Le secteur bancaire a subi des transformations considérables au cours de la dernière décennie, à mesure que la banque est de plus en plus intégrée dans la vie quotidienne des consommateurs.
Rien que sur l’année dernière, l’adoption de la technologie dans le secteur bancaire s’est accélérée à un rythme sans précédent en raison de la pandémie de Covid-19.
Les consommateurs sont de plus en plus enclins à prendre des décisions financières sans avoir à se rendre en agence ni à utiliser une application bancaire. En plein essor, le « Buy Now, Pay Later » ou BNPL (littéralement, acheter maintenant et payer plus tard) représente une véritable transformation dans le secteur des paiements.
Les services BNPL donnent un certain pouvoir aux consommateurs en leur ouvrant un crédit sur le lieu de vente : au lieu de régler l’intégralité d’un montant en une seule fois, ces derniers sont ainsi rassurés par le fait de pouvoir régler leurs achats à plus long terme. Le fait que la plupart des prestataires de services BNPL ne facturent pas d’intérêts si les paiements sont effectués dans les délais et que le BNPL soit proposé à la fois dans le e-commerce et la vente au détail traditionnelle rend cet instrument financier plus attrayant que d’autres produits bancaires (cartes de crédit, prêts sur salaire, systèmes de financement), qui pâtissent d’une expérience négative des consommateurs.
L’adoption des services BNPL n’a cessé de croître, au bénéfice des entreprises comme des consommateurs. Le succès du modèle BNPL, qui allie technologie et sens des affaires pour toucher un segment de marché, dépend de la fluidité de l’expérience utilisateur :
- expérience de paiement simple en quelques clics ;
- expérience utilisateur homogène sur tous les sites Web ;
- aucun frais de traitement ;
- crédit instantané, sans processus d’approbation à rallonge.
Cependant, les pratiques qui rendent l’expérience utilisateur simple et attrayante sont bien souvent également celles utilisées par les cybercriminels pour s’enrichir. Les fraudeurs profitent des techniques existantes et modifiées pour duper les systèmes et services BNPL.
Le mode de fonctionnement des systèmes BNPL
Les services BNPL sont fournis par des banques ou des Fintech. Les détaillants s’abonnent à ces services pour proposer à leurs clients un mécanisme de paiement alternatif. Le mode de paiement est généralement déclenché sur le point de vente, à la fois dans l’espace numérique et dans le monde physique. Sur une plateforme e-commerce, le consommateur se voit proposer le BNPL comme option de paiement après avoir ajouté des articles à son panier et validé sa commande. Si l’acheteur sélectionne l’option BNPL, il est dirigé vers un prestataire BNPL. Après vérification de l’utilisateur, le prestataire de services accorde une ligne de crédit sans intérêt au consommateur. Le processus de paiement consiste à scanner un code QR, utiliser le téléphone pour confirmer la transaction ou saisir un mot de passe à usage unique envoyé sur le téléphone.
Les techniques de fraude à l’oeuvre
Les services BNPL s’apparentent à d’autres applications numériques, et les pirates recourent à diverses techniques pour déjouer le système. Le secteur bancaire et financier a déjà fait les frais de certaines des astuces utilisées par les attaquants, notamment :
· Prise de contrôle de comptes : les services BNPL consistent à fournir une ligne de crédit par défaut à un nouveau compte, dont les limites de prêt augmentent généralement en fonction de l’ancienneté du compte, du nombre de transactions et de l’historique des paiements. Les fraudeurs créent de faux comptes pour tirer profit du crédit par défaut, tout en ciblant également des comptes existants pour augmenter leurs gains. Ils recourent à tout un éventail de techniques (notamment l’hameçonnage, le bourrage d’informations d’identification et le clonage de cartes SIM) pour gagner de l’argent aux dépens d’autres utilisateurs.
· Fraude sur la ligne de crédit par défaut pour les nouveaux comptes : la plupart des systèmes BNPL permettent aux consommateurs de s’inscrire simplement en fournissant des copies de documents prouvant leur identité (comme un permis de conduire) et/ou leur adresse actuelle (comme des factures de services publics). Munis de documents similaires obtenus à partir de courriers volés ou de violations de données, les fraudeurs créent de faux comptes, puis utilisent les mêmes conditions simples d’inscription et la même ligne de crédit de lancement que celles offertes aux consommateurs légitimes. Dans certains cas, les fraudeurs forment une collusion avec des commerçants pour convertir la ligne de crédit par défaut en espèces.
