Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 4-2545

de Hugo Vandenberghe (CD&V) du 12 janvier 2009

au ministre de la Justice

Vols de numéros de cartes de crédit aux États-Unis

monnaie électronique
vol
fraude
criminalité informatique
criminalité organisée
États-Unis

Chronologie

12/1/2009Envoi question (Fin du délai de réponse: 12/2/2009)
20/5/2009Réponse

Réintroduction de : question écrite 4-1378

Question n° 4-2545 du 12 janvier 2009 : (Question posée en néerlandais)

Aux États-Unis, un groupe de onze personnes a dérobé et revendu plus de 40 millions de numéros de cartes de crédit. Cette bande internationale de criminels piratait les ordinateurs de divers magasins américains et installait des logiciels pour avoir accès à leurs systèmes informatiques. À l’aide d’un programme renifleur, elle a découvert des données détaillées concernant les clients, des mots de passe et des numéros de cartes de crédit.

Selon leurs propres dires, les pirates ont stocké les données volées sur des serveurs situés aux États-Unis et en Europe. Ils ont ensuite vendu les informations à des criminels d’Europe et des États-Unis qui ont, à leur tour, retiré de l’argent des comptes.

Je souhaiterais obtenir une réponse aux questions suivantes :

1. Combien de compatriotes ont-ils été victimes de ces faits criminels aux États-Unis ?

2. De tels faits de vol de numéros de cartes de crédit ont-ils été observés dans notre pays au cours des dix dernières années ?

3. Combien de personnes ont-elles été victimes de ces pratiques dans notre pays au cours des dix dernières années ?

4. Le ministre juge-t-il souhaitable de mettre cette problématique sur le tapis à l’échelon européen ?

5. Le ministre juge-t-il opportun de prendre des mesures pour attirer l’attention des commerçants, des clients, … sur la possibilité de fraude aux numéros de cartes de crédit ?

6. Quelles mesures le ministre compte-t-il prendre pour réduire le plus possible la possibilité de fraude aux numéros de cartes de crédit ?

Réponse reçue le 20 mai 2009 :

La Police fédérale signale qu'il s'agit, en l'occurrence, de banques de données enregistrant les données relatives aux clients en vue de faciliter le traitement des achats. Il est de la responsabilité des commerçants de sécuriser de telles banques de données (cryptage, firewall, rustines, etc.). Par ailleurs, une partie de la responsabilité incombe également aux clients. Il convient de recommander à ces derniers d'être prudents avant de laisser des données confidentielles.

Réponse à la question 1:

Ces faits criminels concernent l'affaire de piratage d'une grande chaîne de magasins américains qui s'est produite entre juillet 2005 et fin 2006. Le dossier répressif est traité aux États-Unis. Dès lors que les listes des données piratées sont transmises aux divers pays, les cartes concernées sont bloquées de manière préventive ; il n'y a pour ainsi dire aucun dommage. En Belgique, aucune plainte n'est déposée en pareils cas. Aussi ne connaît-on aucun détail supplémentaire quant au dossier. Un piratage similaire s'est produit en juin 2005 et a eu pour cible la banque de données d'une société américaine de traitement de paiements. Comme le révélait la presse à l'époque, cette affaire de fraude concernait 3 800 cartes belges.

Réponse aux questions 2 et 3:

Il s'agit d'une forme récente de fraude. Si ce phénomène demeurait très limité avant 2005, il apparaît clairement depuis 2007. En 2007, quarante-cinq cas ont été constatés, concernant 7 500 cartes, contre 200 cas et 45 000 cartes en 2008.

Aucun titulaire de carte ne subit de dommage dans de tels cas. Conformément à la loi du 17 juillet 2002 relative aux opérations effectuées au moyen d'instruments de transfert électronique de fonds, toutes les transactions contestées qui ont été réalisées sans présentation physique de la carte sont remboursées au titulaire de la carte par la banque émettrice.

Réponse à la question 4:

Cette problématique est déjà examinée au niveau européen. Sur le plan policier, il existe un accord de coopération concernant l'abus de données de cartes de crédit. Les données sont rassemblées et analysées dans le cadre d'un « Analytical Work File » d'Europol, au sein du groupe de travail « Terminal ».

La concertation s'organise également dans le secteur privé, à l'échelon européen. En outre, l'EPC (Conseil européen des paiements) se penche, conjointement avec la Commission européenne, sur cette problématique.

Réponse à la question 5:

Les activités des commerçants sont déterminées par les obligations commerciales et contractuelles, telles que définies par les normes de sécurité de l'industrie. Qui plus est, les calendriers de paiement ont énoncé les règles PCI (Payment Card Industry) visant la protection de toutes les données des cartes tout au long de la chaîne de paiement (cf. www.pci.com).

Par ailleurs, les banques émettrices et celles qui effectuent les transactions ont pris des mesures afin de sécuriser les transactions d'« e-commerce » (3D Secure) : tant les titulaires de cartes que les commerçants sont identifiés lors de l'exécution d'une transaction d'« e-commerce ».

Il existe par surcroît l'obligation légale qu'ont les commerçants de protéger les données personnelles enregistrées dans une banque de données, conformément à la loi sur le respect de la vie privée. La Commission de la protection de la vie privée a pris des mesures à cet effet.

Réponse à la question 6:

Il importe de maintenir les contacts entre la police et le secteur privé.

Afin d'améliorer l'image du phénomène, une analyse en matière de skimming a été réalisée dernièrement au sein de la police, dans le cadre plus large de la fraude à la carte de paiement. À la suite de cette analyse, des sessions d'information ont été données aux fonctionnaires de prévention des communes. Il y a lieu de poursuivre de telles initiatives.

La Federal Computer Crime Unit et le Parquet fédéral collaborent afin de lutter contre et, si possible, désactiver les sites de phishing. La poursuite par les CCU de la recherche en matière de piratage revêt elle aussi une grande importance. Dans différents arrondissements, la police locale ou les services spécialisés de la police judiciaire fédérale luttent très activement contre les bandes qui se livrent à la fraude à la carte de crédit, de sorte que chaque année, différents auteurs sont arrêtés. (source DGJ/DJF/FCCU)