sur Internet - Université Paris
Transcription
sur Internet - Université Paris
Livre Blanc www.fia-net.com La sécurité des transactions commerciales sur Internet Sixième Édition - Mai 2006 FIA-NET 15 rue du Faubourg Montmartre 75009 Paris Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de FIA-NET, de ses ayants droits, ou ayants cause, est illicite (Loi du 11 mars 1957, article 40, alinéa 1). Toutefois, la loi du 11 mars 1957 autorise les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective d’une part, et, d’autre part, les analyses et les courtes citations dans un but d’exemple et d’illustration (Article 41, alinéas 2 et 3). © FIA-NET - 2006 Création, réalisation maquette et infographies : Franck Dastot & Corinne Gaston 2 Sommaire Données et sources d’informations …………………………………………………………………… 4 Pertinence des échantillons suivis ……………………………………………………………………… 5 Méthodologie et périmètre ……………………………………………………………………………… 6 A. La fraude sur internet depuis 2002 …………………………………………………8 1. Taux de tentatives de fraude et d’impayés et panier moyen 2002-2005 ………………………… 9 2. Taux de tentatives de fraude mois par mois ………………………………………………………… 10 3. Taux d’impayés mois par mois ………………………………………………………………………… 11 B. De l’observation FIA-NET à une extrapolation pour le marché ……………… 12 C. Efficacité de la lutte contre la fraude …………………………………………… 13 D. De 2003 à 2005, les secteurs d’activité et la fraude ………………………… 14 1. Répartition des impayés par secteur en valeur (montant des fraudes) ………………………… 14 2. Répartition des impayés par secteur en volume (nombre de fraudes)…………………………… 14 E. Première approche dans le recensement des fraudeurs ……………………… 16 1. Méthodes d’analyse et données brutes …………………………………………………………… 16 2. Identification des fraudeurs ………………………………………………………………………… 17 F. La fraude en réseaux organisées ………………………………………………… 18 1. Méthodes d’analyse et données brutes …………………………………………………………… 18 2. Activité des réseaux …………………………………………………………………………………… 19 3. Techniques de camouflage des réseaux …………………………………………………………… 19 Conclusion A. Deux outils d’analyse : le scoring et le contrôle humain……………………… 22 1. Le scoring interne ou externe………………………………………………………………………… 22 2. Les étapes du contrôle humain ……………………………………………………………………… 22 B. Le coût réel de la fraude ………………………………………………………… 24 C. Un taux d’incertitude réduit à moins de 1 % …………………………………… 25 3 Cette sixième édition du Livre Blanc de FIA-NET permet au lecteur de mesurer l’évolution de la sécurité des transactions en ligne depuis 2000. DONNÉES ET SOURCES D’INFORMATIONS Depuis 2004, le Livre Blanc de FIA-NET se consacre exclusivement à la fraude frappant les commerçants, qui subissent de fait les véritables préjudices liés aux failles dans la sécurité du paiement existant sur Internet. Les fraudes et litiges frappant les internautes, parfaitement protégés par leurs contrats bancaires, dont les principes ont été réaffirmés dans la Loi sur la sécurité quotidienne du 15 novembre 2001, étaient jusqu’alors traités dans la seconde partie de ce livre blanc. FIA-NET leur consacrera dorénavant une étude à part entière, distincte de ce Livre Blanc. Cette étude portera avant tout sur les litiges commerciaux dont sont victimes les cyber-consommateurs. En effet, par leur fréquence, ces litiges constituent de très loin le premier risque auquel s’expose tout acheteur en ligne, loin devant les problématiques d’incidents de paiement ou de piratage de numéros de cartes bancaires en ligne. Comme chaque année, les chiffres livrés par FIA-NET sur l’année qui vient de s’écouler ne doivent pas être considérés comme définitifs : le temps de latence entre la réalisation d’une fraude, puis sa découverte par le consommateur, puis enfin par le commerçant électronique éventuellement concerné, peut atteindre six mois, voire les dépasser. Toutefois, en se fondant sur les évolutions constatées les années précédentes entre les chiffres connus au moment de la publication du Livre Blanc et les chiffres définitifs, FIA-NET a pu mesurer des taux de progression des fraudes au cours des mois suivant la parution du Livre Blanc : cette observation statistique a permis de pondérer les taux connus aujourd’hui pour prévoir leur état final qui ne sera sans doute fixé définitivement qu’entre septembre 2006 et janvier 2007. En effet, les temps d’imputation des fraudes sur les comptes bancaires des commerçants concernés sont variables d’un site à l’autre : elles dépendent notamment du type de carte employée, mais aussi des conditions des conventions signées entre le commerçant et sa banque. A titre d’exemple, ce délai, normalement de 6 mois dans le contrat type CB, est porté à 8 mois par certains établissements bancaires. La méthode statistique de pondération permet donc de modéliser les taux de fraude sur l’ensemble de l’année 2005 et, même si ces derniers seront encore réajustés lors du prochain Livre Blanc, de dresser la tendance du marché dans son ensemble pour l’année écoulée. Les sources d’informations de FIA-NET pour constituer ces statistiques n’ont pas varié depuis 2002. Il s’agit des déclarations de sinistres adressées par ses clients, sites marchands, assurés contre les fraudes sur Internet et utilisant le système d’analyse des commandes de FIA-NET. 4 PERTINENCE DES ECHANTILLONS SUIVIS Les données présentées dans ce Livre Blanc fournissent des indicateurs pertinents de la fraude dans le secteur du commerce électronique : Tout d’abord, les observations ce Livre Blanc se fondent sur une analyse d’environ 