Les fraudes sur les systèmes de paiement en ligne: tes données personnelles valent beaucoup plus de ce que tu en penses

Les fraudes sur les systèmes de paiement en ligne: tes données personnelles valent beaucoup plus de ce que tu en penses

« Le vol d’identité est une des escroqueries les plus anciennes qui existent ; il s’agit du fait d’être pris pour un pigeon, version 3.0 », raconte Cristóbal del Pino, spécialiste en sécurité informatique. Dans cette interview on parlera des risques des achats virtuels, du clonage des cartes et de ce qu’on peut attendre sur ce type de moyens de paiement.

« Tout service gratuit est payé avec tes données personnelles, et cela vaut beaucoup plus de ce que tu en penses ». Qui prononce cette phrase en qualité d’introduction pour parler sur la vulnérabilité des systèmes de paiement par Internet c’est Cristóbal del Pino, Senior Security Specialist chez Mkit, entreprise globale dédiée aux services de sécurité informatique.

On lui a fait appel pour mieux connaître cet endroit où l’on donne quotidiennement son accord : « OK, j’ai bien compris », « J’accepte », « Je confirme », « J’ai lu toutes les conditions » et, en même temps, on confie son identité, les numéros des comptes bancaires ou d’autres données personnelles, sans savoir ce qui va se passer avec eux au moment de cliquer sur les boutons de conformité dont les conditions écrites en tout petit, à vraie dire, personne ne lit jamais.

« À l’occasion d’employer des applications nouvelles, il faut se souvenir que les services qu’on va utiliser auront le contrôle total des données qu’on va leur fournir », signale Del Pino.

Pour mieux comprendre le sujet, on a fait appel à ce spécialise, qui a su éclaircir toutes les doutes.

Quels sont les risques auxquels une personne est exposée par le fait de renseigner les données financières et/ou bancaires au moment de réaliser un achat virtuel ?

Le risque principal est représenté par la façon de gérer et de stocker ces données par les entités ou les plateformes. En tant qu’utilisateurs, on n’est pas au courant de ce qui se passe derrière la page web ; par exemple, on ne connaît pas la manière dont ils gardent les données de la carte bancaire ou les données bancaires qu’on renseigne. Par ailleurs, si le site ne met pas à jour sa politique de sécurité, il est possible qu’il y ait des vulnérabilités mettant en risque l’information de l’utilisateur.

Le vol des données financières et/ou bancaires existe dans tous les endroits. Il s’agit d’un risque qui est pris en compte par les entités financières, car il est un problème réel. Il peut arriver qu’on clone une carte de crédit ou de paiement au moment de payer sur place. Ou même encore, qu’on prenne certaines données, comme il a été le cas de l’application Todo Pago, qui permettait de créer un compte et d’y associer une carte de paiement par le seul fait de valider le numéro de la pièce d’identité du titulaire de la carte. Lorsqu’avec la carte de crédit il est généré un débit avec un code de vérification, avec la carte de paiement on ne fait pas ce débit initial. Donc, l’attaquant pouvait réaliser des extractions du compte de la victime.

En général, les plateformes e-commerce et/ou les systèmes financiers sont conscients de la possibilité des fraudes dont leurs clients peuvent être victimes ?

Oui, ils sont conscients, car il s’agit d’une menace constante. Pourtant, les escrocs améliorent leurs méthodes et leurs attaques tout le temps. Pour cela, si une carte de crédit est clonée et la victime rapporte ce fait à la banque, celle-ci a les outils pour faire l’enquête et, en général, rembourse l’argent au client, car cela est déjà prévu comme un risque potentiel. Il s’agit du même cas lors du vol des données par l’usage d’un skimmer (un dispositif pour cloner des cartes, fréquemment installé dans les distributeurs automatiques). Il s’agit d’un risque latent, généralement prévu. Cependant, le prestige de l’entreprise est jeu, donc il est conseillé -et attendu- de réduire au maximum la quantité des fraudes à leurs clients.

