Comment Stripe a répondu à une vague de tests de cartes bancaires

Lead image 3 (higher res)

Entre février et août 2022, Stripe avait l'œil sur une vague de fraudes à la carte bancaire au cours de laquelle des acteurs malveillants submergeaient les marchands de millions de transactions d'une valeur modique ou nulle. Ces campagnes de « test de cartes bancaires » ont pour but de déterminer si des cartes volées sont toujours fonctionnelles et peuvent perturber les activités des entreprises. Lors du pic de cette vague, Stripe Radar, la solution de Stripe pour la prévention de la fraude, a bloqué pas moins de 20 millions de tentatives de test par jour.

Cette vague estivale s'inscrit dans une tendance lourde. En effet, le test de cartes bancaires s'intensifie ces dernières années, en raison de l'adoption toujours plus massive de l'e-commerce. Les consommateurs ne maîtrisant généralement pas les subtilités des achats en ligne, beaucoup sont victimes de pirates. Conséquence directe, les tests des cartes bancaires ont été multipliés par plus de 100 depuis 2019.

Card testing sent to Stripe vs baseline v4b OL

Vérifier des cartes volées

Le test des cartes bancaires est une technique largement utilisée par les fraudeurs pour exploiter les informations de cartes volées. Lorsqu'ils achètent une liste de cartes volées, ils ne savent pas quelles cartes sont encore actives : certaines ont pu être annulées, d'autres ont pu expirer. Il leur est ainsi difficile de déterminer la véritable valeur de leur liste.

C'est justement là tout l'intérêt du test des cartes bancaires.

Les fraudeurs créent des programmes qui tentent pour chaque carte de la liste de réaliser automatiquement un petit paiement ou de l'enregistrer sur un site pour confirmer qu'il s'agit d'un moyen de paiement valide. Les cartes que les fraudeurs parviennent à utiliser ou à enregistrer peuvent ensuite être vendues à d'autres acteurs malveillants qui s'en servent pour faire des achats plus importants ou fabriquer des cartes contrefaites.

« De manière générale, la fraude représente un écosystème au sein duquel chaque acteur a un rôle distinct dans la chaîne de valeur, avec un but ultime commun, gagner de l'argent », explique Will Megson, chef de produit Radar.

Un problème pour les marchands

Au-delà de favoriser la fraude, le test des cartes bancaires pose un vrai problème aux fournisseurs et plateformes, qui s'acquittent de frais de réseau à chaque transaction. Ces frais sont certes modiques, mais ils représentent rapidement des sommes conséquentes lorsqu'un site devient du jour au lendemain la cible de milliers, voire de millions de tests. En quelques heures, ce type d'événement peut entraîner la faillite de petits marchands.

Et ce n'est que le début. Ces mêmes tests, qui portent sur des montants modestes, peuvent être contestés par les titulaires légitimes des cartes, ce qui entraîne des contestations de paiement coûteuses pour les marchands : frais de contestation, frais de résolution et frais d'interchange, mais aussi les heures de travail mobilisées pour résoudre ces problèmes. De plus, les réseaux de cartes peuvent placer les marchands concernés dans leurs listes de marchands à haut risque, comme la liste VMFP (Visa Fraud Monitoring Program) ou EFM (Mastercard Excessive Fraud Merchant Compliance Program), avec à la clé une hausse des frais de traitement et la mise en place de réserves.

« Ces programmes offrent une certaine protection, mais ils peuvent aussi s'avérer répressifs », explique Will Megson.

Radar fait face

La bonne nouvelle, c'est que les entreprises peuvent contrer cette menace avec un minimum d'efforts grâce à Radar.

Pour lutter contre le nombre croissant de tests de cartes bancaires, les ingénieurs de Stripe ont fluidifié la transmission des données entre le réseau Stripe et Radar. En une heure, ils ont pu déployer des modèles actualisés, un processus qui prenait jusque-là un jour ou deux, et permettre ainsi à Radar de s'adapter à des modèles de fraude qui évoluent très rapidement.

« Grâce aux algorithmes de machine learning et aux règles de fraude personnalisées de Stripe, nous sommes parvenus à réduire nos taux de fraude et de contestation de paiement », estime Lourdes García, responsable produit de l'opticien en ligne Ben & Frank.

Stripe a également créé un nouveau modèle de machine learning spécialisé dans le test des cartes bancaires qui opère au niveau des transactions. Pour y parvenir, il lui a fallu élaborer de nouvelles méthodes d'étiquetage de ces transactions en allant au-delà de ce qui se faisait jusqu'à présent. Une tâche dantesque, car les réseaux de cartes ne proposent absolument aucune étiquette permettant d'identifier les tests des cartes bancaires.

En plus de ces améliorations du machine learning, Stripe a déployé des dizaines de nouveaux limiteurs de débit, qui restreignent le nombre de requêtes traitées par l'API Stripe sur un court intervalle. Cette seule mesure a permis de bloquer près de 40 millions de tests de cartes bancaires cette année.

« Nous adoptons une approche bien plus intelligente pour surveiller la façon dont les scripts de tests de cartes interagissent avec les marchands », explique Will Megson.

Bloquer plus d'attaques

Les résultats sont encourageants. Cette année, Radar a déjà bloqué 400 millions de transactions frauduleuses en plus, divisant par deux le nombre de tests de cartes bancaires réussis, sans hausse notable des transactions légitimes considérées à tort comme de la fraude.

« Nous n'étions pas loin de devoir arrêter de traiter des paiements en raison du nombre de transactions frauduleuses auxquelles nous étions confrontés. C'est à ce moment-là que nous avons commencé à utiliser Radar, qui nous a permis de lutter contre la fraude de manière programmatique et de déployer des règles précises pour bloquer les testeurs de cartes », affirme Matt Maier, PDG d'AdBlock.

Stripe poursuit ses investissements dans Radar en combinant innovation liée au machine learning et leçons tirées d'expériences concrètes de sa lutte contre les tests de cartes bancaires. Chaque fois que les fraudeurs feront évoluer leurs méthodes, Radar s'adaptera.