961 millions d’euros de ventes réalisées par les commerçants FIA-NET en 2005. En rapportant ces ventes à la taille du marché, estimée à 7 milliards d’euros par le Benchmark Group sur l’année écoulée, nous obtenons une base d’observation représentant 14% du marché en 2005. Il s’agit d’une base statistique très large garantissant la valeur des données. Le Livre Blanc constitue le seul observatoire en temps réel et continu de la fraude sur le web français. Les informations fournies sont donc indépendantes d’événements particuliers ou de la saisonnalité de l’activité e-commerce, comme par exemple les fêtes de fin d’année. La population étudiée nous semble être la plus représentative du marché dans son ensemble. Les sites intégrés à cette étude offrent une image fiable de l’hétérogénéité du commerce électronique français. En effet, le réseau FIA-NET rassemble un éventail large de cyber-marchands : - 1 109 sites marchands différents… - Présentant des nombres de transactions et des chiffres d’affaires variés : plus de 700 000 transactions et 200 millions d’euros de ventes pour le plus important d’entre eux à une transaction par mois en moyenne pour les plus petits… - Ayant une expérience du e-commerce ou nouveaux entrants : le site le plus ancien date de 1999 et FIA-NET signe de nouveaux entrants chaque mois - Vendant des produits cibles de la fraude ou des produits préservés : les contrats d’assurance de FIA-NET imposent aux cyber-commerçants de soumettre l’intégralité de leurs ventes au système d’analyse des commandes pour éviter des effets pervers dus à une anti-sélection. La plupart des panels se concentrent sur les acteurs majeurs du web et fournissent donc des indications représentatives d’un type particulier du e-commerce. Les données proviennent des déclarations d‘incidents de paiement et constituent donc le miroir de la fraude sur le Net. Il ne s’agit pas de sondages déclaratifs avec toutes les réserves à appliquer à ces techniques. La méthodologie demeure identique depuis 4 ans ce qui permet de comparer les données. Les tendances apportent autant d’informations qualitatives que les données annuelles brutes. Enfin, la démarche garantit une homogénéité des critères de définition et de détection de la tentative de fraude pour l’ensemble la population étudiée. 5 MÉTHODOLOGIE 2002 a vu la mise en place systématique du système d’analyse des commandes de FIA-NET sur ses sites marchands assurés contre la fraude. Dans le cadre de ce système, chaque transaction réalisée sur un site participant est analysée afin de calculer une probabilité de fraude. Selon cette probabilité équivalant au niveau de risque de la transaction, une garantie d’assurance est délivrée par FIA-NET. Les statistiques obtenues grâce à la mise en place d’un tel système sont donc nettement plus fines que celles obtenues par FIA-NET en 2000 et 2001. En particulier, elles permettent de suivre : • le montant des ventes réalisées par le marchand, • le montant des fraudes subies par ce marchand, et comparé à son chiffre d’affaires, • le montant des tentatives de fraudes repérées par le système. Mutualisé entre plus de 800 sites*, le système permet également d’appréhender la fraude dans sa globalité et de tirer des statistiques comportementales sur les fraudeurs en termes de montant et de fréquence d’achat, sites visés et type de matériels détournés. La généralisation de ce système technique a également entraîné une évolution du périmètre suivi par FIA-NET. Depuis novembre 2002, les sites n’implémentant pas cet outil de détection de la fraude ont été systématiquement résiliés. La consolidation du e-commerce depuis l’an 2000 s’est aussi traduite par la disparition de nombreux sites. L’ensemble de ces facteurs a conduit FIA-NET à modifier le périmètre statistique suivi. Au 31/12/2005, FIA-NET assurait 1 109 sites* commerçants (1 081 au 31/12/2004). FIA-NET a directement tiré les chiffres présentés ci-après du système d’analyse des commandes auquel participent ou ont participé plus de 1 400 sites depuis 2001. Tous les indices suivis sont désormais étudiés en termes de ratios sur les ventes des commerçants participants, ce qui a permis d’abandonner les méthodes d’échantillonnage constant qui devaient être réajustées chaque année en raison des forts taux de disparition de sites sur le marché. En prônant cette approche sous forme de ratios et en livrant les chiffres comparables pour les trois exercices précédents, FIA-NET permettra au lecteur d’avoir la vision statistique d’ensemble la plus exacte possible du phénomène de la fraude à la carte bancaire sur le marché français, et de son évolution sur les 4 dernières années. * Tous les sites assurés (1.109 sites) ne soumettent pas l’ensemble de leurs commandes au Système d’Analyses des Commandes. Ils ont donc été exclus de la population étudiée dans le Livre Blanc 2005 (800 sites). 6 LA LUTTE CONTRE LA FRAUDE À LA CARTE BANCAIRE SUR INTERNET Une menace de mieux en mieux maîtrisée par les sites 7 A. La fraude sur internet depuis 2002 DEFINITION : On peut définir la fraude à la carte bancaire comme l’acte délictueux réalisé en utilisant des moyens déloyaux destinés à commander une marchandise sur un site marchand sans en assurer le règlement. Il est possible de distinguer deux types de fraudes dont le résultat est le même, la perte sèche de la marchandise pour le commerçant sans règlement effectif de la contrepartie. Ces deux types de fraudes sont : 1. l’utilisation de numéros de cartes de paiement usurpés pour régler en ligne. L’usurpation peut trouver son origine dans le vol physique de la carte, dans le simple vol du numéro ou encore dans la génération d’un numéro de carte grâce aux algorithmes connus des fraudeurs, numéro de carte correspondant à un porteur réel. Dans tous ces cas de figure, on a affaire à un porteur de carte de bonne foi, dont le numéro est utilisé à son insu pour réaliser des achats chez des commerçants en ligne. 