Visa, MasterCard et autres durcissent leurs règles

Le grave incident qui a défrayé la chronique du monde bancaire il y a quelques semaines (cf. CardSystems Solutions) oblige les dirigeants des établissements de cartes de crédit à prendre des mesures. En urgence et sur le fond…

On se souvient que le vol, aux Etats-Unis, de plusieurs dizaines de millions de références de cartes de paiment, par un ou plusieurs ‘hackers’, a mis tout l’univers de la banque en émoi (lire nos précédents articles). Dans le même temps, les risques de fraudes provenant de « l’hameçonnage » (ou ‘phishing‘) via des e-mails sur Internet (permettant de dérober des codes secrets, notamment) se sont spectaculairement accrus. Un centre de traitement informatique de cartes de crédit traite jusqu’à 3.000 transactions à la seconde! Et sur un an, il transfère jusqu’à 30 voire 50 milliards d’euros! On comprend que des pirates de tous bords tentent d’y pénétrer par toutes sortes de cyberfraudes. En fait, la fragilité relative du dispositif tient dans la chaîne complexe que constitue le traitement d’un paiement par carte bancaire. Entre le client qui saisit son code ou signe une facturette chez le commerçant et le ‘datacenter’ de la banque qui va effectivement débiter le montant sur son compte, des maillons faibles subsistent dûs au grand nombre de structures intermédiaires: contrôle auprès d’un fichier central (celui des vols ou interdits bancaires), celui de l’établissement de carte de crédit (Visa, MasterCard, American Express…), et celui de la banque. Le dispositif est d’autant plus fragile, constate une enquête du New York Times, que ces mêmes organisations ont pris l’habitude de sous-traiter une bonne partie des tâches -ce qui ne facilite pas la mise en place ni le strict respect des règles de sécurité… Suite au vol perpétré sur les serveurs de CardsSystems, les établissements de carte de crédit ont immédiatement pris leurs précautions: ainsi, Visa a interrompu toutes transactions électroniques avec cet acteur. Mais le dommage a été commis. « Comment garantir que des données personnelles ne sont pas déjà en circulation, exploitées par des cyberpirates, voire des terroristes?« , s’interroge un des enquêteurs. John Philip Coghlan, d-g de Visa-USA, a fait un mea-culpa: « On peut s’asseoir ici et dire qu’il y a zéro fiabilité et qu’aucun client ne sera affecté. Le fait est que si la confiance des clients est érodée, c’est tout notre système qui sera érodé! » Visa, comme ses confrères dans un tel cas, fait tout pour limiter les pertes financières dues à la fraude, mais continue à prévenir les fraudes ou vols de données dans la chaîne de traitement -ce qui relève d’un défi permanent, car presque toutes les opérations intermédiaires sont « out-sourcées », donc confiées à des prestataires extérieurs. Lors d’un achat en ligne, les informations d’un client de carte de paiement peuvent être interceptées, en théorie, sur des milliers de noeuds de traitements (‘processing hubs’). Or les établissements de cartes de crédit sont responsables: ils doivent s’assurer que les commerçants, les grands distributeurs, leurs centres de traitement informatiques, et les banques -bref, tous les chaînons du process respectent rigoureusement toutes les procédures de sécurité. Cette responsabilité explique que Visa dispose d’une « brigade » de 150 agents anti-fraude. Le dossier est d’autant plus délicat que des établissements comme Visa ou MasterCard n’éditent pas eux-mêmes les cartes de paiement, ni ne gèrent tout le processus. Il existe des organisations, comme le GIE carte bancaire en France, qui assurent une bonne partie des transactions. De même, en cas de fautes ou manquements manifestes aux règles, il est prévu des pénalités. Mais dans la pratique, dans le système actuel très interdépendant, personne ne se risque à appliquer des amendes… Bref, c’est un travail de longue haleine: formation et sensibilisation, avec des sessions de contrôle sur les mises en conformité, le respect des procédures. Tout ne sera pas achevé en quelques mois!