Un jour j’ai fait un achat sur le net, j’avais acheté pour environ 800€ de matos informatique, commandé de mon domicile avec adresse de livraison à mon domicile et paiement avec une carte de crédit à mon nom… Pourtant j’ai eu droit à un contrôle FIANET ! Ces contrôles vous obligent à envoyer photocopie de pièce d’identité, RIB et d’autre merde. Ils ne sont pourtant pas effectués sur des gens au hasard ils interviennent en fonction du « scoring » que FIANET vous a attribué.

En réalité la raison de mon contrôle FIANET a probablement été du à mon adresse @hotmail.it car elle comporte 2 gros points négatifs: tout d’abord hotmail est une adresse de type gratuit très mal vue, ensuite une extension .it alors que je commande en France parait également suspect !
A ça on ajoute un montant de 800 € qui ne fait qu’empirer le scoring de mon évaluation

• Les critères du scoring

Voici les différents critères qui vont définir le scoring, il ne représente en rien une liste exhaustive des critères de FIANET mais proviennent des recherches que j’ai pu effectuer sur les forums de e-commerce et les logiciels de détection de fraude. Certains de ces contrôles peuvent être effectuer automatiquement tandis que d’autres auront besoin d’être fait manuellement.

• Pays de l’ adresse IP de la commande différent de celui de l’adresse de livraison: très suspect, contrôle systématique.
• Pays de l’ adresse IP de la commande différent du pays de la carte bancaire: très suspect, contrôle systèmatique.
  Détecter le pays d’une carte bancaire est faisable grâce aux premiers chiffres de cette dernière par exemple:

  4974;Visa;BNP
  4975;Visa;La Bred
  4976;Visa;Sofinco
  4978;Visa;Caisse d Epargne

  Une bonne liste est disponible ici .

• Adresse email de type gratuit (@hotmail,@yopmail,@yahoo,…).
• TLD du domaine de l’email représentant un pays différent de l’adresse de livraison.
• Adresse de livraison non présent dans les pages blanches.
• Numéro de téléphone portable au lieu de fixe.
• Numéro de téléphone ne correspond pas avec le numéros des pages blanches: suspect.
• Présence de header proxy: très suspect.
• Utilisation d’une ip, adresse email, adresse, nom ou password (dans la mesure du possible ), carte bancaire répertoriée: contrôle lourd, proposer un autre mode de paiement.
  En effet FIANET sauvegarde tous paramètres correspondants aux fraudes ayant déjà eu lieu.
• Utilisation d’un proxy public, d’un noeud tor: très négatif, contrôle systématique.
• Plus le montant de la commande est élevé plus le risque de contrôle est grand.
• IP Geolocalisation: Plus la distance entre l’adresse IP du client et l’adresse de livraison est grande plus le risque de contrôle est grand.
• Livraison dans les boites postales: suspect.
• Contrôle humain: Information Nom/Prénom/Adresse suspect et incohérent.
• Contrôle humain: Achat de produit compact, cher et en plusieurs quantité ( genre plusieurs ipod ou plusieurs laptop ).

• Un système infaillible ?

Malgré toutes ces protections, ce système est loin d’être infaillible le cybercriminel pourra toujours passer entre les mailles du filet, par exemple:

_Une commande d’un montant maximum de 200€ (après ça dépend du type du magasin ).
_Utiliser une carte bancaire française: facile.
_Avoir une ip française, utilisation d’un proxy privé opaque++ sans header: s’achète facilement avec des CC volés car pas cher, mais complique déjà la tache du hacker.
OU
_Une ip dans la ville de livraison (hacking WIFI / point d’accès public): Assez facile mais chiant.
_Une adresse de livraison: Squat de hall, utilisation de passe PTT, certains facteurs habitués dépose les colis dans les cages d’escalier sur les boites au lettre, ou alors plus difficile, empreint d’appartement.
_Avoir une adresse et un numéro de téléphone dans les pages blanches compliquent la tâche.

Ces moyens sont à la disposition de n’importe quel individu motivé par l’argent (ou la haine envers e-commerces ).

• Des statistiques

Ici je parle de statistiques correspondants à la fraude effective ( c’est à dire que les tentatives de fraudes détectées qui ont échouées ne sont pas prises en compte ).

Selon le rapport annuel de l’observatoire de la sécurité des cartes de paiement, le montant total des fraudes s’élève à 26.4 millions d’euros en 2007 ce qui représente 0.28 % du montant total des transactions ayant eu lieu sur internet. Ces statistiques sont basé sur l’utilisation des cartes bancaires françaises avec des ecommerces français.

Selon le livre blanc de FIA-NET cela représente 2.7 millions d’euros soit 0.16% du montant total des transactions. Ces statistiques sont différentes car elles reposent sur un échantillon de 900 commerçants ( ce qui explique le montant plus faible ) possédant tous le système d’antifraude de FIA-NET (ce qui explique pourquoi le pourcentage est plus faible).

Je n’ai pas reussi à récupérer les statistiques du FEDAV, je sais qu’elle tourne aux alentours de 0.12 % mais je ne sais pas trop sur quoi elles reposent.

26.4 millions d’euros / an ça fait quand même beaucoup d’argent (même si le taux de fraude reste faible), je me demande à qui profite cet argent ? Groupe de cybercriminel roumain implanté en France ? Hackers blackhat indépendants ? Ou simple client malveillant utilisant sa propre carte bleu et réfutant le paiement ? Mystère, pas de statistique la dessus.

Plus tard je parlerai peut être de l’origine de ces cartes bancaires volées.