2. l’utilisation abusive et détournée de la Loi sur la sécurité quotidienne du 15 novembre 2001 permettant à un acheteur identifié et malhonnête de se soustraire à ses obligations de règlement. L’acheteur affirme à son banquier ne pas être à l’origine des achats afin de pouvoir les révoquer et ne pas les régler. Dans ce cas de figure, à la différence du précédent, il y coïncidence entre le fraudeur et le porteur du numéro de carte utilisé. FIA-NET a été créé afin de protéger les commerçants électroniques contre ce type de risque. En effet, le commerçant assume la responsabilité finale de tous les impayés survenant suite à révocation des paiements par le porteur de bonne ou de mauvaise foi. Afin de rembourser ce porteur, l’établissement recrédite son compte en débitant celui du commerçant chez qui la fraude a été commise. Les conventions bancaires stipulent qu’il est de la responsabilité du commerçant d’identifier correctement ses clients. A défaut, ses paiements ne sont pas garantis. C’est cette situation qui prévaut sur Internet pour la quasi-totalité des transactions, en l’absence de tout dispositif d’authentification forte (type signature électronique). FIA-NET garantit les transactions des commerçants en s’attaquant à la fraude de 2 façons : en remboursant les impayés subis par les commerçants suite à la réalisation de la fraude en détectant les tentatives de fraude commises sur ses sites adhérents. • • Dès lors, mesurer la fraude sur le marché français revient à prendre en compte ces deux phénomènes : le taux d’impayés permet de mesurer la fraude effectivement réalisée qui donne lieu à une perte immédiatement quantifiable par le commerçant le taux de tentatives de fraude permet de mesurer l’ampleur des intentions de nuire des cyber-fraudeurs. Même si ces dernières échouent, elles constituent bien un acte délictuel, notamment dans le cas où l’on se retrouve bien face à un acheteur utilisant un numéro de carte à l’insu du véritable porteur. • • Les statistiques livrées par FIA-NET dans ce Livre Blanc concernent donc ces 2 indicateurs majeurs : par impayé, il faut entendre les fraudes réussies qui aboutissent à une perte sèche pour le commerçant électronique par tentative de fraude, on entend les transactions commises par des individus avec des moyens de paiement usurpés, comprenant aussi bien les échecs que les transactions ayant réussi et aboutissant à des impayés. • • Le suivi de ces 2 indicateurs est d’autant plus intéressant qu’il donne une vraie mesure de l’efficacité des sites en matière de lutte contre les transactions frauduleuses. 8 1. Taux de tentatives de fraude et d’impayés / Panier moyen 2002-2005 3,00 % 700 ¼ Panier moyen des impayés Taux d'impayés / ventes 600 ¼ Taux de commandes frauduleuses / ventes 2,41 % 2,50 % 2,22 % 500 ¼ 1,83 % 1,73 % 2,00 % 400 ¼ 1,50 % 300 ¼ 1,00 % 200 ¼ 578 200 ¼ 569 ¼ 100 ¼ 0,46 % 0,22 % 505 ¼ 360 ¼ 0,50 % 0,27 % 0,07 % 0¼ 2002 2003 2004 2005 0,00 % GRAPHIQUE 1 ÉVOLUTION ANNUELLE DE LA FRAUDE DEPUIS 2002 • 2005 est marqué par une forte baisse de la fraude, tant en termes de tentatives que de fraudes effectivement réalisées. Après une remontée sensible de ces deux indicateurs en 2004, le taux de tentatives et le taux d’impayés finaux effectivement subis par les commerçants atteignent en 2005 un niveau plus bas que celui de 2003, déjà marqué par une forte accalmie de l’activité frauduleuse. Ce phénomène s’explique par une tendance régulière depuis 4 ans et qui se confirme en 2005 : la baisse du •panier moyen des impayés qui enregistre son niveau le plus faible sur ces 4 ans. Les impayés moyens subis par les commerçants ne sont plus que de 360 euros contre 505 en 2004 et 578 en 2002. Cette baisse du panier moyen des impayés est clairement le résultat des efforts des commerçants afin de •lutter contre les fraudes à la carte bancaire : devant l’impossibilité de détourner des marchandises de valeur élevée, les fraudeurs concentrent leurs efforts sur des produits de valeur plus faible, sur lesquels les contrôles des commerçants ne sont pas forcément aussi poussés et aussi systématiques que pour des articles plus chers. • La baisse des tentatives de fraude en pourcentage des ventes des commerçants (moins 29% entre 2004 et 2005) est sensiblement égale à celle du panier moyen. Ainsi, les tentatives de fraude ne sont-elles pas moins nombreuses, mais elles visent des marchandises de valeur faible et elles aboutissent de moins en moins souvent. 