[Tribune] Lutter contre la fraude en ligne en 2020

Plus il y a de serrures sur une porte, plus grandes sont les chances que les voleurs passent par la fenêtre. Pour Philippe de Passorio, DG Adyen France et Italie, alors que la technologie évolue, la fraude, elle aussi, devient de plus en plus intelligente, et y faire face est un processus d’adaptation permanent.

Philippe-de-Passorio-–-DG-Adyen-France-Italie

Philippe de Passorio,DG Adyen France & Italie

Selon une étude du Merchant Risk Council (sept 2020), 41 % des commerçants déclarent se sentir autant, sinon plus vulnérables à la fraude qu’il y a 12 mois. Outre l’impact sur le chiffre d’affaires, ils craignent des répercussions sur la fidélité et la réputation.

Dans un contexte porteur pour l’e-commerce et dans une période marquée par les immenses efforts déployés par de nombreux commerce physiques pour vendre en ligne, la fraude ne doit cependant pas décourager le développement d’une activité de vente en ligne. Pour maîtriser ces risques, rappelons les différents types de fraude que l’on observe majoritairement aujourd’hui et les tactiques pour les déjouer.

Les tests de cartes

Les cartes volées sont « testées » pour vérifier si elles sont actives, en général avant qu’un fraudeur ne vende les renseignements sur le web. Les cartes actives sont vendues à un prix beaucoup plus élevé que celles qui ne sont pas testées.

Habituellement, pour vérifier si une carte est active, un fraudeur tentera de souscrire à un service, de préférence un abonnement où le premier mois est gratuit. L’entreprise qui émet l’abonnement effectue alors une transaction à montant nul pour autoriser la carte avant de facturer le montant réel.

Les services d’abonnements tels que streaming audio ou vidéo par exemple, doivent être particulièrement vigilants avec les périodes de test. On observe souvent qu’en utilisant des cartes pré-payées, certains enchaînent les périodes de test sans jamais devenir client. Les tests de cartes sont généralement réalisés en masse par des robots.

La fraude sur les impayés (chargeback)

Lorsqu’un client passe commande sur un site internet puis conteste son paiement en lançant une procédure de rétro-facturation (ou chargeback) alors qu’il a déjà reçu les biens. C’est ce que l’on appelle aussi la « fraude amicale ». De « vrais » acheteurs contestent un paiement pour un produit ou un service livré, soit parce qu’ils ne sont pas satisfaits, soit parce qu’ils exploitent cette faille.

Le piratage de compte

Combinant phishing et vol d’identité, les pirates se donnent de nos jours beaucoup de mal pour créer des sites e-commerce qui ressemblent à un site de marque légitime. Ils volent ainsi les identifiants d’acheteurs peu méfiants pour les utiliser par la suite. Les piratages de compte se produisent également sur des sites web renommés où les clients disposent déjà d’un compte avec des données de paiement enregistrées.

La triangulation

La triangulation nécessite trois éléments : un fraudeur, un client peu méfiant et un site e-commerce. Le client paie les marchandises sur une fausse vitrine en ligne, ce qui permet au fraudeur d’enregistrer ses renseignements. Ensuite, il expédie la marchandise et envoie une rétro-facturation au vendeur légitime.

La fraude par remboursement

Les professionnels du remboursement gagnent de l’argent en créant des sites internet qui proposent aux particuliers des services de remboursement en se faisant passer pour l’acheteur et en déclarant faussement la « fraude » en leur nom, ou en utilisant des failles dans les politiques de retour des marchandises perdues ou endommagées. 

La fraude par carte-cadeau

Il existe différents types de fraude par carte-cadeau. Les cartes sont difficiles à tracer et ne sont pas aussi réglementées que les cartes de débit ou de crédit, ce qui rend cette technique assez courante. Par exemple, un fraudeur peut utiliser des données de paiement volées pour acheter un produit en ligne et ensuite retourner la marchandise pour obtenir un remboursement sur la carte-cadeau.

La lutte contre la fraude est une question de contexte

Pris isolément, un paiement en ligne n’est qu’une suite de chiffres : un montant, un numéro de carte et un code de sécurité. Avec ces informations limitées, il peut être difficile de faire le tri entre fraude présumée, fraude avérée et demandes légitimes. Pour s’assurer d’une fraude, il faut prendre du recul et examiner plus précisément certaines informations.

Par exemple, le numéro de carte et l’adresse e-mail sont tous deux uniques à un utilisateur et donc faciles à vérifier. À l’inverse, une adresse IP est un attribut plus faible, car elle peut être manipulée via un VPN ou partagée avec de nombreuses personnes dans le cas d’un réseau Wi-Fi public. Si elle demeure utile, elle devra être étayée par des informations supplémentaires.

Pour créer un contexte solide, il faut combiner ces différents paramètres.

Automatiser la gestion du risque

Les vérifications manuelles sont trop chronophages, or il faut être agile et réactif pour sécuriser les paiements. En outre, plus on analyse un grand nombre de données, plus on est capable de dresser le profil précis du fraudeur. Il est donc indispensable de s’équiper d’outils d’automatisation de la gestion du risque et d’analyse des comportements frauduleux. Ces solutions libéreront du temps, des ressources et pourront même automatiquement approuver ou refuser des transactions.

Définir ses propres règles de fraude

Il n’existe pas de règles métiers applicables à tous les secteurs, toutes les marques et tous les pays : il faut personnaliser sa gestion de la fraude. Dans le luxe par exemple, un client peut avoir plusieurs cartes et commander en une semaine dans 2 pays différents. Un scénario qui dans un secteur plus conventionnel devra déclencher une alerte.

Connaître les comportements de ses clients

Les fraudeurs se servent souvent d’une seule adresse mail mais utilisent des dizaines de cartes bancaires ou sont également adeptes du copier-coller pour remplir les formulaires de paiement. Ils utilisent aussi très souvent des robots qui testent une grande quantité de transactions en très peu de temps.

Il est donc nécessaire d’identifier les comportements suspects qui ne ressemblent pas aux habitudes d’achat de ses clients ou qui ne semblent pas humains.

Trouver le bon équilibre entre gestion de la fraude et conversion.

Il est primordial de se défendre sans compromettre les acheteurs légitimes ni la fluidité de l’expérience de paiement. Voir une transaction légitime refusée par mégarde est très mal perçu.

Pour combattre la fraude, il faut cesser de considérer un paiement uniquement en termes numériques pour s’intéresser aux habitudes, aux comportements et au client lui-même. Il devient alors possible de repérer les tendances, d’identifier les clients récurrents et in fine d’anticiper et bloquer les signaux suspects.