Une attaque de crédit (« credit master ») consiste pour un acteur malveillant à obtenir et utiliser illégalement les informations de carte de crédit d’une autre personne. Ces attaques sont de plus en plus fréquentes au Japon et ont un impact significatif sur les entreprises et les titulaires de cartes. Pour cette raison, il est nécessaire d’utiliser des mesures pour prévenir les attaques « credit master ».

Dans cet article, nous expliquons ce que sont les attaques « credit master », les dommages qu’elles peuvent causer et les contre-mesures que les entreprises et les titulaires de cartes peuvent utiliser pour les prévenir.

Sommaire de cet article

• Qu’est-ce qu’une attaque « credit master » ?
  
• Quel est l’impact des attaques « credit master » sur les sociétés au Japon ?　
  
• Comment les entreprises japonaises peuvent-elles se prémunir contre les attaques « credit master » ?
  
• Quel est l’impact des attaques « credit master » sur les titulaires de cartes ?
  
• Comment les titulaires de cartes peuvent-ils se prémunir contre les attaques « credit master » ?
  
• FAQ sur les attaques « credit master »
  
• Ce qu’il faut retenir concernant les attaques « credit master »
  

Qu’est-ce qu’une attaque « credit master » ?

Une attaque de crédit est une méthode de fraude à la carte de crédit qui utilise la cohérence des chiffres des numéros de carte de crédit pour obtenir illégalement des numéros de carte. Dans le cadre de cette attaque, l’acteur malveillant utilise un programme ou un logiciel qui génère automatiquement des nombres aléatoires. Ils sont ensuite testés pour identifier les numéros de carte et les codes de sécurité valides.

Les acteurs malveillants utilisent les pages de paiement des sites d’e-commerce pour déterminer si ces numéros générés par des machines sont ou non des numéros de carte de crédit valides. Si une page de paiement accepte un paiement par carte de crédit à l’aide de ces numéros, le numéro de carte et le code de sécurité sont considérés comme valides. Ils risquent alors d’être utilisés frauduleusement sur divers autres sites d’e-commerce.

Voici une explication détaillée des méthodes spécifiques utilisées lors d’une attaque de crédit :

La technique « credit master »

Une attaque « credit master » implique la génération automatique de chiffres basés sur la régularité des numéros de carte de crédit.

Conformément à la norme internationale de l’Organisation internationale de normalisation/Commission électrotechnique internationale (ISO/IEC) 7812, les numéros de carte de crédit sont composés des éléments suivants :

• Un numéro d’identification de l’émetteur (IIN) : ce numéro est parfois aussi appelé numéro d’identification bancaire (BIN) et comprend les six premiers chiffres.

• Un numéro de compte membre : les septième à avant-dernier chiffres composent ce nombre.

• Un chiffre de contrôle : il s’agit du dernier chiffre.

À l’aide d’un algorithme spécial, le chiffre de contrôle détermine si le numéro de carte est correct. L'émetteur de la carte de crédit détermine l’IIN. Il s’agit d’informations publiques que tout le monde peut vérifier. Par exemple, les cartes de crédit Rakuten portent le numéro IIN « 3584-03 » et les cartes de crédit Visa EPOS portent le numéro IIN « 4897-83 ».

Après avoir établi un point de départ grâce à quelques conjectures, les nombres sont automatiquement générés par un ordinateur. Le nombre final est déterminé en testant à plusieurs reprises des combinaisons du code de sécurité et de la date d’expiration, en plus de l’IIN, du numéro de compte du membre et du chiffre de contrôle.

Dommages causés par les attaques « credit master »

Selon l’Association japonaise du crédit à la consommation, le montant total des dommages causés par l’utilisation non autorisée de cartes de crédit au Japon de janvier à décembre 2023 s’élevait à 54,1 milliards de yens, soit le montant le plus élevé jamais enregistré. Par rapport aux 43,7 milliards de yens de dommages totaux en 2022, cela représente une augmentation de plus de 10 milliards de yens en seulement un an.

Si l’on décompose le montant des dommages causés par l’utilisation frauduleuse des cartes de crédit par catégories, le montant total des dommages causés par le vol de numéro en 2023 s’élevait à 50,5 milliards de yens. Cela représente 93,3 % du montant total des dommages causés par l’utilisation frauduleuse des cartes de crédit.