9 2. Taux de tentatives de fraude mois par mois 140 000 000 120 000 000 C.A. mensuel 4,50 % Taux de tentatives de fraudes 4,00 % 3,50 % 100 000 000 2,87 % 2,89 % 3,00 % 2,47 % 80 000 000 2,50 % 60 000 000 2,00 % 1,53 % 40 000 000 1,28 % 1,00 % 20 000 000 0 2002 1,50 % 1,46 % 0,50 % 0,00 % 2003 2004 2005 GRAPHIQUE 2 TAUX DE TENTATIVES DE FRAUDE RECENSÉS MENSUELLEMENT SUR LES SITES FIA-NET Les tentatives de fraudes (en % du CA des sites) recensées sur les sites FIA-NET connaissent une baisse sensible à partir de la fin de l’année 2004, principalement due à la baisse du panier moyen des tentatives de fraude. Cette baisse semble être le résultat des politiques de contrôle et de vigilance accrues des sites pour la préparation des fêtes de Noël 2004, après les niveaux élevés de fraudes connus pendant les premiers mois de l’année : 5 mois de 2004 ont atteint ou dépassé 2,81%, contre un seul en 2003. En 2005, tous les mois de l’année restent en dessous de la barre des 2,5 % et 11 sur 12 se situent sous les 2 points. Très clairement, les efforts des commerçants semblent avoir payé car depuis 15 mois, la fraude ne revient pas aux niveaux connus antérieurement. On notera seulement la reprise ponctuelle de la fraude au cours de l’été 2005, comme chaque année d’ailleurs, les fraudeurs profitant souvent des vacances scolaires pour procéder à des usurpations d’identité en masse et se faire livrer à des adresses inoccupées. Comme chaque année également, les plus bas niveaux de fraudes sont atteints à Noël, période au cours de laquelle les fraudeurs qui ont une activité régulière toute l’année voient leurs tentatives « noyées » au milieu des nombreuses commandes de personnes honnêtes pour cette période de l’année. 10 3. Taux d’impayés mois par mois 2,50 % 140 000 000 C.A. mensuel Taux d'impayés sur C.A. 120 000 000 2,00 % 100 000 000 1,50 % 80 000 000 60 000 000 1,00 % 0,74 % 40 000 000 0,40 % 20 000 000 0 2002 0,05 % 0,26 % 2003 0,50 % 036 % 0,00 % 2004 2005 GRAPHIQUE 3 TAUX D’IMPAYÉS DE FRAUDE RECENSÉ MENSUELLEMENT SUR LES SITES FIAT-NET Les taux d’impayés subis par les commerçants FIA-NET décroissent très nettement à compter de novembre 2004. Ils se stabilisent ensuite de façon régulière en dessous de 0,10% pour toute l’année 2005. 11 B. DE L’OBSERVATOIRE FIA-NET A UNE EXTRAPOLATION POUR LE MARCHÉ Portefeuille FIA-NET Extrapolation sur le marché Nombre de tentatives de fraude 50 364 366 621 Montant des tentatives de fraude 16 586 097 Taux estimé pour le marché 120 737 404 En % des ventes des sites 1,72 % 1,72 % Nombre d'impayès 1 895 13 795 Montant des impayés 682 448 4 967 834 En % des ventes des sites 0,07 % Taux estimé pour le marché 0,07 % TABLEAU 1 LE PHÉNOMÈNE DE LA FRAUDE EN VALEUR ABSOLUE SUR LE PORTEFEUILLE FIA-NET ET EN EXTRAPOLATION SUR LE MARCHÉ La fraude reste une vraie menace pour les commerçants électroniques. extrapolant les taux de tentatives de fraudes du portefeuille FIA-NET à l’ensemble du marché, estimé •à 7Enmilliards d’euros en 2005 par le Benchmark Group, on aboutit à plus de 120 millions d’euros de tentatives sur l’ensemble de l’année (contre un peu plus de 100 millions en 2004). • Si les autres commerçants connaissent le même succès que les sites FIA-NET dans la lutte contre la fraude, ce serait en revanche, au final, seulement 5 millions d’euros qui seraient détournés annuellement par les fraudeurs. • La vraie question dans la lutte contre la fraude ne devient dès lors plus le coût final de cette fraude, constitué par les impayés subis par le commerçant, mais bien le coût de gestion de la détection de fraude pour réussir à passer d’un taux de tentatives de 1,72% à un taux finalement subi de 0,07%. à ce marché de 7 milliards, le coût potentiel de la fraude évitée est donc de 1,65%, soit plus de •115Rapporté millions d’euros. Ce tableau appelle trois questions : 1. Quelle part de ce budget de fraudes évitées les sites consacrent-ils pour lutter contre ce phénomène et atteindre ces résultats, s’ils sont atteints sur l’ensemble des sites français ? 2. Quel est l’effet de la présence du logo FIA-NET ? A-t-il un effet dissuasif sur les tentatives de fraudes ? Dans l’affirmative, le pourcentage de tentatives pour l’ensemble des acteurs devrait être supérieur à 1,72 %. 3. De la même manière, les sites isolés dans leur lutte contre la fraude, ne bénéficiant pas de l’effet de mutualisation de l’information ni de l‘expertise du système d’analyse des commandes FIA-NET, peuvent présenter un taux d’impayés supérieur à 0,07 %. 12 C. EFFICACITÉ DE LA LUTTE CONTRE LA FRAUDE L’indicateur d’efficacité suivi par FIA-NET en matière de lutte contre la fraude témoigne bien du succès des marchands dans ces efforts : il est en constante amélioration depuis novembre 2004. A partir de février 2005, il dépasse de façon ininterrompue ses plus hauts niveaux précédents connus en juillet 2003. 40,00 36,48 % Ratio tentative de fraude / impayés 35,00 Moyenne mobile sur 6 mois 35,00 30,00 30,00 25,00 25,00 20,00 17,04 % 20,00 15,00 15,00 13,43 % 12,75 % 10,00 10,00 5,00 5,00 0,00 2002 0,00 2003 2004 2005 GRAPHIQUE 4 INDICATEUR D’EFFICACITÉ DE LA LUTTE CONTRE LA FRAUDE RATIO MONTANT DES TENTATIVES / MONTANT DES IMPAYÉS En juin 2005, pour un euro de fraude subi, ce sont 36,48 euros de tentatives de fraude qui ont été détectés et évités. Depuis la fin 2004, ce ratio est en très forte augmentation ce qui témoigne du succès des commerçants à repérer les commandes frauduleuses. Comme on l’avait déjà vu précédemment, la baisse des impayés est donc nettement plus forte que celle des tentatives et elle ne correspond donc pas à une baisse de la fraude dans son ensemble, mais bien à la réussite des commerçants à la déjouer. 