· Remboursements effectués avec une carte de crédit volée : la plupart des services BNPL permettent aux consommateurs de rembourser leur prêt au moyen d’une carte de crédit. Les fraudeurs profitent de cette fonctionnalité pour régler leurs dettes en utilisant des informations de carte de crédit volées. Pour le commerçant, ces transactions entraînent des rétro facturations et d’autres dépenses en vue de la résolution de la fraude.
Une bonne planification de défense
Pour faire face aux divers mécanismes d’attaque utilisés par les fraudeurs, les prestataires de services BNPL doivent inclure plusieurs contrôles de sécurité préventifs et de détection. Ceux-ci doivent intégrer des mécanismes d’identification de l’utilisateur et de ses intentions. Parmi les contrôles nécessaires pour les systèmes BNPL, citons notamment ceux-ci :
- Validation de l’utilisateur lors du processus d’inscription : la plupart des systèmes BNPL facilitent au maximum le processus d’inscription, l’utilisateur n’ayant qu’à télécharger des documents pour prouver son identité. Ce processus doit être exempt de faille, sans pour autant ajouter la moindre complexité. Les systèmes BNPL doivent inclure une authentification biométrique (empreinte digitale, visage ou d’autres facteurs) et des « liveness checks » (technologies de détection du vivant). Des contrôles de faux documents (tels que des hologrammes ou des discordances de police) doivent également être prévus dans le cadre du processus d’inscription pour déjouer la création de fausses identités.
- Détection et prévention des piratages de compte : les services BNPL se doivent d’assurer une protection contre les piratages de comptes utilisateur valides. Cela nécessite une série de vérifications :
- Détection des tentatives automatisées et manuelles de « credential stuffing » et mise en oeuvre de contre-mesures telles que des limites de trafic et des gels temporaires de comptes.
- Recueil et analyse d’informations contextuelles supplémentaires, telles que l’appareil de l’utilisateur, l’emplacement et l’heure de la journée, et exploitation de ces informations conjointement avec d’autres facteurs d’authentification.
- Mise en oeuvre d’un système d’authentification à plusieurs facteurs, robuste et basé sur les risques.
- Protection contre l’utilisation de cartes de crédit volées : mise en oeuvre et application du protocole 3D Secure pour les cartes de crédit afin d’améliorer la prévention de la fraude par carte de crédit.
- Détection d’anomalies : recueil des données télémétriques requises sur les données de transaction des utilisateurs, y compris les informations sur les endpoints, et utilisation d’algorithmes de Machine Learning pour détecter les anomalies transactionnelles telles que les situations de collusion entre acheteur et vendeur.
Au bout du compte, les systèmes « Buy Now, Pay Later » étendent le pouvoir d’achat des consommateurs grâce à l’attrait qu’ils exercent sur un large public et aux prêts sans intérêt, ce qui leur confère un avantage par rapport aux autres instruments de prêt en vigueur dans le secteur financier. Ce nouveau mécanisme de paiement convient à la dynamique actuelle du marché. Cependant, les fraudeurs n’ont pas tellement besoin de s’éloigner de leurs pratiques existantes pour en tirer profit. Des techniques telles que la prise de contrôle de comptes et la fraude aux nouveaux comptes, qui ont altéré la notation de crédit des utilisateurs auprès d’autres instruments financiers, constituent une menace du même ordre pour les systèmes BNPL. Les réglementations applicables aux fintech diffèrent d’une région à l’autre, mais les entreprises doivent déployer des contrôles de sécurité pour se protéger contre les abus du système, notamment :
- Détecter et bloquer les intentions malveillantes des humains et des robots.
- Mettre en oeuvre des systèmes d’authentification et d’autorisation basés sur les risques.
- Développer des processus intelligents d’accueil des utilisateurs qui intègrent l’intelligence artificielle pour supprimer l’utilisation d’informations volées, par exemple en faisant correspondre un selfie de l’utilisateur avec une preuve de son identité.
- Surveiller les cycles de vie des comptes et des transactions pour détecter les activités anormales.