En plein essor, le e-commerce vous permet d’acheter produits et services à tout moment sans avoir à vous déplacer. En 2021, les Français ont ainsi dépensé 129 milliards d’euros sur Internet(1). S’il est très pratique, le paiement en ligne n’est pas sans poser des questions de sécurité. Face au risque de fraude, les banques et les acteurs du e-commerce ont réagi en mettant en place des outils numériques de protection. Mais comment savoir si le paiement que vous vous apprêtez à faire est sécurisé ? La Banque Postale vous explique tout ce qu’il faut savoir pour utiliser sereinement votre carte bancaire sur Internet !
Connaître les risques du paiement en ligne
L’achat en ligne vous expose à plusieurs catégories de risques. Celui d’avoir affaire à une vitrine sans réalité marchande derrière. Dans ce cas, vous payez pour un service ou un produit totalement fictif. Une autre catégorie de risques concerne plus particulièrement le paiement en ligne. L’utilisation d’une carte bancaire sur Internet peut entrainer soit le détournement des fonds de la transaction, soit la captation des données bancaires. Ces dernières sont alors utilisées pour multiplier les opérations frauduleuses avant que le titulaire de la carte ne se rende compte du détournement de ses identifiants et ne fasse mettre sa carte en opposition.
Un nouveau risque est apparu récemment : le fraudeur vous appelle en se faisant passer pour votre banque et vous demande de valider à distance une opération d’annulation de paiement identifié comme frauduleux. En aucun cas, vous ne devez valider cette demande. Aucun conseiller de La Banque Postale ne peut vous demander ce type de validation à distance. Dans cette situation, appelez immédiatement votre service client habituel afin de mettre en place les mesures de sécurisation adéquates.
Cette nouvelle technique de fraude s’ajoute aux traditionnelles campagnes d’hameçonnage (Phishing en anglais). L’escroc vous adresse un e-mail ou un SMS en se faisant passer pour un organisme ou une société vous invitant à répondre ou à cliquer sur un lien. L’une des tentatives les plus connues concerne Améli et l’envoi d’une nouvelle carte vitale. N’obtempérez jamais à ce type de sollicitation : contentez-vous d’effacer le message !
Identifier les sites sécurisés
Lorsque vous achetez sur Internet, écartez tout site ne comportant par le préfixe « HTTPS » dans son URL. Cette mention en tête de l’adresse du site figurant dans la barre de recherche de votre navigateur signifie HyperText Transfer Protocol Secure (protocole de transfert hypertextuel sécurisé en français).
Grâce à une série de suites cryptographiques, le HTTPS garantit la confidentialité des données émises entre votre PC, tablette ou Smartphone et le site marchand. Dénommé protocole TLS (Transport Layer Security), ce système de chiffrement est particulièrement important lorsque vous remplissez les champs d’une page de paiement en ligne. Vos données bancaires seront moins exposées au risque de piratage sur un site utilisant ce protocole.
Comme tout système de protection, le HTTPS n’est malheureusement pas inviolable. Depuis sa création en 1994, ce dernier a fait l’objet de plusieurs attaques réussies. Ces attaques donnent lieu à un travail d’analyse des failles utilisées et à des évolutions informatiques pour les rendre inopérantes. Chaque évolution du TLS apporte des améliorations notables du niveau de sécurité. Les navigateurs les plus utilisés (Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari) travaillent de concert pour appliquer ces mises à jour et rendre la navigation et les paiements en ligne de plus en plus sûrs. En 2021, l’Observatoire de la sécurité des moyens de paiement a constaté, une croissance de 12 % du nombre de transactions sans hausse significative de la fraude(2)!
Vérifier la sécurisation de la connexion
Lorsque vous utilisez votre navigateur, celui-ci vous indique le degré de sécurité du site visité. Dans la barre de recherche, à gauche de l’onglet réservé à l’adresse de celui-ci, vous trouverez le symbole correspondant :
- Un cadenas : le site web est authentifié et la connexion est sécurisée ;
- Un cadenas accompagné d’un triangle d’avertissement : le certificat du site web fait l’objet d’une alerte. Celui-ci a été auto-signé ou le certificat ne provient pas d’une autorité de confiance.
- Un cadenas barré de rouge : le site web n’est pas sécurisé.
HTTPS + Cadenas
Pour naviguer et payer en sécurité, votre barre de recherche doit conjuguer le préfixe HTTPS et le symbole du cadenas. Cette conjugaison confirme la fiabilité du site d’e-commerce.
Informations demandées et authentification
Un paiement en ligne à l’aide de votre carte bancaire s’effectue en deux phases distinctes afin qu’il soit totalement sécurisé.
