Immersion

Perceval traque les fraudeurs à la carte bancaire

Auteur : le commandant Céline Morin - publié le
Temps de lecture: ≃12 min.
© Pixabay

Créée en mai 2018, la plate-forme Perceval enregistre, 7j/7 et 24h/24, les signalements de fraudes à la carte bancaire. L’objectif de cette unité opérationnelle, rattachée au pôle judiciaire de la gendarmerie nationale : recouper des faits survenus sur l’ensemble du territoire afin d’en identifier les auteurs et démanteler ces réseaux criminels. Destinataire de 16 signalements par jour à sa création, la plate-forme en reçoit aujourd’hui près de 817.

88,8 millions, c’est le nombre de cartes bancaires en circulation en France, selon le rapport de l’Observatoire de la sécurité des moyens de paiement (OSMP) publié courant 2019. Moyen de paiement préféré des Français, la carte bancaire est utilisée dans 53 % des achats, pour un montant total approchant 568 milliards d’euros en 2018, auxquels se sont ajoutées 1 439 millions d’opérations de retrait représentant un peu plus de 136 milliards d’euros.

Pour autant, lorsque l’on parle de fraudes en matière de moyens de paiement scripturaux, c’est toujours le chèque qui arrive en tête, concentrant 43,1 % de la fraude totale en 2018 (contre 40 % en 2017), soit un montant de 450 millions d’euros (contre 296 millions en 2017), alors même que son utilisation est en nette diminution, toujours selon l’OSMP.

La carte bancaire n’arrive toutefois pas loin derrière, avec 42 % des fraudes en montant, soit 439 millions d’euros, en cumulant les opérations de paiement (38,4 %) et de retrait (3,6 %). En 2018, 1 358 819 cartes françaises ont ainsi été victimes d’au moins une transaction frauduleuse ; un chiffre en progression de 12 % par rapport à l’année précédente. Dans le même temps, le montant moyen unitaire de ces fraudes est resté relativement stable, s’établissant à 70,50 euros en 2018, contre 69,80 euros en 2017.

Les chiffres de l’observatoire intègrent tous les cas de figure : de la perte ou le vol de carte, qui représente près du tiers des transactions nationales contestées (31 %), à la contrefaçon de cartes, à l’origine de seulement 1 % des paiements nationaux frauduleux, en passant par l’usurpation de numéros de cartes, qui reste la principale origine de la fraude, portant sur 66 % des montants. 

La quête de Perceval

Cette dernière catégorie est d’ailleurs le cheval de bataille de Perceval. Des chevaliers des temps modernes ? Presque… Leur quête : traquer les fraudeurs à la carte bancaire et contribuer à démanteler les réseaux de criminalité organisée spécialisés dans ce domaine.

Perceval, c’est, de manière plus prosaïque, l’acronyme de la Plate-forme électronique de recueil des coordonnées bancaires et de leurs conditions d’emploi rapportées par les victimes d’achats frauduleux en ligne. Créée le 23 mai 2018 et officiellement inaugurée le 6 juin de la même année par le ministre de l’Intérieur de l’époque, cette unité opérationnelle à compétence nationale, installée au sein du Pôle judiciaire de la gendarmerie nationale (PJGN), a donc pour mission de centraliser les signalements de fraudes à la carte bancaire, d’effectuer des recoupements entre les faits et, enfin, d’orienter les dossiers vers les parquets et les unités territorialement compétents, dès lors qu’un auteur ou une localisation a pu être identifié.

Les trois conditions de la fraude

Son périmètre d’action est bien délimité. En effet, pour faire l’objet d’un signalement sur la plate-forme Perceval, hébergée sur https://service-public.fr, la fraude à la carte bancaire doit obligatoirement remplir trois conditions : la victime ne doit pas être à l’origine de la transaction frauduleuse ; elle doit avoir fait opposition sur son moyen de paiement, pour bloquer toute autre transaction ; et, condition la plus importante des trois, elle doit toujours être en possession de sa carte bancaire ; la perte ou le vol du moyen de paiement n’entrant pas dans le champ d’action de la plate-forme.

Une précision importante aux yeux du capitaine Arnaud Cheminant, du Département délinquance économique et financière du PJGN, « car encore trop de victimes sont indûment orientées vers Perceval. Pendant le confinement, notamment, nous avons enregistré de très nombreux cas liés à des vols de carte et même des faux chèques. Or, nous ne traitons pas l’ensemble des escroqueries, uniquement les fraudes par usurpation des données. »

Recouper les faits, identifier les auteurs, démanteler des réseaux

Là où auparavant les dépôts de plainte étaient épars et avaient peu de chance d’aboutir, l’objectif de Perceval est donc de faire converger la totalité des signalements vers un point unique. Car un escroc se limite rarement à un seul fait et sa manière d’opérer peut alors mettre les enquêteurs sur sa trace. Conservés en base pendant deux années pleines, ces signalements vont alors permettre aux cinq gendarmes de la plate-forme, tous officiers de police judiciaire à compétence nationale, d’effectuer des rapprochements avec d’autres fraudes similaires, afin d’identifier les auteurs, voire des groupes criminels et, in fine, de les interpeller.