13 D. DE 2003 A 2005 LES SECTEURS D’ACTIVITÉ ET LA FRAUDE 1. Répartition des impayés par secteur en valeur (montant des fraudes) 40 % 75 % en 2005 35 % 2005 30 % 2004 25 % 2003 20 % 15 % 10 % 5% 0% Électronique matériel Tourisme Informatique Mode et textiles Téléphonie Électronique Électroménager petit matériel Parfums Alimentation Autres GRAPHIQUE 5 RÉPARTITIION DE 2003 À 2005 DES IMPAYÉS PAR SECTEUR D’ACTIVITÉ EN VALEUR (MONTANTS DÉTOURNÉS PAR SECTEUR) Comme en 2004, le matériel électronique confirme sa grande popularité auprès des fraudeurs : il est le •premier secteur fraudé, avec 30% des impayés subis par les marchands. Comme chaque année, on y trouve principalement des appareils photos, des caméscopes numériques et des lecteurs et enregistreurs numériques. • Tourisme (en deuxième place) et Informatique (en troisième place) échangent leurs positions de 2004, mais confirment la grande stabilité du trio de tête des produits les plus fraudés depuis 2003. Comme en 2003 et 2004, le tourisme dont les vols secs représentent le produit le plus fraudé, présente le panier moyen le plus élevé à 1 057 euros. de la mode confirme sa progression entamée il y a 3 ans en se classant en 4 position avec près •deLe10%secteur des impayés. Avec un panier moyen de 255 euros, les vêtements de luxe et les lunettes de soleil de ème grandes marques se taillent la part du lion parmi les fraudes subies par les commerçants de ce secteur. 2. Répartition des impayés par secteur en volume (nombre de fraudes) • La téléphonie reprend la première place du classement en nombre d’impayés, comme en 2003. Avec un panier moyen de 85 euros, c’est le secteur dans lequel les impayés sont les plus faibles en moyenne. 85% d’entre eux sont d’un montant inférieur à 30 euros. Ils concernent des recharges téléphoniques à distance pour lesquelles la fraude est relativement aisée (absence de livraison d’un matériel à une adresse physique). A noter : l’explosion des fraudes concernant des téléphones GPS et des logiciels de géolocalisation, classés en téléphonie. En nombre d’impayés, le secteur de la mode et du textile atteint désormais la troisième place, juste après le matériel électronique. • 14 Le petit matériel électronique comme les jeux videos et leurs consoles, les CD ou les DVD se classe en •quatrième position, juste devant le tourisme. On notera aussi que l’électroménager et les parfums progressent régulièrement dans le hit-parade des • fraudeurs depuis 2003. 40 % 35 % 2005 30 % 2004 25 % 2003 20 % 15 % 10 % 5% 0% Électronique matériel Tourisme Informatique Mode et textiles Téléphonie Électronique Électroménager petit matériel Parfums Alimentation Autres GRAPHIQUE 6 : RÉPARTITIION DE 2003 À 2005 DES IMPAYÉS PAR SECTEUR D’ACTIVITÉ EN VOLUME (NOMBRE D’IMPAYÉS PAR SECTEUR) Part des secteurs dans la valeur de la fraude 2005 en % 4 Part des secteurs dans le volume de la fraude 2005 en % 9 3 111 30 2 3 2 2 7 16 31 10 8 18 12 25 15 Électronique : matériel Électronique : petit matériel Tourisme Électroménager Informatique Parfums Mode et textiles Alimentation Téléphonie Autres GRAPHIQUES 7 ET 8 POIDS RESPECTIFS DE CHAQUE SECTEUR DANS LA FRAUDE EN 15 2005 EN VALEUR ET EN VOLUME E. PREMIÈRE APPROCHE DANS LE RECENSEMENT DES FRAUDEURS 1. Méthodes d’analyse et données brutes Nombre de fraudeurs en 2005 (identités différentes) 9 752 Nombre de fraudeurs recensés par FIA-NET depuis 2000 25 171 Nombre de fraudes commises en 2005 31 518 10 942 668 ¼ Montant total des fraudes en 2005 Nombre moyen de fraudes par individu 3,23 Montant moyen par fraude 347 ¼ Montant moyen par individu 1 122 ¼ TABLEAU 2 NOMBRE DE FRAUDEURS ET VOLUME DE FRAUDE PAR INDIVIDU FIA-NET a exclu de cette analyse, dont le but est de recenser les fraudeurs et leur façon d’agir, environ 18 000 transactions (plus de 50 000 tentatives de fraudes au total ont été recensées en 2005). En effet, ces tentatives de fraudes ne permettent pas de relier les fraudeurs à des identités ou à des adresses vraisemblables ou effectives (soit la livraison a lieu dans des points-relais, soit seule l’adresse est en fichier « incidents » FIA-NET, mais les identités employées sont fantaisistes). Bien souvent, le but de ces nombreux fraudeurs est avant tout de tester des numéros de carte sur les pages de paiement des sites (« carding »), sans même essayer de récupérer une marchandise : ils ont donc été exclus de cette analyse. D’autres fraudeurs se concentrent avant tout sur des sites de téléchargement, pour lesquels une identité réelle n’est pas nécessaire (pas de livraison physique de marchandises). Sur les 31 518 transactions avec une adresse de livraison identifiée, la typologie des fraudeurs recensés par FIA-NET évolue également fortement par rapport à l’année précédente : 9 752 fraudeurs actifs ont été repérés en 2005 (nombre d’identités distinctes employées), soit une augmentation de 16% par rapport à l’année précédente. Depuis 2001, plus de 25 000 identités différentes ont été employées pour commettre des escroqueries à la carte bancaire. Ces fraudeurs ont réalisé plus de 31 000 commandes en 2005 pour environ 11 millions d’euros, soit 3,23 fraudes et 1 112 euros par identité employée. Ces chiffres indiquent un changement clair de comportement de ces fraudeurs bien « identifiés » à des adresses réelles : le panier moyen de leurs fraudes a chuté drastiquement passant de 534 euros à 347 euros. Dans le même temps, le nombre moyen de fraudes commises par individu a augmenté (+35% de 2,40 achats à 3,23), mais cette croissance s’est faite dans des proportions similaires, voire inférieures, à celles du marché. Au final, ces chiffres traduisent bien une baisse générale des montants fraudés. 