moyen des annuaires
6 018
Pourcentage des fraudes totales
19,10 %
Nombre d'identités employées pour ces livraisons et donc clairement identifiées à ces adresses
2 130
Pourcentage des identitées des fraudeurs
21,84 %
TABLEAU 3
IDENTIFICATION DES FRAUDEURS PAR LES ANNUAIRES TÉLÉMATIQUES
19,10% des transactions réalisées par les fraudeurs le sont à des adresses présentant une identité clairement
identifiée par des annuaires télématiques et cohérente par rapport aux informations du bon de commande (88,90%
des fraudeurs se font livrer à des adresses existantes, mais non répertoriées dans les annuaires télématiques ou
sous des identités ne correspondant pas à celles de ces annuaires). Cette proportion de fraudeurs « identifiés »
est remarquablement stable par rapport à 2004 (18,9%). Près de 22% des identités employées par les fraudeurs
correspondent en 2005 à des identités réelles présentes dans des annuaires télématiques et cohérentes avec les
adresses de livraison fournies.
Ceci recouvre en fait deux phénomènes différents qu’il est parfois difficile de distinguer :
La fraude de « mauvaise foi », réalisée par des consommateurs abusant de la législation financière et
•bancaire.
Afin d’être remboursés, ils affirment à leur banque n’être pas à l’origine des commandes passées
avec leur propre numéro de carte.
•
Les usurpations d’identité qui consistent à réaliser une commande frauduleuse avec le numéro de carte
d’une personne honnêtes, mais aussi les coordonnées du même individu ou d’une autre personne honnête.
La livraison des marchandises a alors lieu soit :
- à l’adresse de la personne honnête, sans réel contrôle d’identité (dans un hall ou une cour d’immeuble
collectif en se faisant passer pour cette personne, alors qu’elle est absente),
- dans un lieu impersonnel où le fraudeur peut se présenter avec de faux papiers : poste restante, retrait
en magasin...
•
Il semble donc que ni l’un, ni l’autre de ces deux phénomènes n’aient connu de croissance marquée par
rapport à l’année précédente.
17
F. LA FRAUDE EN RESEAUX ORGANISES
1. Méthodes d’analyse et données brutes
Réseaux organisés en activité en 2005
679
Nombre d'identités utilisées par ces réseaux
4 573
Nombre de transactions réalisées par ces réseaux
17 079
Pourcentage des fraudes totales
54,09 %
5 318 334 ¼
Montant des fraudes réalisées par ces réseaux
Pourcentage des fraudes totales
48,60 %
Montant moyen par réseau
7 833 ¼
Nombre de transactions par réseaux
25,15
311 ¼
Panier moyen
TABLEAU 4
SEGMENTAIOTN DES FRAUDES EN RÉSEAUX ORGANISÉS
Les réseaux organisés identifiés par FIA-NET (groupe présentant au moins deux identités et deux adresses
de livraison distinctes, utilisées pour commettre des tentatives de fraudes et reliées entre elles par au moins un
élément personnel commun, comme le numéro de téléphone, l’e-mail ou encore le numéro de carte bancaire
employés lors de la commande) ont clairement évolué par rapport à 2004.
Ils sont nettement plus nombreux en 2005 qu’en 2004 : 679 contre 378, soit une hausse de près de 80%. S’ils
représentent toujours plus de la moitié des tentatives de fraudes en nombre, ils représentent en valeur moins de
la moitié des fraudes contre lesquelles doit lutter un commerçant.
Ceci vient avant tout de la baisse très forte du panier moyen des fraudes commises par ces réseaux : 311 euros,
contre 627 l’année précédente. Ils réalisent également moins de transactions en moyenne que l’année précédente :
25,15 contre 31,63 en 2004.
Loin de correspondre à une accalmie de ces fraudeurs organisés, la baisse de ces chiffres témoigne au contraire
pour FIA-NET d’une professionnalisation accrue de ces malfaiteurs.
Le nombre de transactions moyen baisse, mais en proportion nettement plus faible que la hausse du nombre de
réseaux. Dès lors, ceci témoigne surtout de leur capacité à brouiller les pistes laissées et à renouveler l’intégralité
des informations utilisées lors des tentatives de paiement (ne permettant pas d’identifier les différentes identités
employées comme appartenant au même réseau).
A la différence des années précédentes, ces fraudeurs organisés présentent un panier moyen nettement inférieur
à celui du fraudeur type. Ceci peut laisser penser qu’ils ajustent leurs stratégies de détournement de marchandises
à l’efficacité des filtres mis en place par les marchands et se rabattent sur des articles qu’ils savent être moins
surveillés.
