Le temps est venu pour le standard EMV de conquérir les États-Unis

L’utilisation de cartes à piste magnétique présente un risque potentiel de fraude. Les principaux acteurs de l’industrie des paiements aux États-Unis ont subi des pertes de données majeures au cours de ces dernières années, et notamment d’énormes pertes d’informations relatives aux cartes de crédit et de débit.
Il existe des preuves démontrant que ces pertes sont le résultat du recentrage sur les États-Unis des activités de fraude et de cybercriminalité en raison des campagnes actives de migration vers les cartes à puce avec code PIN dans les autres régions du monde.

L’Europe, le Japon et de nombreux autres pays et régions à travers le monde, y compris les pays et régions à proximité des États-Unis (Canada, Mexique et Amérique latine) réalisent actuellement des campagnes de migration vers les cartes bancaires à puce EMV. Les États-Unis, qui continuent de recourir aux cartes à piste magnétique, se retrouvent ainsi de plus en plus isolés et le pays devient ainsi un terrain propice vers lequel les criminels déplacent leurs activités. On appelle ce phénomène l’« exportation de la fraude », une conséquence annoncée depuis longtemps par la communauté bancaire internationale.

Désormais, les preuves de l’existence de ce phénomène sont visibles. Selon l’APACS, l’association des paiements du Royaume-Uni, la migration, en 2007, vers les cartes à puce avec code PIN a permis de réduire les pertes dues aux transactions effectuées à partir de terminaux de paiement de l’ordre de 67 %. Le montant total des pertes est ainsi passé de 218,8 millions de livres en 2004 à 73 millions de livres en 2007.

La fraude liée à la non-réception de courrier a également chuté de 34 % et la fraude liée au vol et à la perte de cartes a diminué de 18 % depuis 2006. Mais l’association fait également état d’une tendance forte qui atteste le phénomène d’« exportation de la fraude ». Alors que la fraude par contrefaçon de cartes a chuté de 32% à l’intérieur du pays, celle-ci a enregistré une hausse de 46 %, soit un montant global de pertes de l’ordre de 144,3 millions de livres. Cette hausse est la conséquence directe des activités des fraudeurs qui procèdent au clonage de cartes au Royaume-Uni en vue de les utiliser dans des pays qui ne disposent pas encore de systèmes de cartes à puce avec code PIN. Cette tendance s’est poursuivie en 2008 et l’APACS a rapporté que l’exportation de la fraude a presque doublé en l’espace de deux ans.
(http://www.apacs.org.uk/resources_publications/card_fraud_facts_and_figures.html)

Il existe également des preuves solides démontrant l’exportation aux États-Unis de fraudes à l’échelle internationale liées au vol de cartes de crédit. L’été dernier, 11 individus ont été inculpés pour le vol de plus de 130 millions de numéros de cartes de crédit et de débit, suite à l’intrusion dans les systèmes informatiques de grands distributeurs américains tels que 7-eleven, OfficeMax, Boston Market, Barnes & Noble et Sports Authority. Selon le Département de la Justice américaine, il s’agit de la plus vaste fraude à l’identité jamais observée. La plupart des criminels impliqués dans cette affaire sont des pirates et des voleurs de cartes de crédit agissant à l’international.

Il ne s’agit pas du premier cas de cybercriminalité de ce type aux États-Unis. En janvier 2009, l’opérateur Heartland Payment Systems, qui fournit des prestations de traitement de cartes de crédit et de débit, a été la cible de fraudes à la carte bancaire dues au piratage informatique. Bien que les nationalités des criminels ainsi que le montant des pertes n’aient pas encore été établis, Heartland Payment System traite plus de 100 millions de transactions par carte par mois.

Programmes malveillants visant les services financiers

Un autre phénomène inquiétant à considérer dans le domaine de la cybercriminalité est la prolifération des attaques par phising mais aussi des programmes capables de voler les mots de passe, les programmes d’espionnage de clavier, les téléchargeurs ou encore les « chevaux de Troie » pillant les comptes bancaires. Tous ces programmes sont mis au point dans le but de subtiliser les détails de comptes financiers, de comptes de cartes de crédit ainsi que d’autres informations d’identité personnelles.

