Cartes prépayée: attentions aux utilisations frauduleuses !
La carte bancaire prépayée est dans le collimateur de l’AMF et les autorités luttant contre les fraudes fiscales internationales. La dématérialisation a permis de faciliter et d’accélérer les échanges mais aussi de favoriser la fraude. Dans l’état actuel, les transactions via les cartes bancaires prépayés sont encore mal tracées. Ce qui peut être aussi un risque pour le consommateur ou les établissements financiers.
Les mules plastiques et les pirates: la paradis de l’arnaque
Les cartes bancaires prépayées remplacent les mules humaines dans le transport de sommes d’argent chez les criminels de tout genre : fonds issus de la prostitution, trafic de drogue, corruption, financement du terrorisme … La difficulté à tracer les transactions, la provenance des fonds et le porteur font de ces cartes des alliées de choix des mafieux : beaucoup faciles à gérer que les humains, elles ne font pas d’erreur et restent discrètes.
Avec un compte volé, il est très facile d’acheter une carte de débit prépayée et de la charger.
En effet les hackers ont commencé à exploiter, non pas les cartes prépayées elles-mêmes, mais le système (ou back office) qui gère celles-ci. Ainsi une attaque sur les processeurs – qui permettent de délivrer les cartes – a entrainé en 2012 aux USA à la banque Chase une fraude de 45 millions de dollars – en quelques heures.
Plusieurs cartes pour plusieurs risques ?
Mais les risques varient en fonction du types de cartes, suivant qu’elles soient non rechargeables ou rechargeables. Typiquement, les cartes prépayées non rechargeables sont utilisées pour les cartes cadeau, les bons d’achat, les cartes pour recharger son mobile, ou les cartes spécifiques (iTunes, Amazon…). Elles sont chargées avec un montant spécifiques et sont utilisables jusqu’à ce que ce montant soit épuisé. Ces cartes sont achetées par le consommateur totalement anonymement : on ne demande pas de pièces d’identité. Ce qui en fait un excellent moyen pour blanchir de l’argent et la lutte s’est focalisée là-dessus.
Les cartes prépayées rechargeables se distinguent par leur capacité à être rechargée en fonds et que le porteur doit s’identifier au moment de son achat. Dans les deux cas, les cartes sont en général émises par les grandes sociétés du secteur, comme Visa, MasterCard et American Express. En théorie, le risque est perçu comme moins important avec les cartes rechargeables – mais depuis peu ce sont ces dernières qui ont posé le plus de problèmes : contrairement aux non rechargeables elles peuvent être utilisées dans les distributeurs de billets.
Les différentes attaques possibles sur les cartes rechargeables
Les attaques se concentrent sur les système de gestion : les hackers vont alors modifier le montant de la balance du compte, enlever la limite journalières, hebdomadaire ou mensuelle d’utilisation, et récupèrent même les codes secrets ou codes PINs. De là, ils n’ont plus qu’à encoder ces données dans une carte à puce en plastique et retirer très rapidement au distributeur de billets le plus proche. L’argent est blanchi ensuite dans divers achats de luxe.
La seconde façon de procéder est d’utiliser une carte prépayée à l’insu de son porteur – elles ne savent pas qu’elles participent à du blanchiment d’argent. On assiste alors à du vol d’identité pour s’accaparer la carte de la victime.
Comment se mettre à l’abris ?
Petits ou grands établissements financiers courent le même risque. Mais les émetteurs de renoms disposent de moyen généralement plus efficaces et sont en général plus sûres car ils ont plus d’expérience dans la gestion des données bancaires.
Le coup de gueule de l’Autorité des Marchés Financiers (AMF) dans son communiqué du 28 Mai 2014 envers plateforme InvestDiamond.com géré par le même président que celui de Veracarte confirme que prendre une carte bancaire prépayée chez certains émetteurs peut être risqué, de part ce fait de manque de sérieux dans la gestion des données. Le mélange des genres peut donc être périlleux pour le porteur.
Mais les banques ne sont pas non plus 100 % infaillibles : interconnectées à d’autres entreprises – qui peuvent revendre leurs produits – ce sont ces réseaux qui peuvent devenir les portes d’entrée pour les pirates.
D’abord, les systèmes de gestion des cartes doivent être revus afin de sécuriser l’ensemble des cartes. Ensuite les services bancaires en ligne doivent encore renforcer leurs mesures de sécurité. Le contrôle interne doit être renforcé, car la plupart des attaques proviennent de l’intérieur.
Mais bien entendu malgré tous les efforts, il faut savoir que la fraude est à l’origine une fraude à l’identité, par du phishing ou de l’ingénierie sociale (les personnes qui se font passer pour d’autres, comme pour votre banque ou votre fournisseur). Ce qui ne différenciera pas la fraude par carte prépayée des autres fraudes existantes.
Les émetteurs de cartes doivent également prendre les mesures nécessaires : fuyez les émetteurs de carte bancaire prépayée de moins de 2 ans d’existence. Ils pensent bien souvent d’abord à mettre sur le marché, avant la concurrence et dans la précipitation, leurs produits qu’à les sécuriser. Si l’industrie arrive à prévenir ou anticiper plutôt que de réagir à un problème ou une menace, alors la carte bancaire prépayée deviendra indubitablement incontournable.
Avant de choisir, renseignez vous et restez prudent.
CHOISISSEZ PARMI LES CARTES LES PLUS SURES DU MARCHES DANS NOTRE COMPARATIF