18
Si moins de 50% des fraudes sont commises par ces réseaux (contre plus de 70% en 2004), ceci peut également
vouloir dire que ces fraudeurs parviennent à isoler totalement les identités utilisées (aucune similarité entre
les différentes tentatives de fraudes commises), et ne sont désormais pas plus identifiables que n’importe quel
acheteur type isolé.
2. Activité des réseaux
Conséquence directe de la baisse du nombre de transactions par réseaux en 2005, le nombre d’informations
différentes employées par chacun de ces réseaux est également en baisse par rapport à 2004.
Identités, adresses et téléphones restent les informations dont le nombre est le plus élevé en moyenne pour
chaque réseau, et donc celles dont le rythme de renouvellement est manifestement le plus élevé.
8,00
7,00
6,73
6,00
7,00
6,50
5,60
5,00
4,00
4,56
4,09
3,00
2,41
2,00
1,00
0,00
Nombres
de sites visés
Nombre d'identités
employées
Nombre d'adresses
employées
Nombre d'email
Nombre de
Dont téléphones
employées
téléphones employés
fixes
Dont téléphones
portables
GRAPHIQUE 9
ACTIVITÉ DES RÉSEAUX ORGANISÉS (PAR REÉSEAU, EN MOYENNE)
3.Techniques de camouflage des réseaux
La fréquence de changement des informations employées au cours des différents achats reste très importante
chez ces réseaux, mais elle a eu tendance à baisser par rapport à 2004. La baisse du nombre de transactions
réalisées par les réseaux organisés ne s’est pas faite dans la même proportion que celle du nombre d’informations
utilisées.
Ainsi, les fraudeurs organisés changent-ils d’e-mail tout les 4,49 achats (4,24 en moyenne en 2004), d’adresse
tous les 3,59 achats (2,97 en 2004) ou de téléphone tous les 3,87 achats (3,13 en 2004).
19
6,00
5,52
5,00
4,49
4,00
3,74
3,87
3,59
3,00
2,00
1,00
0,00
par identités
Par site
Par adresse
Par e-mail
Par téléphone
GRAPHIQUE 10
FRÉQUENCE MOYENNE DE CHANGEMENT D’INFORMATIONS PAR LES RÉSEAUX DE FRAUDEURS,
EXPRIMÉE EN NOMBRE MOYEN D’ACHATS EFFECTUÉS AVEC UNE DES INFORMATIONS CI-DESSUS,
AVANT D’EN CHANGER POUR UNE AUTRE
Ces fréquences de changement moins fortes que l’année précédente pour les réseaux organisés donnent autant
de chances supplémentaires à FIA-NET de repérer ces réseaux avant qu’ils puissent « transformer » leurs
tentatives en impayés réels. En revanche, les fraudeurs « hors réseaux », plus nombreux cette année, sont moins
facilement identifiables.
20
CONCLUSION
Devant l’efficacité accrue des sites pour lutter
contre la fraude, la question primordiale devient le coût
de gestion des méthodes de contrôle et de détection
des fraudeurs et des mauvais payeurs.
21
A. DEUX OUTILS D’ANALYSE :
LE SCORING ET LE CONTRÔLE HUMAIN
Afin de lutter contre la fraude, les sites marchands font appel à deux techniques principales, complémentaires
l’une de l’autre :
outils de scoring, permettant une validation automatique d’un maximum d’acheteurs ou au contraire
•la Des
mise sous surveillance humaine d’un certain nombre de commandes jugées à risque.
Des contrôles humains, entièrement ou partiellement manuels, pouvant être la résultante des outils de
•score
présentés ci-dessous ou de sélections très simples : contrôle systématique de toutes les commandes, en
fonction d’un montant, choix humain, etc.
1. Le scoring interne ou externe
Un outil de score se caractérise par les attributs suivants :
Internalisé (développé par le site marchand) ou externalisé (à une société tierce) : caractéristique
•importante
en termes de coûts et de réactivité face à la fraude.
•
Indépendant ou mutualisé (au sein des sociétés d’un même groupe ou de marchands évoluant sur un
même secteur) : il faut rappeler que le partage d’informations nominatives dans un tel cadre nécessite
l’autorisation de la CNIL pour pouvoir être mis en œuvre. FIA-NET a obtenu cette autorisation pour
son système d’analyse des commandes en date du 18 janvier 2005, suite au passage de la CNIL en régime
d’autorisation à l’été 2004.