16 2. Identification des fraudeurs Nombre de fraudes commises en 2005 sous ces identités 31 518 Nombre de fraudes pour lesquelles l'adresse de livraison était identifiée comme celle de l'acheteur au moyen des annuaires 6 018 Pourcentage des fraudes totales 19,10 % Nombre d'identités employées pour ces livraisons et donc clairement identifiées à ces adresses 2 130 Pourcentage des identitées des fraudeurs 21,84 % TABLEAU 3 IDENTIFICATION DES FRAUDEURS PAR LES ANNUAIRES TÉLÉMATIQUES 19,10% des transactions réalisées par les fraudeurs le sont à des adresses présentant une identité clairement identifiée par des annuaires télématiques et cohérente par rapport aux informations du bon de commande (88,90% des fraudeurs se font livrer à des adresses existantes, mais non répertoriées dans les annuaires télématiques ou sous des identités ne correspondant pas à celles de ces annuaires). Cette proportion de fraudeurs « identifiés » est remarquablement stable par rapport à 2004 (18,9%). Près de 22% des identités employées par les fraudeurs correspondent en 2005 à des identités réelles présentes dans des annuaires télématiques et cohérentes avec les adresses de livraison fournies. Ceci recouvre en fait deux phénomènes différents qu’il est parfois difficile de distinguer : La fraude de « mauvaise foi », réalisée par des consommateurs abusant de la législation financière et •bancaire. Afin d’être remboursés, ils affirment à leur banque n’être pas à l’origine des commandes passées avec leur propre numéro de carte. • Les usurpations d’identité qui consistent à réaliser une commande frauduleuse avec le numéro de carte d’une personne honnêtes, mais aussi les coordonnées du même individu ou d’une autre personne honnête. La livraison des marchandises a alors lieu soit : - à l’adresse de la personne honnête, sans réel contrôle d’identité (dans un hall ou une cour d’immeuble collectif en se faisant passer pour cette personne, alors qu’elle est absente), - dans un lieu impersonnel où le fraudeur peut se présenter avec de faux papiers : poste restante, retrait en magasin... • Il semble donc que ni l’un, ni l’autre de ces deux phénomènes n’aient connu de croissance marquée par rapport à l’année précédente. 17 F. LA FRAUDE EN RESEAUX ORGANISES 1. Méthodes d’analyse et données brutes Réseaux organisés en activité en 2005 679 Nombre d'identités utilisées par ces réseaux 4 573 Nombre de transactions réalisées par ces réseaux 17 079 Pourcentage des fraudes totales 54,09 % 5 318 334 ¼ Montant des fraudes réalisées par ces réseaux Pourcentage des fraudes totales 48,60 % Montant moyen par réseau 7 833 ¼ Nombre de transactions par réseaux 25,15 311 ¼ Panier moyen TABLEAU 4 SEGMENTAIOTN DES FRAUDES EN RÉSEAUX ORGANISÉS Les réseaux organisés identifiés par FIA-NET (groupe présentant au moins deux identités et deux adresses de livraison distinctes, utilisées pour commettre des tentatives de fraudes et reliées entre elles par au moins un élément personnel commun, comme le numéro de téléphone, l’e-mail ou encore le numéro de carte bancaire employés lors de la commande) ont clairement évolué par rapport à 2004. Ils sont nettement plus nombreux en 2005 qu’en 2004 : 679 contre 378, soit une hausse de près de 80%. S’ils représentent toujours plus de la moitié des tentatives de fraudes en nombre, ils représentent en valeur moins de la moitié des fraudes contre lesquelles doit lutter un commerçant. Ceci vient avant tout de la baisse très forte du panier moyen des fraudes commises par ces réseaux : 311 euros, contre 627 l’année précédente. Ils réalisent également moins de transactions en moyenne que l’année précédente : 25,15 contre 31,63 en 2004. Loin de correspondre à une accalmie de ces fraudeurs organisés, la baisse de ces chiffres témoigne au contraire pour FIA-NET d’une professionnalisation accrue de ces malfaiteurs. Le nombre de transactions moyen baisse, mais en proportion nettement plus faible que la hausse du nombre de réseaux. Dès lors, ceci témoigne surtout de leur capacité à brouiller les pistes laissées et à renouveler l’intégralité des informations utilisées lors des tentatives de paiement (ne permettant pas d’identifier les différentes identités employées comme appartenant au même réseau). A la différence des années précédentes, ces fraudeurs organisés présentent un panier moyen nettement inférieur à celui du fraudeur type. Ceci peut laisser penser qu’ils ajustent leurs stratégies de détournement de marchandises à l’efficacité des filtres mis en place par les marchands et se rabattent sur des articles qu’ils savent être moins surveillés. 18 Si moins de 50% des fraudes sont commises par ces réseaux (contre plus de 70% en 2004), ceci peut également vouloir dire que ces fraudeurs parviennent à isoler totalement les identités utilisées (aucune similarité entre les différentes tentatives de fraudes commises), et ne sont désormais pas plus identifiables que n’importe quel acheteur type isolé. 2. Activité des réseaux Conséquence directe de la baisse du nombre de transactions par réseaux en 2005, le nombre d’informations différentes employées par chacun de ces réseaux est également en baisse par rapport à 2004. Identités, adresses et téléphones restent les informations dont le nombre est le plus élevé en moyenne pour chaque réseau, et donc celles dont le rythme de renouvellement est manifestement le plus élevé. 