Les attaques « credit master » sont généralement considérées comme des vols de numéro de carte, mais toutes les attaques impliquant un vol de numéro n’utilisent pas les techniques de « credit master ». Cependant, selon les tendances récentes, les activités frauduleuses impliquant le vol de numéros de carte de crédit, y compris les techniques « credit master », deviennent de plus en plus complexes et sophistiquées chaque année. On craint que les pertes ne continuent d’augmenter.

Quel est l’impact des attaques de crédit sur les sociétés au Japon ?

Voici l’impact de ces attaques sur les entreprises japonaises :

Augmentation des frais de traitement en raison d’un grand nombre de demandes d’autorisation

L’autorisation de la carte, c’est-à-dire le processus d’obtention d’un crédit ou d’approbation de crédit, permet aux entreprises de vérifier auprès de la société émettrice de la carte de crédit si le client dispose de fonds ou de crédit suffisants pour payer une transaction. L’entreprise doit payer à la société émettrice de la carte de crédit des frais de traitement pour chaque autorisation, généralement compris entre 1 et 5 yens.

Si un site de commerce électronique fait l’objet d’une attaque « credit master », des frais d’autorisation importants lui seront généralement facturés au fur et à mesure que les numéros de carte sont soumis pour autorisation. Bien que les frais pour chaque tentative d’autorisation soient faibles, le coût des autorisations peut rapidement s’accumuler.

Même si les cartes de crédit ne sont pas utilisées frauduleusement directement sur son site, l’entreprise peut tout de même subir des dommages en raison d’un grand nombre d’autorisations et de leurs coûts associés.

Perte d’opportunités de vente et plaintes des clients

Lors d’une attaque « credit master », un grand nombre de tentatives d’accès sont effectuées à un seul endroit. Cela peut surcharger le système, ralentir le traitement des paiements et des commandes et, dans certains cas, empêcher les clients légitimes d’accéder au site d’e-commerce. Plus problématique encore, les paiements par carte de crédit peuvent donc être temporairement indisponibles.

Si cette situation se produit sur un site d’e-commerce, les clients se sentiront probablement incommodés, méfiants ou mal à l’aise. Ils cesseront donc complètement d’utiliser le site. Cela peut entraîner une perte d’opportunités de vente pour l’entreprise. De plus, le site sera inondé de demandes et de plaintes de la part de clients réels, soucieux de savoir si leurs commandes et leurs paiements ont été traités correctement.

Suspension des paiements par carte bancaire

Les sociétés émettrices de cartes de crédit surveillent en permanence les conditions de paiement. Pour cette raison, elles peuvent suspendre temporairement les paiements des sites d’e-commerce qui ont été la cible d’une attaque « credit master ».

Ce type d’attaque utilise une grande quantité de nombres aléatoires qui entrent en conflit les uns avec les autres. Il en résulte le grand nombre de demandes d’autorisation mentionnées ci-dessus, qui peuvent être signalées comme frauduleuses. Par conséquent, le fournisseur de carte de crédit peut juger nécessaire d’arrêter complètement les paiements par carte de crédit sur un site donné. Tant que ces paiements sont suspendus, il est impossible de fournir des services de paiement par carte de crédit aux clients légitimes.

Perte de confiance des clients et étendue des dommages

Comme mentionné ci-dessus, les paiements par carte de crédit peuvent être temporairement indisponibles. Si le site d’e-commerce tombe en panne alors qu’un client passe une commande, il peut être perçu comme dangereux ou incapable de traiter des paiements sécurisés.

Si un client vérifie auprès de l’entreprise, il peut recevoir une réponse du type : « Les paiements par carte de crédit sont temporairement suspendus en raison d’une activité non autorisée provenant de l’extérieur de l’entreprise. » Un message comme celui-ci n’est pas gage de confiance aux yeux du client.

De plus, si une attaque « credit master » aboutit, les acteurs malveillants peuvent considérer le site comme ayant une sécurité médiocre. Par conséquent, le site pourrait être de nouveau ciblé à l’avenir. De plus, si un acteur malveillant obtient des informations de carte de crédit valides sur le site d’e-commerce d’une entreprise, cela signifie que les informations personnelles des clients ont été compromises. Les informations de leur carte peuvent également être utilisées frauduleusement ailleurs, ce qui peut causer un préjudice supplémentaire aux clients.