•
Fondé sur des critères objectifs et/ou matériels: parmi les critères les plus employés par les sites, nous
pouvons citer la mise en place de white-lists ou de black-lists fondées par exemple sur des anciennetés
importantes du client ou la réception de pièces justificatives pour les premières, ou l’existence d’impayés liés
à un client ou à une carte bancaire pour les secondes. L’historique de consommation d’un client ou d’une
carte bancaire sur le site ou l’ensemble de sites sur lequel l’outil de score est établi permet une analyse par
seuils, permettant de déceler des comportements potentiellement anormaux, nécessitant un contrôle.
Fondé sur des critères statistiques : les combinaisons de différents critères permet d’établir une approche
•statistique,
permettant de relier l’achat d’un consommateur à d’autres groupes de transactions caractéristiques
et d’établir une probabilité du caractère frauduleux ou au contraire honnête de la commande. Parmi les
critères utilisés, on peut citer le prix, le lieu de livraison, le type d’article commandé ou encore la nature de
l’e-mail (gratuit, payant, ISP, proxy-server, etc.).
2. Les étapes du contrôle humain
Les contrôles humains les plus couramment employés par les cyber-commerçants sont les suivants :
•
Des contrôles visuels reprenant la logique de score permettant de s’assurer à l’œil nu que les caractéristiques
de la commande ne sont pas dangereuses et de la valider, ou, au contraire, de la faire passer dans un autre
type de contrôle
•
Des contrôles téléphoniques pour s’assurer de la présence effective de l’acheteur sur le lieu de livraison.
Dans un contexte accru d’usurpations d’identités et de livraison dans des parties communes d’immeubles
en se faisant passer pour un habitant, un contact téléphonique sur une ligne fixe est un moyen simple de
s’assurer de l’identité réelle d’un acheteur
22
Des demandes de justificatifs permettant de s’assurer que la personne est bien titulaire de la carte employée
•pour
le paiement ou habite bien sur le lieu de livraison. On citera parmi les demandes les plus courantes :
photocopie de carte d’identité, justificatifs de domicile (facture d’électricité ou télécom), RIB, chèque barré,
photocopie de la carte bancaire.
•
En dernier recours, notamment en cas d’échec de ces contrôles, de nombreux commerçants proposent aux
consommateurs d’opter pour un autre moyen de paiement (virement, chèque) avec un risque de perte du
client important.
Étape 1 :
outil de SCORE
Étape 2 :
contrôle manuel
Contrôle visuel
Transactions
à risque
à contrôler
Contrôle téléphonique
Demande de justificatifs
Paiement alternatif
Ensemble des transactions
Transactions à valider automatiquement
SCHEMA 1
LES PROCESS DE CONTRÔLE DES PAIEMENTS PAR CARTE BANCAIRE
23
B. LE COUT REEL DE LA FRAUDE
Comme pour tout centre de coûts d’une entreprise, les frais réels de la fraude doivent intégrer les coûts visibles,
ceux des impayés, et les coûts invisibles et induits, liés à la gestion et à l’impact sur l’activité commerciale.
Dès lors, le phénomène de la fraude ne doit pas seulement se mesurer au taux d’impayés, mais bien à l’aune de
3 indicateurs majeurs :
Le taux d’impayés final qui mesure la perte réellement subie par le commerçant. Le marchand peut
•également
arbitrer entre ce taux d’impayés et le coût de la garantie proposée par FIA-NET pour couvrir
ces fraudes.
•
Le coût des moyens mis en œuvre pour lutter contre la fraude : en additionnant principalement les
coûts des outils de scoring et des contrôles humains, ainsi qu’un certain nombre de coûts additionnels (coûts
télématiques pour appels de vérification, réceptions de justificatifs, recherches sur le consommateur…).
Le coût de perte d’opportunité, qui est la résultante directe des contrôles effectués et qui peut être non
•négligeable
notamment en cas de contrôles mal ciblés : vexation d’internautes contrôlés à tort qui décident
d’abandonner leur commande.
La lutte contre la fraude est donc un arbitrage permanent entre ces trois indicateurs : réduire la fraude à
néant au prix de coût de contrôle très importants ou pire, d’une perte de clientèle forte, a moins d’intérêt que
d’accepter un coût raisonnable de fraude avec une maîtrise des coûts de contrôles et la transformation d’un
maximum de commandes.
