Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 4-2745

de Hugo Vandenberghe (CD&V) du 12 janvier 2009

au secrétaire d'État à la Coordination de la lutte contre la fraude, adjoint au premier ministre, et secrétaire d'État, adjoint au ministre de la Justice

Vols de numéros de cartes de crédit aux États-Unis

monnaie électronique
vol
fraude
criminalité informatique
criminalité organisée
États-Unis

Chronologie

12/1/2009Envoi question (Fin du délai de réponse: 12/2/2009)
17/6/2009Réponse

Réintroduction de : question écrite 4-1380

Question n° 4-2745 du 12 janvier 2009 : (Question posée en néerlandais)

Aux États-Unis, un groupe de onze personnes a dérobé et revendu plus de 40 millions de numéros de cartes de crédit. Cette bande internationale de criminels piratait les ordinateurs de divers magasins américains et installait des logiciels pour avoir accès à leurs systèmes informatiques. À l’aide d’un programme renifleur, elle a découvert des données détaillées concernant les clients, des mots de passe et des numéros de cartes de crédit.

Selon leurs propres dires, les pirates ont stocké les données volées sur des serveurs situés aux États-Unis et en Europe. Ils ont ensuite vendu les informations à des criminels d’Europe et des États-Unis qui ont, à leur tour, retiré de l’argent des comptes.

Je souhaiterais obtenir une réponse aux questions suivantes :

1. Combien de compatriotes ont-ils été victimes de ces faits criminels aux États-Unis ?

2. De tels faits de vol de numéros de cartes de crédit ont-ils été observés dans notre pays au cours des dix dernières années ?

3. Combien de personnes ont-elles été victimes de ces pratiques dans notre pays au cours des dix dernières années ?

4. Le ministre juge-t-il souhaitable de mettre cette problématique sur le tapis à l’échelon européen ?

5. Le ministre juge-t-il opportun de prendre des mesures pour attirer l’attention des commerçants, des clients, … sur la possibilité de fraude aux numéros de cartes de crédit ?

6. Quelles mesures le ministre compte-t-il prendre pour réduire le plus possible la possibilité de fraude aux numéros de cartes de crédit ?

Réponse reçue le 17 juin 2009 :

Vols de numéros de carte de crédit aux Etats-Unis

II s'agit ici de banques de données qui enregistrent des données de clients en vue de faciliter le traitement de futurs achats. La sécurisation de telles banques de données (cryptographie, firewall, patches de software, ...) relève de la responsabilité des commerçants. En plus, les clients portent aussi une part de la responsabilité. Il faut les inciter à la prudence dans l'usage qu'ils font de leurs données confidentielles.

1. Combien de compatriotes ont-ils été victimes de ces faits criminels aux Etats- Unis?

Ces faits criminels concernent une affaire de piratage informatique d'une grande chaîne commerciale américaine qui a eu lieu entre juillet 2005 et fin 2006. Le dossier pénal est traité aux Etats-Unis. Éant donné que les listes des données piratées ont été transmises aux divers pays, les cartes ont été bloquées préventivement et il n'y a eu pour ainsi dire pas de dommages. En Belgique, il n'y a pas de dépôt de plainte pour pareils cas et l'on ne dispose donc pas de détails sur l'affaire.

Un piratage similaire a eu lieu en juin 2005, lors duquel la banque de données d'une firme américaine de traitement d'opérations de paiement a été piratée. Comme la presse l'avait annoncé à l'époque, 3 800 carte belges étaient concernées par cette affaire de fraude.

2. De tels faits de vol de numéros de cartes de crédit ont-ils été observés dans notre pays au cours des dix dernières années ?

Il s'agit d'une forme de fraude récente, qui resta très limitée avant 2005 mais est manifestement présente depuis 2007. Pour 2007, quarante-cinq cas sont connus, impliquant 7 500 cartes, et, pour 2008, deux cent cas, impliquant 45 000 cartes.

3. Combien de personnes ont-elles été victimes de ces pratiques dans notre pays au cours des dix dernières années ?

Voir question 2.

Aucun titulaire de carte n'a subi de dommage dans de tels cas. Conformément à la loi du 17 juillet 2002 relative aux opérations effectuées au moyen d'instruments de transfert électronique de fonds, toutes les transactions contestées, qui sont réalisées sans présence physique de la carte, sont remboursées aux titulaires des cartes par les banques émettrices.

4. Le ministre juge-t-il souhaitable de mettre cette problématique surie tapis à l'échelon européen ?

Cette problématique a déjà été discutée à l'échelon européen. Sur le plan policier, il existe un accord de coopération sur l'usage abusif de données de cartes de crédit, dans le cadre duquel des données sont rassemblées et discutées au sein d'un Analytical Workfile d'Europol, à savoir au sein du groupe de travail 'Terminal'.

Dans le secteur privé aussi, il existe une concertation à l'échelon européen. En outre, au niveau européen, l'European Payement Council (EPC) se penche sur cette problématique, ensemble avec la Commission européenne.

5. Le ministre juge-t-il opportun de prendre des mesures pour attirer l'attention des commerçants, des clients, ... sur la possibilité de fraude aux numéros de cartes de crédit ?

D'une part, les activités des commerçants sont soumises aux obligations commerciales et contractuelles telles que précisées dans les normes de sécurité de l'industrie. En outre, les schémas de paiement de PCI (Payement Card Industry) ont édicté des règles qui doivent aboutir à la protection de toutes les données des cartes pour l'ensemble de la chaîne de paiement (cfr. www.pci.com). De plus, les banques émettrices et les banques qui exécutent les transactions ont pris des mesures pour sécuriser les transactions par e-commerce (3D Secure), dans le cadre desquelles tant les titulaires de cartes que les commerçants sont identifiés lors de l'exécution d'une transaction par e-commerce.

D'autre part, les commerçants sont légalement tenus de protéger, conformément à la loi sur la protection de la vie privée, les données personnelles qu'ils enregistrent dans une banque de données. La Commission de la protection de la vie privée a donné des directives à cet effet.

On peut éventuellement demander à la Commission de la protection de la vie privée quelles actions elle entreprend pour faire connaître ces directives et pour en contrôler le respect.

6. Quelles mesures le ministre compte-il prendre pour réduire le plus possible la possibilité de fraude aux numéros de cartes de crédit ?

Il est important que les contacts entre la police et le secteur privé soient maintenus. Afin d'obtenir une meilleure image du problème, la police a effectué récemment une analyse sur le skimming dans le cadre plus large de la fraude aux cartes de paiement. Suite à cette analyse, des sessions d'information ont été données aux fonctionnaires communaux chargés de la prévention. De telles initiatives doivent être poursuivies.

La Federal Computer Crime Unit et le Parquet fédéral collaborent pour lutter contre les sites de phishing et, si possible, les désactiver. Ensuite, il importe que les CCU poursuivent les enquêtes sur le piratage informatique.

Dans plusieurs arrondissements, la police locale et les services spécialisés de la police judiciaire fédérale travaillent de manière très active sur les bandes qui s'adonnent à la fraude aux cartes de crédit et arrêtent ainsi chaque année plusieurs malfaiteurs.