La fraude à la carte bancaire est aussi un business : eux aussi ont leur propre supply chain et une organisation de contrôle qualité

• Récit intéressant d’un employé de Stripe qui relie trois sujets

→ les dons caritatifs

→ la chaîne d’approvisionnement au service de la fraude à la carte bancaire

→ l’infrastructure financière mondiale

• Les fraudeurs à la carte bancaire disposent d’un écosystème très sophistiqué et très spécialisé

→ il existe même des services de contrôle qualité qui se font concurrence sur l’infrastructure dédiée et la rapidité de réaction

• La plupart des cartes volées ne sont pas utilisées par les voleurs/hackers eux-mêmes, mais vendues sur ce marché

→ cela permet une spécialisation du travail

→ sur ce marché, il existe aussi des standards de qualité gérés via des systèmes comme les notes par étoiles afin de garantir la qualité du produit

• Cette « qualité » signifie : « l’acheteur peut-il réellement retirer de l’argent avec cette carte ? »

→ cela est garanti avant la vente (ou après) via ce qu’on appelle le « card testing »

• L’utilité de ces cartes diminue avec le temps (car elles sont annulées ou bloquées)

→ les voleurs effectuent des « transactions de test » juste avant la vente afin de montrer que ces cartes méritent un prix élevé

→ ces tests sont importants, car si une tentative de « fraude à la carte » avec une carte achetée illégalement échoue, l’acheteur peut aussi perdre d’autres ressources rares utilisées pour acquérir cette carte

• Des entreprises légitimes et des associations caritatives sont utilisées pour du « card testing à grande échelle » (des millions de personnes à la fois)

→ les fraudeurs n’y prennent rien directement

→ ils veulent seulement vérifier que la carte passe bien en paiement, car cela leur permet d’en tirer un meilleur prix sur le marché

• Les associations caritatives représentent 11 % de l’ensemble des tentatives de test de cartes

→ c’est bien plus que dans les autres secteurs (plus de trois fois les niveaux de la religion, de l’éducation ou de l’assurance)

• Pourquoi les fraudeurs ciblent-ils prioritairement les associations caritatives ?

→ l’une des raisons est que, sauf dans les grandes associations disposant d’une équipe dédiée aux paiements,

→ beaucoup d’associations n’imaginent pas que quelqu’un puisse les utiliser illégalement simplement en leur donnant de l’argent

• Pour l’e-commerce, l’anti-fraude est indispensable, mais les associations n’en ont pas les moyens

• Pourtant, ce card testing est vraiment néfaste pour les associations

• Ces paiements sont annulés si le titulaire de la carte les conteste, et les associations subissent ensuite des désavantages de la part du secteur financier pour avoir laissé cela se produire

• Au pire, si elles ne parviennent pas à bloquer ces tests de cartes répétés, elles peuvent finir par ne plus pouvoir accepter de dons par carte du tout

• Pour les petites associations qui dépendent entièrement des dons en ligne par carte, c’est catastrophique

• Pendant la pandémie, les attaques de card testing ont rapidement augmenté

• Là où je vis, en Asie, elles ont bondi de 56 % sur l’ensemble du réseau Stripe par rapport aux prévisions

• Que peuvent faire les petites associations face à cela ?

• Stripe estime avoir la responsabilité de les protéger et a pris plusieurs mesures pour y faire face

→ le travail continue côté backend pour reconnaître les attaques de card testing

→ il est possible d’intervenir plus fortement côté frontend, mais les petites structures n’ont pas les ressources pour le mettre en œuvre

→ (les associations classiques n’ont généralement pas de développeur dans leur équipe)

• Stripe a donc implémenté un modèle de mitigation dans Stripe Checkout

→ bloquer complètement les paiements par carte à cause d’une attaque nuirait aux associations

→ Stripe insère donc un Captcha lorsqu’une attaque est en cours, et c’est très efficace.

→ en général, lors d’une attaque, seuls 1,6 % des Captcha sont résolus avec succès

→ le Captcha n’est pas affiché à tout le monde, mais uniquement aux utilisateurs identifiés comme attaquants ; très peu d’utilisateurs légitimes le voient donc