Quels sont les conseils que vous donneriez à un magasin en ligne au moment de choisir le moyen de paiement à utiliser pour ses ventes ?

Je ne crois pas qu’il y ait une grosse différence entre les moyens de paiement existants ; le tout va dépendre de ce qui est poursuivi par le magasin virtuel pour ses clients. Ce qui est conseillé c’est de gérer correctement l’information, de se renseigner sur la sécurité des données et de disposer des méthodes de vérification de l’identité. Finalement, le vol d’identité est une des escroqueries les plus anciennes qui existent, il s’agit du fait d’être pris pour un pigeon, version 3.0.

À sa fois, quel type de sécurité doit avoir une entreprise de systèmes de paiement afin de ne pas perdre sa crédibilité ?

À mon avis, il faut que les entreprises aient des politiques de sécurité fortes et qu’elles soient certifiées ISO 27001. En plus, elles doivent avoir une correcte gestion des données de l’utilisateur, tel que j’ai dit auparavant. C’est un point faible, soit à cause d’un défaut du système, soit à cause d’une mauvaise vérification. De la même manière, il faudrait soit avoir une équipe de sécurité, soit contracter les services des entreprises dédiées afin de maintenir les systèmes le plus à jour possible.

Par ailleurs, il serait important d’avoir un bon service client lors des escroqueries. Il ne s’agit plus de la sécurité de l’information, mais de la sécurité envers les clients. Il y a des entreprises, telles que Mercado Pago, ayant un service pour la demande d’argent, dont le but est de pouvoir s’envoyer de l’argent entre clients, comme s’il s’agissait d’un porte-monnaie électronique. Le problème avec cela se pose lorsque le vendeur emploi cette option afin d’ajouter de l’argent sur la transaction, car une fois le montant transféré, l’utilisateur qui le reçoit peut le retirer lorsqu’il veut. De cette manière, la possibilité d’une escroquerie reste ouverte, car le vendeur peut demander de l’argent à l’acheteur et, une fois l’argent reçu et retiré, celui-ci disparaisse.

Qu’est-ce le plus avancé qu’on peut trouver en matière de sécurité informatique et moyens de paiement ?

Concernant les moyens de paiement traditionnels, je ne vois pas d’évolution en matière de sécurité, mais avec l’introduction de la reconnaissance faciale sur les téléphones portables et les ordinateurs, il est possible qu’on envisage un vrai changement envers ce nouveau paradigme.

Une autre évolution importante est l’introduction de Bitcoin. Plusieurs vendeurs choisissent d’opérer avec la cryptomonnaie, grâce à son expansion, ainsi que par le fait qu’il n’y a pas de commissions associées et qu’il s’agit d’un système anonyme. En plus, à cause de la décentralisation vis-à-vis des entités financières.

Finalement, est-ce qu’il y a des endroits où les personnes intéressées par ce type de sujets puissent connaître en peu plus sur la sécurité informatique ? C’est-à-dire, des endroits où les gens se retrouvent face à face, pas des fores ou des communautés virtuelles.

Oui, bien sûre! Il est très important de diffuser cette information, car tout le monde pense que les spécialistes en sécurité informatique sont une sorte d’êtres exclusivement virtuels, que les hackers sont des figures anonymes destinées à réaliser cyber-attaques, lorsque la réalité est qu’ils fassent le contraire. Je pourrais indiquer plusieurs endroits de rencontre. L’un d’entre eux, qui sera très important et tiendra lieux à Buenos Aires, c’est l’Andsec 2018. Il sera une opportunité excellente pour que les personnes intéressées sur ce type des sujets, qui sont les plus variés, se retrouvent. Dans ces conférences, il sera possible de trouver les perspectives défensives et offensives autour du hacking, qui traitent ces sujets avec un regard technique, mais aussi philosophique et théorique. Il s’agit des endroits ouverts au public, qui sont vraiment intéressants.

Logiciel de stockage des données : Comment profiter au maximum du potentiel de Redis ?

Logiciel de stockage des données : Comment profiter au maximum du potentiel de Redis ?