8,00 7,00 6,73 6,00 7,00 6,50 5,60 5,00 4,00 4,56 4,09 3,00 2,41 2,00 1,00 0,00 Nombres de sites visés Nombre d'identités employées Nombre d'adresses employées Nombre d'email Nombre de Dont téléphones employées téléphones employés fixes Dont téléphones portables GRAPHIQUE 9 ACTIVITÉ DES RÉSEAUX ORGANISÉS (PAR REÉSEAU, EN MOYENNE) 3.Techniques de camouflage des réseaux La fréquence de changement des informations employées au cours des différents achats reste très importante chez ces réseaux, mais elle a eu tendance à baisser par rapport à 2004. La baisse du nombre de transactions réalisées par les réseaux organisés ne s’est pas faite dans la même proportion que celle du nombre d’informations utilisées. Ainsi, les fraudeurs organisés changent-ils d’e-mail tout les 4,49 achats (4,24 en moyenne en 2004), d’adresse tous les 3,59 achats (2,97 en 2004) ou de téléphone tous les 3,87 achats (3,13 en 2004). 19 6,00 5,52 5,00 4,49 4,00 3,74 3,87 3,59 3,00 2,00 1,00 0,00 par identités Par site Par adresse Par e-mail Par téléphone GRAPHIQUE 10 FRÉQUENCE MOYENNE DE CHANGEMENT D’INFORMATIONS PAR LES RÉSEAUX DE FRAUDEURS, EXPRIMÉE EN NOMBRE MOYEN D’ACHATS EFFECTUÉS AVEC UNE DES INFORMATIONS CI-DESSUS, AVANT D’EN CHANGER POUR UNE AUTRE Ces fréquences de changement moins fortes que l’année précédente pour les réseaux organisés donnent autant de chances supplémentaires à FIA-NET de repérer ces réseaux avant qu’ils puissent « transformer » leurs tentatives en impayés réels. En revanche, les fraudeurs « hors réseaux », plus nombreux cette année, sont moins facilement identifiables. 20 CONCLUSION Devant l’efficacité accrue des sites pour lutter contre la fraude, la question primordiale devient le coût de gestion des méthodes de contrôle et de détection des fraudeurs et des mauvais payeurs. 21 A. DEUX OUTILS D’ANALYSE : LE SCORING ET LE CONTRÔLE HUMAIN Afin de lutter contre la fraude, les sites marchands font appel à deux techniques principales, complémentaires l’une de l’autre : outils de scoring, permettant une validation automatique d’un maximum d’acheteurs ou au contraire •la Des mise sous surveillance humaine d’un certain nombre de commandes jugées à risque. Des contrôles humains, entièrement ou partiellement manuels, pouvant être la résultante des outils de •score présentés ci-dessous ou de sélections très simples : contrôle systématique de toutes les commandes, en fonction d’un montant, choix humain, etc. 1. Le scoring interne ou externe Un outil de score se caractérise par les attributs suivants : Internalisé (développé par le site marchand) ou externalisé (à une société tierce) : caractéristique •importante en termes de coûts et de réactivité face à la fraude. • Indépendant ou mutualisé (au sein des sociétés d’un même groupe ou de marchands évoluant sur un même secteur) : il faut rappeler que le partage d’informations nominatives dans un tel cadre nécessite l’autorisation de la CNIL pour pouvoir être mis en œuvre. FIA-NET a obtenu cette autorisation pour son système d’analyse des commandes en date du 18 janvier 2005, suite au passage de la CNIL en régime d’autorisation à l’été 2004. • Fondé sur des critères objectifs et/ou matériels: parmi les critères les plus employés par les sites, nous pouvons citer la mise en place de white-lists ou de black-lists fondées par exemple sur des anciennetés importantes du client ou la réception de pièces justificatives pour les premières, ou l’existence d’impayés liés à un client ou à une carte bancaire pour les secondes. L’historique de consommation d’un client ou d’une carte bancaire sur le site ou l’ensemble de sites sur lequel l’outil de score est établi permet une analyse par seuils, permettant de déceler des comportements potentiellement anormaux, nécessitant un contrôle. Fondé sur des critères statistiques : les combinaisons de différents critères permet d’établir une approche •statistique, permettant de relier l’achat d’un consommateur à d’autres groupes de transactions caractéristiques et d’établir une probabilité du caractère frauduleux ou au contraire honnête de la commande. Parmi les critères utilisés, on peut citer le prix, le lieu de livraison, le type d’article commandé ou encore la nature de l’e-mail (gratuit, payant, ISP, proxy-server, etc.). 2. Les étapes du contrôle humain Les contrôles humains les plus couramment employés par les cyber-commerçants sont les suivants : • Des contrôles visuels reprenant la logique de score permettant de s’assurer à l’œil nu que les caractéristiques de la commande ne sont pas dangereuses et de la valider, ou, au contraire, de la faire passer dans un autre type de contrôle • Des contrôles téléphoniques pour s’assurer de la présence effective de l’acheteur sur le lieu de livraison. Dans un contexte accru d’usurpations d’identités et de livraison dans des parties communes d’immeubles en se faisant passer pour un habitant, un contact téléphonique sur une ligne fixe est un moyen simple de s’assurer de l’identité réelle d’un acheteur 22 Des demandes de justificatifs permettant de s’assurer que la personne est bien titulaire de la carte employée •pour le paiement ou habite bien sur le lieu de livraison. On citera parmi les demandes les plus courantes : photocopie de carte d’identité, justificatifs de domicile (facture d’électricité ou télécom), RIB, chèque barré, photocopie de la carte bancaire. • En dernier recours, notamment en cas d’échec de ces contrôles, de nombreux commerçants proposent aux consommateurs d’opter pour un autre moyen de paiement (virement, chèque) avec un risque de perte du client important. Étape 1 : outil de SCORE Étape 2 : contrôle manuel Contrôle visuel Transactions à risque à contrôler Contrôle téléphonique Demande de justificatifs Paiement alternatif Ensemble des transactions Transactions à valider automatiquement SCHEMA 1 LES PROCESS DE CONTRÔLE DES