Comment les entreprises japonaises peuvent-elles se prémunir contre les attaques « credit master » ?

Voici les mesures que les entreprises peuvent prendre pour se protéger contre les attaques « credit master » et réduire la probabilité d’être touchées :

3D Secure

3D Secure est un système d’authentification qui vise à empêcher l’utilisation non autorisée de cartes de crédit lors de paiements sur des sites d’e-commerce. Les mots de passe à usage unique et l’authentification biométrique deviennent la norme. Ils servent à confirmer que la personne qui saisit les informations de la carte de crédit est le propriétaire légitime de la carte.

Par exemple, avec 3D Secure 2.0 (également connu sous le nom de « EMV 3-D Secure »), il est possible d’empêcher toute utilisation non autorisée, telle que le vol d’informations de carte de crédit. Le système effectue une évaluation des risques basée sur des données détaillées, comme les informations sur l’appareil du client, la région d’accès et l’heure de la journée. Toutefois, 3D Secure 2.0 ne suffit pas à lui seul à prévenir complètement la fraude. Il est donc nécessaire de mettre en œuvre plusieurs autres mesures de prévention de la fraude au-delà de 3D Secure 2.0.

Outils de contre-mesure pour les bots

Utiliser des outils de détection de bots est un autre moyen d’empêcher les accès non autorisés automatisés, y compris les attaques de crédit principal. reCAPTCHA de Google est un outil de détection de bots bien connu, et c’est un service de sécurité que toute entreprise peut adopter.

reCAPTCHA v2 propose deux types de tests. L’une demande au client de cocher une case pour confirmer qu’il ne s’agit pas d’un robot, et l’autre exige que les clients sélectionnent les bonnes images parmi un ensemble de plusieurs images. Par exemple, les instructions peuvent indiquer : « Veuillez sélectionner les images qui incluent un passage pour piétons. » Cette méthode est couramment utilisée lors de l’envoi d’un formulaire de demande sur un site Web ou lors de la connexion à un compte.

De plus, la dernière version, reCAPTCHA v3, utilise l’apprentissage automatique pour analyser les modèles d’activité Web des clients et déterminer automatiquement si le site est consulté par un humain ou un robot. Bien que reCAPTCHA v3 ne nécessite pas d’intervention du client comme reCAPTCHA v2, il offre une sécurité supérieure.

Systèmes de détection des fraudes

Un système de détection de la fraude identifie les utilisations frauduleuses en fonction des informations de paiement antérieures et du comportement de l’utilisateur. Voici quelques-unes des informations qu’il recherche :

• Une adresse non valide ou fictive

• Le nom du titulaire de la carte ne correspond pas

• Commandes passées à partir de différents terminaux

• Paiements répétés avec des numéros de carte différents

Avec un système de détection des fraudes, les entreprises peuvent prévenir plus efficacement les dommages causés aux sites d’e-commerce en détectant et en bloquant automatiquement les transactions frauduleuses qui ne peuvent pas être vérifiées avec 3D Secure. Les systèmes de détection de la fraude n’exigent pas non plus des titulaires de carte légitimes qu’ils passent par des étapes supplémentaires pour effectuer des paiements, (par exemple, une authentification supplémentaire). Cela peut conduire à une amélioration de l’expérience d’achat pour les clients.

Stripe aide les entreprises à optimiser leur environnement de paiement en ligne en les défendant face à la menace croissante de la fraude à l’échelle mondiale. L’outil exclusif de prévention de la fraude de Stripe, Stripe Radar, utilise l’apprentissage automatique pour s’adapter aux modèles de fraude en constante évolution, ce qui permet de mettre en place des mesures de prévention de la fraude plus avancées. Étant donné qu’il peut être intégré au flux de paiement sans temps ni coût supplémentaires pour développer de manière indépendante un système de détection des fraudes, l’utilisation du système peut être lancée facilement et de manière fluide.

Limites sur les saisies d’informations de carte

Imposer une limite au nombre de fois qu’un client peut saisir les informations de sa carte de crédit sur l’écran de paiement peut empêcher les attaques de crédit à grande échelle.