Selon l’Anti-Phishing Working Group, groupe de travail international de lutte contre le phishing, le nombre de sites frauduleux infectant les ordinateurs via des programmes capables de voler des mots de passe a atteint le chiffre record de 31 173 en décembre 2008, soit une augmentation de 827 % par rapport au début de l’année. Le groupe de travail a également annoncé les résultats d’une enquête portant sur les programmes malveillants financiers au troisième trimestre de l’année 2008. Sur les 4 141 000 ordinateurs d’entreprises et personnels soumis à investigation dans le cadre de cette enquête, 181 000 ordinateurs, soit 4 %, ont été infectés par des programmes capables de voler des mots de passe, des programmes d’espionnage de clavier, des téléchargeurs ou encore des « chevaux de Troie » pillant les comptes bancaires.

Le phishing continue de constituer une menace sérieuse. Au mois d’octobre 2008, un nombre record de 34 758 cas de phishing isolés provenant de 27 739 sites de phishing a été  rapporté. 84 % de ces attaques avaient pour cible des services de paiement et des groupes financiers et 61 % utilisaient des URL contenant le nom de la banque ou du fournisseur de cartes de crédit. (Source : Anti-Phishing Working Group. Second rapport bi-annuel 2008.)

Les informations recueillies lors de ces attaques seraient inutiles aux fraudeurs si les États-Unis adoptaient des systèmes de paiement par cartes à puce.

Les experts sont d’accord : le temps est venu pour les États-Unis d’adopter le standard EMV

Étant donné les menaces sérieuses posées par les intrusions de bases de données et les programmes malveillants financiers, le temps est venu pour les acteurs financiers aux États-Unis d’envisager sérieusement l’adoption du standard EMV.

Bon nombre de personnes influentes dans le pays plaident actuellement pour la mise en oeuvre de ce standard. Donald G. Campbell, Vice-président de TJX, a déclaré cet été au Boston Globe que la faille de sécurité affectant le système informatique de son groupe aurait été sans conséquence si le pays avait été doté de systèmes de paiement par cartes à puce, car les numéros volés auraient été inutiles lors des tentatives de fraude. Il a également déclaré : « Je pense que les fraudeurs focalisent leurs activités sur des pays qui n’ont pas encore introduit ce niveau de sécurité supplémentaire ».

Suite à l’intrusion des systèmes informatiques du groupe Heartland, Avivah Litan, Vice-présidente et analyste de renom chez Gartner Research, a émis les recommandations suivantes auprès des fournisseurs de cartes lors d’une déclaration publique sur le site Internet du groupe : « Nous devons suivre l’exemple d’autres régions qui migrent vers des systèmes d’authentification plus sophistiqués. Grâce à l’implémentation de tels systèmes, les données dérobées sont inutilisables lors des transactions. Le Canada et la plupart des pays d’Europe et d’Amérique du Sud, par exemple, ont migré ou migrent actuellement vers des systèmes de paiement par cartes à puce ou par code PIN. »

En mars 2009, lors du « Visa Global Security Summit » de Washington, Ellen Richey, responsable Gestion des risques pour Visa USA, a déclaré: « On me demande souvent pourquoi les États-Unis n’adoptent pas les systèmes de paiement par cartes à puce. La question n’est pas de savoir s’il faut ou non adopter cette technologie, mais de savoir quand et de quelle manière la migration doit être effectuée. Aux États-Unis, l’adoption des technologies à puce a été initiée à travers la mise en place de systèmes de paiement sans contact. Permettez-moi d’être claire : du point de vue de notre entreprise, les technologies à puce, avec et sans contact, permettent d’ajouter un niveau de sécurité supplémentaire élevé. Elles offrent également aux titulaires de cartes et aux commerçants d’autres avantages, tels que le confort et la rapidité de paiement. Nous soutenons donc pleinement ces technologies. »