Une mission pas toujours évidente face à des individus souvent passés maîtres dans l’art d’utiliser les outils d’anonymisation offerts par les nouvelles technologies. « Notre plan d’action est de mener les investigations techniques le plus loin possible, pour essayer de trouver la faille et de remonter vers une identification plus sérieuse. Cela nécessite un travail de fonds et d’analyse, un savoir-faire de la part des enquêteurs, qui ont acquis une technique bien particulière. Ils ont une lecture rapide et fine des renseignements qu’ils reçoivent, explique le capitaine Cheminant. Récemment, nous avons rapproché des signalements de 2018 avec des faits de 2020. C’est une vraie une plus-value, car s’il n’y avait eu qu’un dépôt de plainte, nous ne l’aurions pas eu sur nos radars. Ce n’est donc pas parce qu’un dossier ne fait pas l’objet d’une judiciarisation immédiate, qu’il ne sera pas exploité. »

Avant de préciser : « Le signalement ne se substitue pas au dépôt de plainte ; les deux peuvent se faire. Mais le signalement est à mon sens plus efficace. D’une part pour la victime, qui a la possibilité de le faire sans contrainte d’horaire ou de lieu, et à qui il va faciliter les démarches de remboursement auprès de la banque. D’autre part, du point de vue judiciaire. Cela permet d’apporter une réponse sociale dans l’esprit des gens, avec une prise en compte de leur souffrance et de leur préjudice. »

Cette convergence est également appréciable pour les magistrats, puisque la charge se concentre sur un seul parquet, celui de Pontoise, quel que soit le lieu de résidence de la victime, et ce jusqu’à ce qu’un mis en cause ou un lieu de livraison soit identifié. La plate-forme effectue alors une transmission directe au parquet et à l’unité enquêtrice concernés, avec un fond de dossier comprenant les premiers éléments d’identification, qui permettront d’engager des poursuites.

Perceval est également en mesure d’apporter un appui précieux aux unités de gendarmerie et de police. « Nous sommes de plus en plus sollicités, notamment dans le temps des perquisitions. Nous pouvons en effet contrôler sur la base si des achats frauduleux ont été effectués avec des cartes bancaires saisies, et ce plus rapidement que sur réquisition auprès du Groupement des cartes bancaires. »

Une criminalité sans frontière mais bien implantée en France

Bien que par nature sans frontière, ce qui nécessite alors une forte coopération internationale, cette criminalité est largement implantée en France. « C’est la majorité de nos signalements. Nous le voyons à la lecture des livraisons de marchandises, souligne l’officier. D’un point de vue sociologique, cette délinquance est légèrement plus masculine que féminine et se situe dans une tranche d’âge plutôt inférieure à 40 ans. Ce ne sont pas forcément des personnes détenant des compétences énormes en informatique. Nous avons souvent affaire à des structures organisées, avec des individus qui s’occupent de récupérer les données, d’autres de les revendre, d’autres encore qui procèdent aux achats… Il y a aussi des filières de revente et de blanchiment… »

Voyages, chambres d’hôtel, taxis, informatique, hi-fi et autres produits du e-commerce… Quasiment rien n’est inaccessible à ces escrocs ! Mais cette criminalité peut également s’hybrider et servir à financer d’autres activités, comme le terrorisme. « Aujourd’hui, on n’a pas besoin de millions pour commettre un acte terroriste… Mais d’héberger des sympathisants dans des chambres d’hôtel, de payer des billets de train ou d’avion…, signale le capitaine. Notre travail s’inscrit donc plus largement dans le schéma global de lutte contre le terrorisme. »

Un taux de satisfaction de plus de 85 %

La plate-forme, qui affiche un taux de satisfaction de plus de 85 %, suscite une adhésion croissante de la part des victimes, majoritairement orientées par les gendarmes et les policiers des brigades et des commissariats, ainsi que par les agences bancaires, avec lesquelles un travail de sensibilisation a été mené en amont.

Un tel succès s’explique notamment par sa simplicité et sa rapidité d’utilisation, puisque quelques minutes suffisent pour compléter la procédure, sans parler de son accessibilité, 24 heures/24, 7 jours sur 7, depuis n’importe quel point du territoire… Y compris durant le confinement lié à la crise sanitaire.