Cependant, si la limite est trop restrictive, elle peut bloquer l’utilisation de la carte si un titulaire de carte légitime saisit par erreur des informations incorrectes trop souvent. Une limite trop restrictive peut augmenter le risque d’abandon de panier et diminuer la satisfaction des clients.

Quel est l'impact des attaques « credit master » sur les titulaires de cartes ?

Voici quelques exemples de dommages qu'un titulaire de carte pourrait subir à la suite d'une attaque « credit master » :

Utilisation frauduleuse de carte non détectée

Si les informations de carte de crédit générées lors d'une attaque « credit master » sont jugées valides, elles seront probablement utilisées par un tiers malveillant. Étant donné que les auteurs d'attaques « credit master » adoptent des méthodes de plus en plus sophistiquées, beaucoup d'entre eux maintiennent délibérément les dépenses à un niveau si bas que leur caractère frauduleux n'est pas immédiatement détecté par le client.

Réédition de cartes

Si les transactions frauduleuses par carte bancaire sont nombreuses, la société émettrice de la carte bancaire peut décider d'annuler la carte. Comme nous l'expliquerons plus tard, si un titulaire de carte bancaire remarque lui-même une attaque « credit master », il doit contacter la société émettrice de la carte bancaire pour la faire annuler. Dans les deux cas, la carte devra être réémise et ne pourra pas être utilisée tant qu'elle ne l'aura pas été.

Comment les titulaires de cartes peuvent-ils se prémunir contre les attaques « credit master » ?

Lorsqu’une carte de crédit est utilisée frauduleusement dans le cadre d’une attaque « credit master », il s’agit d’un fardeau à la fois financier et psychologique pour le client. Voici ce que les titulaires de carte peuvent faire pour réduire leur risque d’être victimes de fraude et ce qu’ils doivent faire si les informations de leur carte de crédit sont utilisées dans le cadre d’une attaque par carte de crédit :

Prévenir les attaques « credit master »

Vérifier attentivement et régulièrement les relevés de carte

Lorsqu’un titulaire de carte consulte régulièrement son relevé, il est plus susceptible de remarquer des paiements dont il ne se souvient pas. Par exemple, par rapport à une personne qui ne consulte son relevé qu’une fois par mois, une personne qui consulte son relevé après chaque sortie au centre commercial ou au restaurant sera plus susceptible de dire si un paiement est inhabituel ou non.

Utiliser un service de notification d’utilisation

Un service de notification d’utilisation permet à un titulaire de carte de recevoir des notifications par e-mail, SMS ou notification push chaque fois qu’une carte de crédit est utilisée. Il est informé en temps réel du montant, de la date, de l’heure, du nom de l’entreprise et d’autres informations après l’utilisation de la carte. S’il reçoit une notification alors qu’il n’a pas utilisé la carte, il saura immédiatement qu’il s’agit d’une fraude et pourra prendre les mesures appropriées.

Définir des restrictions d’utilisation de la carte

L’établissement d’une limite pour chaque type de situation d’utilisation peut offrir une certaine tranquillité d’esprit aux titulaires de cartes de crédit. Il est également important de fixer des limites individuelles pour chaque situation. Par exemple, si le titulaire de la carte ne voyage jamais en dehors du Japon, il peut fixer la limite à l’étranger au minimum. Il peut également configurer la carte de manière à empêcher les transactions uniques de grande valeur. Ainsi, il sera moins susceptible d’être victime de fraudes liées aux achats en ligne.

Après avoir subi une attaque « credit master »

Parfois, ces attaques sont inévitables, même si l’entreprise et le titulaire de la carte prennent toutes les mesures possibles pour prévenir la fraude. Voici ce qu’un titulaire de carte peut faire s’il est victime d’une attaque « credit master » :

Contacter la société émettrice de la carte de crédit pour faire opposition

Dès qu’un titulaire de carte constate une utilisation non autorisée, il doit immédiatement contacter la société émettrice de la carte de crédit et faire opposition. En cas d’utilisation non autorisée, il peut demander un remboursement en refusant le paiement par le biais d’un processus appelé contestation de paiement.