24
C. UN TAUX D’INCERTITUDE REDUIT A MOINS DE 1 %
74 sites marchands ont décidé de déléguer l’ensemble de leurs contrôles à FIA-NET en 2005, et pas uniquement
les vérifications sur base de score faites par le système d’analyse des commandes.
Pour la communauté de ces 74 sites marchands, les résultats des différents types de vérifications font apparaître
les statistiques suivantes :
Transactions
validées automatiquement
par le système d'analyse
des commandes FIA-NET
91,6 %
Transactions
garanties
91,6 %
automatiquement
Transactions
garanties
97,13 %
Transactions
hors fraudes
certaines
Plus de 99 %
Transactions
en contrôle visuel
1,2 %
Validation = 80 %
1,2 % x 80 % = 0,96 %
Contrôle téléphonique
3,2 %
Validation = 73 %
3,2 % x 73 % = 2,34 %
Demande de justificatifs
2,9 %
Validation = 77 %
2,9 % x 77 % = 2,23 %
Tentative de fraudes
1,2 %
Pas de validation
Fraude certaine
1,2 % x 0,7 % = 1,9 %
Incertitude
Fraudes certaines
1%
1,9 %
SCHEMA 2
LES PROCESS FIA-NET POUR VALIDER PLUS DE 99 % DES COMMANDES HORS FRAUDE
Le contrôle automatique des commandes (score) valide 91,6 % des commandes, détecte 1,2 % de tentatives de
fraudes (acheteurs intégrant les fichiers d’incidents de paiement antérieurs) et requiert une expertise humaine
pour 7,2 % des transactions. Le contrôle humain permet ensuite de valider 5,53 %, soit un total de transactions
garanties de 97,13 %. Les fraudes avérées atteignent 1,9 %. Et moins de 1 % des commandes présente un degré
d’incertitude.
NB : le taux de 1,9% de fraudes détectées sur ces 74 sites est un taux en nombre de transactions, sur l’échantillon
des sites déléguant l’intégralité de leurs contrôles à FIA-NET. Ce taux est différent de celui de 1,73% recensé
sur l’ensemble des sites FIA-NET et exprimé en montant.
Une des conclusions du Livre Blanc 2004 de FIA-NET se vérifie très clairement cette année :
« …un nouveau phénomène apparaît sur le marché : la « vexation » d’internautes refusés à tort, en raison
d’une suspicion de fraude alors qu’ils sont les réels porteurs de la carte.
A l’avenir, c’est la capacité des sites et des tiers de confiance à discriminer entre les acheteurs réguliers et
les fraudeurs possibles qui fera leur succès, et leur permettra de continuer à développer leurs ventes sur le
marché. »
25
Tableaux, graphiques et schémas
Graphiques
Graphique 1 : Évolution annuelle de la fraude depuis 2002 ………………………………………… 9
Graphique 2 : Taux de tentatives de fraude recencé mensuellement sur les sites FIA-NET ……… 10
Graphique 3 : Taux d’impayés de fraude recencé mensuellement sur les sites FIA-NET …………… 11
Graphique 4 : Indicateur d’efficacité de la lutte contre la fraude - Tentatives/Impayés …………… 13
Graphique 5 : Répartition de 2003 à 2005 des impayés par secteur d’activité
en valeur (montants détournés par secteur) ………………………………………… 14
Graphique 6 : Répartition de 2003 à 2005 des impayés par secteur d’activité
en volume (nombre d’impayés par secteur) ………………………………………… 15
Graphique 7 et 8 : Poids respectifs de chaque secteur dans la fraude en 2005
en valeur et en volume ………………………………………………………………… 15
Graphique 9 : Activité des réseaux organisés (par réseau, en moyenne) ………………………… 19
Graphique 10 : Fréquence moyenne de changement d’informations par les réseaux
de fraudeurs, exprimée en nombre moyen d’achats effectués avec une
des informations suivantes, avant d’en changer pour une autre ………………… 20
Tableaux
Tableau 1 : Le phénomène de la fraude en valeur absolue sur le portefeuille FIA-NET
et en extrapolation sur le marché ………………………………………………………… 12
Tableau 2 : Nombre de fraudeurs et volume de fraudes par individu ……………………………… 16
Tableau 3 : Identification des fraudeurs par les annuaires télématiques …………………………… 17
Tableau 4 : Segmentation des fraudes en réseaux organisés ………………………………………… 18
Schémas
Schéma 1 : Les process de contrôle des paiements par la carte bancaire ………………………… 23
Schéma 2 : Les process FIA-NET pour valider plus de 97 % des commandes ……………………… 25
26