« Pendant cette période, la plate-forme a poursuivi l’ensemble de ses activités, ce qui a permis de ne pas laisser les victimes pour compte, tandis qu’elles étaient confinées, insiste l’officier. Nous avons noté une baisse des fraudes corrélée à celle de la consommation. Les aéroports étant fermés, il n’y a pas eu de billets d’avion achetés frauduleusement. De même, les grands sites d’e-commerce, comme Amazon, avaient été priés de ne vendre que des produits de consommation prioritaire. Les ventes de high-tech ont donc chuté. En revanche, on a constaté une accentuation des dépenses en ligne liées au bien-être. Mais cette baisse globale des fraudes a été compensée par l’augmentation constante du nombre de personnes qui ont recours à la plate-forme. Cela devient un réflexe ! »

396 549 signalements en deux ans, soit un préjudice global de plus de 175 millions d’euros

Destinataire de 16 signalements par jour à sa création, Perceval en enregistre aujourd’hui près de 817. Depuis son ouverture, ce sont ainsi près de 396 549 signalements qui lui sont parvenus, portant sur 1 662 082 transactions frauduleuses, soit un montant total des préjudices de plus de 175 millions d’euros. Un chiffre qui donne le tournis, que le capitaine Cheminant attribue à un phénomène de saucissonnage : « Le cumul de tous les signalements constitue une somme impressionnante. Ils correspondent à autant de victimes, lesquelles peuvent inscrire chacune jusqu’à 40 faits frauduleux par signalement, correspondant à des mouvements frauduleux sur leur compte bancaire. Aujourd’hui, chaque signalement comprend en moyenne 4,08 faits, c’est-à-dire qu’une victime d’escroquerie peut s’attendre à avoir au moins trois ou quatre opérations au débit de son compte, pour un montant moyen de 450 euros. En termes d’achats frauduleux, c’est conséquent ! »

Phishing, malware, ou comment nos données atterrissent dans les mauvaises mains…

Du désormais classique hameçonnage (phishing) à l’injection de malwares, c’est-à-dire des logiciels malveillants (jackpotting), visant notamment à compromettre des automates de paiement, comme les distributeurs automatiques de carburant, ou de retrait (distributeur de billets), les criminels regorgent d’ingéniosité pour s’approprier les données des cartes bancaires. Celles-ci servent alors à contrefaire des cartes à piste magnétique, utilisées pour des paiements et des retraits dans des pays où la carte à puce n’est pas ou peu employée, ou à effectuer des achats sur des sites d’e-commerce ne nécessitant pas d’authentification, notamment à l’étranger.

« Il y a un véritable commerce de données qui s’opère, non seulement sur le Darkweb, où elles se monnayent généralement en cryptomonnaies, mais aussi de plus en plus souvent sur les réseaux sociaux, comme Snapchat ou Whatsapp. Énormément d’éléments d’identification circulent sur ces vecteurs, explique l’officier. En outre, quand les fichiers sont volés sur les systèmes de traitement automatisé de données, les données bancaires sont très souvent couplées au numéro de téléphone du porteur de la carte et parfois à d’autres données personnelles. Le package ainsi vendu permet aux escrocs de faire du « SIM swapping », c’est-à-dire de s’approprier le numéro de téléphone de la victime, en se faisant envoyer une nouvelle carte SIM par l’opérateur au prétexte de la perte, du vol ou du mauvais fonctionnement de l’ancienne. L’escroc peut alors contourner les dispositifs d’authentification mis en place par les organismes bancaires et effectuer des achats nécessitant un code de sécurité dit 3D secure. Dans tous les cas, ces achats sont réalisés alors que le porteur de la carte est toujours en sa possession. »

Quelques principes de précaution…

Mais l’officier du PJGN se veut toutefois rassurant : « Les chiffres font tourner la tête, mais compte tenu de la volumétrie des achats réalisés au moyen d’une carte bancaire, cela reste un moyen de paiement plutôt sécurisé, si tant est que les titulaires respectent les grands principes de précaution, en protégeant mieux leurs données. »

En effet, en addition des mesures prises par les établissements bancaires pour sécuriser les paiements par carte (authentification renforcée des paiements en ligne, systèmes d’analyse du risque et de scoring des transactions, alertes SMS aux porteurs, etc.), il y a quelques réflexes simples à adopter afin de se prémunir contre cette criminalité. « Par exemple, quand on s’inscrit en ligne sur un site d’e-commerce, il ne faut jamais enregistrer son numéro de carte bancaire, c’est une sécurité supplémentaire. Si le système de traitement automatisé du commerçant est hacké, au moins il ne contiendra pas de données bancaires. Il faut également être vigilant à ne jamais perdre de vue sa carte bancaire, car il suffit d’une photographie recto-verso. De la même manière, il ne faut jamais faire de photocopie de sa carte, notamment dans des sociétés de photocopies, car toutes ces machines ont une carte mémoire qui conserve ce qui a été copié… Et comme généralement on photocopie des documents d’identité, des factures et autres attestations, on fournit par ce biais un package complet. Enfin, bien évidemment, il s’agit de ne pas communiquer les données de sa carte à des personnes qui n’ont pas à les connaître. Ce serait un peu comme laisser vos clés de maison à un inconnu pendant 24 heures en votre absence », détaille le capitaine.

Et si tout cela ne suffit pas à passer entre les mailles des filets des escrocs, le recours systématique et rapide au signalement sur la plate-forme Perceval permettra aux forces de l’ordre de pouvoir identifier les groupes criminels et de mettre un terme à leurs agissements.