Utiliser le système de compensation

Après la suspension d’une carte de crédit, les titulaires de carte peuvent utiliser le système de rémunération de la société émettrice de la carte de crédit. Les modalités d’indemnisation varient d’une entreprise à l’autre. Toutefois, si une utilisation non autorisée a été confirmée, elle peut utiliser le système d’indemnisation comme mesure d’aide aux consommateurs. Par conséquent, les titulaires de carte doivent vérifier à l’avance les détails du système de compensation. Cela peut les aider à agir calmement en cas d’attaque « credit master ».

FAQ sur les attaques « credit master »

Quand un relevé de carte bancaire est-il mis à jour ?

C’est lorsque le magasin envoie les données d’utilisation à la société émettrice de la carte de crédit que la transaction est reflétée sur le relevé. Par exemple, si le magasin envoie des données d’utilisation immédiatement après un paiement par carte de crédit, il s’écoule généralement deux ou trois jours entre le moment du paiement et le moment où ils apparaissent sur le relevé. Cependant, le moment de la transmission des données varie d’un magasin à l’autre. Dans certains cas, il peut s’écouler plusieurs semaines, voire plusieurs mois, avant qu’un paiement ne figure sur un relevé.

Si un titulaire de carte utilise une carte de crédit pour payer un produit, les informations de transaction n’apparaîtront pas immédiatement sur le relevé.

Est-il possible que seul le numéro de carte de crédit soit utilisé à des fins malveillantes ?

Les cartes de crédit contiennent plusieurs informations qui peuvent être utilisées à des fins malveillantes, comme un code de sécurité et une date d’expiration. Certaines personnes peuvent craindre que leur numéro de carte ait été révélé à un tiers et qu’il soit utilisé à des fins malveillantes. Cependant, en général, si un seul de ces détails est divulgué, les chances d’une utilisation non autorisée réussie sont faibles.

En effet, pour faire des achats en ligne dans un centre commercial électronique ou souscrire à des services numériques sur Internet, les titulaires de carte doivent saisir le numéro de carte, le code de sécurité et la date d’expiration. En d’autres termes, il n’est pas possible d’effectuer un paiement par carte de crédit en ligne avec uniquement le numéro de carte.

Cependant, si le code de sécurité et la date d’expiration sont divulgués en même temps que le numéro de la carte, celle-ci pourrait être utilisée frauduleusement. Pour cette raison, chaque fois qu’un titulaire de carte effectue un paiement par carte de crédit, que ce soit en personne ou non, il doit faire attention à ce que les gens autour de lui peuvent voir. Par ailleurs, il doit éviter de faire des achats en ligne dans des endroits publics fréquentés, car quelqu’un pourrait essayer de regarder l’écran de paiement et d’obtenir ses informations.

Quand 3D Secure pour les cartes de crédit deviendra-t-il obligatoire ?

Dans le cadre des mesures visant à empêcher l’utilisation non autorisée des cartes de crédit, 3D Secure 2.0 sera obligatoire pour les sites d’e-commerce au Japon d’ici fin mars 2025. À mesure que 3D Secure devient obligatoire, il est important que toutes les entreprises du secteur des cartes de crédit encouragent les entreprises de commerce en ligne à implémenter cette mesure

Ce qu’il faut retenir concernant les attaques « credit master »

Dans cet article, nous avons examiné les méthodes d’attaque et le montant des dommages monétaires dans les attaques « credit master », ainsi que les répercussions et les contre-mesures pour les entreprises et les clients.

Les attaques « credit master » reposent sur des techniques malveillantes qui permettent de mener attaques aléatoires en utilisant la génération automatique de nombres par machine. L’objectif est d’obtenir frauduleusement des informations de carte de crédit. Pour se défendre contre les attaquants qui envisagent d’utiliser cette technique, il est très important de prendre en charge 3D Secure et de renforcer le niveau de sécurité du site d’e-commerce de votre entreprise. Pour ce faire, vous pouvez mettre en œuvre la détection de la fraude et créer un environnement de site où les clients peuvent faire leurs achats en toute tranquillité.

Côté client, les titulaires de cartes de crédit doivent également faire preuve d’une prudence accrue lorsqu’ils utilisent leur carte, vérifier régulièrement leurs relevés et faire preuve de prudence lors du stockage et de la gestion de leurs informations personnelles.