PAIEMENTS PAR CARTE BANCAIRE 23 B. LE COUT REEL DE LA FRAUDE Comme pour tout centre de coûts d’une entreprise, les frais réels de la fraude doivent intégrer les coûts visibles, ceux des impayés, et les coûts invisibles et induits, liés à la gestion et à l’impact sur l’activité commerciale. Dès lors, le phénomène de la fraude ne doit pas seulement se mesurer au taux d’impayés, mais bien à l’aune de 3 indicateurs majeurs : Le taux d’impayés final qui mesure la perte réellement subie par le commerçant. Le marchand peut •également arbitrer entre ce taux d’impayés et le coût de la garantie proposée par FIA-NET pour couvrir ces fraudes. • Le coût des moyens mis en œuvre pour lutter contre la fraude : en additionnant principalement les coûts des outils de scoring et des contrôles humains, ainsi qu’un certain nombre de coûts additionnels (coûts télématiques pour appels de vérification, réceptions de justificatifs, recherches sur le consommateur…). Le coût de perte d’opportunité, qui est la résultante directe des contrôles effectués et qui peut être non •négligeable notamment en cas de contrôles mal ciblés : vexation d’internautes contrôlés à tort qui décident d’abandonner leur commande. La lutte contre la fraude est donc un arbitrage permanent entre ces trois indicateurs : réduire la fraude à néant au prix de coût de contrôle très importants ou pire, d’une perte de clientèle forte, a moins d’intérêt que d’accepter un coût raisonnable de fraude avec une maîtrise des coûts de contrôles et la transformation d’un maximum de commandes. 24 C. UN TAUX D’INCERTITUDE REDUIT A MOINS DE 1 % 74 sites marchands ont décidé de déléguer l’ensemble de leurs contrôles à FIA-NET en 2005, et pas uniquement les vérifications sur base de score faites par le système d’analyse des commandes. Pour la communauté de ces 74 sites marchands, les résultats des différents types de vérifications font apparaître les statistiques suivantes : Transactions validées automatiquement par le système d'analyse des commandes FIA-NET 91,6 % Transactions garanties 91,6 % automatiquement Transactions garanties 97,13 % Transactions hors fraudes certaines Plus de 99 % Transactions en contrôle visuel 1,2 % Validation = 80 % 1,2 % x 80 % = 0,96 % Contrôle téléphonique 3,2 % Validation = 73 % 3,2 % x 73 % = 2,34 % Demande de justificatifs 2,9 % Validation = 77 % 2,9 % x 77 % = 2,23 % Tentative de fraudes 1,2 % Pas de validation Fraude certaine 1,2 % x 0,7 % = 1,9 % Incertitude Fraudes certaines 1% 1,9 % SCHEMA 2 LES PROCESS FIA-NET POUR VALIDER PLUS DE 99 % DES COMMANDES HORS FRAUDE Le contrôle automatique des commandes (score) valide 91,6 % des commandes, détecte 1,2 % de tentatives de fraudes (acheteurs intégrant les fichiers d’incidents de paiement antérieurs) et requiert une expertise humaine pour 7,2 % des transactions. Le contrôle humain permet ensuite de valider 5,53 %, soit un total de transactions garanties de 97,13 %. Les fraudes avérées atteignent 1,9 %. Et moins de 1 % des commandes présente un degré d’incertitude. NB : le taux de 1,9% de fraudes détectées sur ces 74 sites est un taux en nombre de transactions, sur l’échantillon des sites déléguant l’intégralité de leurs contrôles à FIA-NET. Ce taux est différent de celui de 1,73% recensé sur l’ensemble des sites FIA-NET et exprimé en montant. Une des conclusions du Livre Blanc 2004 de FIA-NET se vérifie très clairement cette année : « …un nouveau phénomène apparaît sur le marché : la « vexation » d’internautes refusés à tort, en raison d’une suspicion de fraude alors qu’ils sont les réels porteurs de la carte. A l’avenir, c’est la capacité des sites et des tiers de confiance à discriminer entre les acheteurs réguliers et les fraudeurs possibles qui fera leur succès, et leur permettra de continuer à développer leurs ventes sur le marché. » 25 Tableaux, graphiques et schémas Graphiques Graphique 1 : Évolution annuelle de la fraude depuis 2002 ………………………………………… 9 Graphique 2 : Taux de tentatives de fraude recencé mensuellement sur les sites FIA-NET ……… 10 Graphique 3 : Taux d’impayés de fraude recencé mensuellement sur les sites FIA-NET …………… 11 Graphique 4 : Indicateur d’efficacité de la lutte contre la fraude - Tentatives/Impayés …………… 13 Graphique 5 : Répartition de 2003 à 2005 des impayés par secteur d’activité en valeur (montants détournés par secteur) ………………………………………… 14 Graphique 6 : Répartition de 2003 à 2005 des impayés par secteur d’activité en volume (nombre d’impayés par secteur) ………………………………………… 15 Graphique 7 et 8 : Poids respectifs de chaque secteur dans la fraude en 2005 en valeur et en volume ………………………………………………………………… 15 Graphique 9 : Activité des réseaux organisés (par réseau, en moyenne) ………………………… 19 Graphique 10 : Fréquence moyenne de changement d’informations par les réseaux de fraudeurs, exprimée en nombre moyen d’achats effectués avec une des informations suivantes, avant d’en changer pour une autre ………………… 20 Tableaux Tableau 1 : Le phénomène de la fraude en valeur absolue sur le portefeuille FIA-NET et en extrapolation sur le marché ………………………………………………………… 12 Tableau 2 : Nombre de fraudeurs et volume de fraudes par individu ……………………………… 16 Tableau 3 : Identification des fraudeurs par les annuaires télématiques …………………………… 17 Tableau 4 : Segmentation des fraudes en réseaux organisés ………………………………………… 18 Schémas Schéma 1 : Les process de contrôle des paiements par la carte bancaire ………………………… 23 Schéma 2 : Les process FIA-NET pour valider plus de 97 % des commandes ……………………… 25 26