Phase 1 : en ligne
Sur la page de paiement du site marchand, vous transmettez 4 informations et elles seules :
- Le nom du titulaire de la carte ;
- Le numéro à 16 chiffres de la carte bancaire ;
- La date d’expiration (mois/année) de la carte ;
- Le cryptogramme (3 chiffres au verso de la CB).
Toute demande d’une information autre dans le cadre d’un paiement sécurisé, comme le code confidentiel de la carte, est totalement illégitime. La plupart des sites marchands enregistrent le numéro de carte bancaire après avoir validé votre premier paiement en ligne. À La Banque Postale, nous vous recommandons de supprimer cette mise en mémoire de vos coordonnées bancaires afin d’éliminer tout risque de captation.
Phase 2 : l'authentification forte
Par la suite, vous recevez soit un SMS soit une notification de votre application mobile La Banque Postale :
- Dans le premier cas, le SMS contient le code à inscrire dans le champ correspondant de la page de paiement 3D Secure de La Banque Postale. Pour valider ce paiement, il vous sera ensuite demandé de composer sur le pavé numérique proposé par cette page le code d’accès à votre espace client La Banque Postale.
- Dans le second, il vous est demandé de vous connecter à votre application pour valider le paiement.
A retenir
Les données permettant la validation d’un paiement en ligne ne doivent JAMAIS être transmises par téléphone à quiconque. Une escroquerie très en vogue (le spoofing) consiste à contacter les porteurs de CB en se faisant passer pour un conseiller La Banque Postale ou un commerçant. L’usurpateur indique la détection d’opérations douteuses et demande vos éléments confidentiels. N’obtempérez surtout pas, cette procédure n’est absolument pas régulière !
Savoir reconnaître un moyen de paiement sécurisé
Client de La Banque Postale, l’utilisation de votre carte bancaire en ligne peut donner lieu à une authentification forte conforme à la 2e directive européenne sur les services de paiement (DSP2). L’authentification forte se base sur l’utilisation du protocole 3-D Secure. La transaction n’est validée que lorsque celle-ci a donné lieu à l’utilisation de deux des trois dispositifs d’identification possibles (élément de connaissance, élément de possession et élément biométrique). Lorsque vous effectuez un paiement en ligne avec votre carte bancaire de La Banque Postale, vous recevez soit une demande de validation sur votre application mobile par Certicode Plus, soit un code de confirmation par SMS que vous devrez saisir sur le site marchand. Dans ce dernier cas, la saisie de votre mot de passe d’accès à la banque en ligne vous sera aussi demandé pour renforcer l’authentification.
Vous pouvez aussi sécuriser votre transaction en utilisant le service e-Carte Bleue de La Banque Postale. Il permet de payer en ligne sans communication de vos données de cartes bancaires, en utilisant un numéro généré temporairement pour le paiement que vous souhaitez réaliser.
L'astuce de La Banque Postale
Pensez au blocage temporaire de votre carte bancaire ! L’espace carte bancaire de votre application mobile La Banque Postale vous permet de bloquer temporairement celle-ci lorsque vous ne l’utilisez pas. Vous pouvez choisir aussi de désactiver/activer le paiement en ligne pour éviter toute opération non désirée.
L’addition de ces différents niveaux de sécurité limite considérablement le risque de fraude lorsque vous effectuez un paiement en ligne. La Banque Postale vous recommande néanmoins de consulter très régulièrement vos relevés de compte : vérifiez la liste des opérations effectuées et leur montant. Vous détectez une opération frauduleuse ? Contactez immédiatement votre conseiller en ligne au 3639 !
L'Assurance Moyens de Paiement de La Banque Postale
Avec l'Assurance Moyens de Paiement de La Banque Postale(3) :
Vous êtes protégé en cas de fraude liée à l'achat d'un bien sur Internet ou en magasin :
- Un juriste vous accompagne dans vos démarches et la défense de vos droits (garantie Sécurité Juridique)
- Vous êtes remboursé du prix d'achat du bien, réglé à l'aide d'un moyen de paiement assuré (garantie Sécurité Fraude)(4) :
- Avec la formule Alliatys : tout moyen de paiement associé à votre compte bancaire La Banque Postale ;
- Avec la formule Alliatys Plus : tout moyen de paiement associé à votre compte bancaire La Banque Postale ou à un autre compte bancaire quelle que soit la banque.
Alliatys et Alliatys Plus vous protègent également des préjudices financiers liés à la perte ou au vol de vos moyens de paiement. Votre banque interviendra en cas de détournement des données de votre carte bancaire sans qu'elle ne soit perdue ou volée.
Articles associés
(2) Baisse de la fraude des paiements sur Internet en France en 2021 - La finance pour tous
(3) Dans les limites et conditions prévues aux Dispositions Générales valant Notice d’information Alliatys
(4) Dans la limite de 15 000 € par sinistre et par année d’assurance et après application d’une franchise de 300 € par sinistre