Prévention de la fraude aux paiements : ce qui fonctionne et ce qui relève du théâtre
Deux applications de paiement, une même menace, des résultats opposés. D'un côté, Cash App, dont la maison mère a été condamnée à verser 175 millions de dollars début 2025 pour sa gestion des réclamations pour fraude. De l'autre, PayPal , qui a traité plus de mille milliards de dollars cette année-là tout en maintenant son taux de perte aux alentours de 0,08 % du volume. Toutes deux sont confrontées aux mêmes fraudeurs, aux mêmes cartes volées, aux mêmes techniques d'ingénierie sociale. Alors pourquoi l'une s'est-elle retrouvée dans un communiqué de presse d'un organisme de réglementation et l'autre reléguée à une simple note de bas de page lors d'une conférence téléphonique sur les résultats financiers ?
Le problème ne réside pas dans le budget, mais dans les contrôles mis en place par chaque entreprise. La plupart des mesures de prévention de la fraude aux paiements ne sont que du théâtre : elles donnent une impression rassurante, remplissent une diapositive, mais n’empêchent quasiment rien. Seuls quelques contrôles sont réellement efficaces. PayPal et Cash App constituent un exemple concret et pertinent pour distinguer ces deux approches, car dans leur cas, un organisme de réglementation a procédé à l’évaluation. Il s’agit là d’un exemple concret de ce qui fonctionne et de ce qui échoue discrètement.
Quel est le coût actuel de la fraude aux paiements pour l'économie ?
Les chiffres sont tellement alarmants qu'ils en sont sidérants. Les Américains ont déclaré avoir perdu 12,5 milliards de dollars à cause de la fraude en 2024, soit une hausse de 25 % en une seule année, selon le Consumer Sentinel Network de la FTC . À l'échelle mondiale, la fraude à la carte bancaire a atteint 33,41 milliards de dollars, et les États-Unis ont représenté environ 42 % de ces pertes, alors qu'ils ne représentent qu'un quart du volume mondial des transactions par carte.
L'information la plus révélatrice se cache derrière ces chiffres : les véritables fuites d'argent. Les deux principaux modes de paiement en termes de pertes déclarées sont les virements bancaires (2,09 milliards de dollars) et les cryptomonnaies (1,42 milliard de dollars), et non les cartes. Ce n'est pas un hasard. Ces infrastructures ont été conçues pour faire transiter l'argent rapidement, sans aucun mécanisme de récupération. Les réseaux de cartes bancaires bénéficient de plusieurs décennies d'expérience dans la gestion des litiges. Les virements entre comptes, eux, n'en disposent généralement d'aucun. La fraude emprunte alors le chemin le plus facile à inverser.
| Métrique (dernière version) | Chiffre | Source |
|---|---|---|
| Pertes liées à la fraude aux États-Unis, 2024 | 12,5 milliards de dollars (+25 % en glissement annuel) | Sentinelle des consommateurs de la FTC |
| Principale méthode de perte : virements bancaires | 2,09 milliards de dollars | FTC, 2024 |
| Pertes en cryptomonnaie | 1,42 milliard de dollars | FTC, 2024 |
| Pertes mondiales liées à la fraude à la carte bancaire, 2024 | 33,41 milliards de dollars | Rapport Nilson |
| Part des États-Unis dans la fraude mondiale à la carte bancaire | ~42% (sur ~26% du volume) | Rapport Nilson |
Les types courants de fraude au paiement, classés selon l'auteur de la fraude.
Tous les guides antifraude vous présentent la même liste impersonnelle d'une douzaine de types d'attaques. Il est plus utile de les classer selon qui subit réellement les pertes, car c'est ce qui détermine si vous devez vous en préoccuper. Les types courants de fraude aux paiements ne répartissent pas les pertes de manière égale.
Les fraudes à la messagerie professionnelle et les escroqueries par paiement push autorisé sont les plus fréquentes, car elles incitent la victime à envoyer elle-même de l'argent, généralement irrécupérable. UK Finance a enregistré 257,5 millions de livres sterling de fraudes par paiement push au cours du premier semestre 2025, soit une hausse de 12 % par rapport à l'année précédente. Vient ensuite la prise de contrôle de compte : un fraudeur accède à un compte légitime et le vide, obligeant le titulaire légitime à prouver qu'il n'en est pas l'auteur. La fraude à la carte bancaire est répandue, mais, pour les consommateurs, elle est généralement absorbée par l'émetteur via les rétrofacturations. On observe également une fraude amicale, où un client conteste un achat réel ; ce type de fraude représente environ 75 % à 79 % des rétrofacturations en e-commerce, et c'est le commerçant qui paie. Les escroqueries par deepfake et usurpation d'identité vocale constituent une nouvelle tendance, encore peu importante en termes de montants, mais en forte croissance. Le principe est simple : moins le mode de paiement est réversible, plus la fraude retombée sur la personne la moins à même de l'absorber.
Cash App : une étude de cas sur la prévention de la fraude
Pour voir à quoi ressemble une mascarade de prévention de la fraude à grande échelle, regardez Cash App. Lorsque les autorités de régulation sont intervenues, l'application comptait environ 56 millions de comptes actifs et une interface élégante et conviviale. Ce qui lui manquait, c'était le travail de fond, loin d'être glamour : de véritables enquêtes, une ligne téléphonique opérationnelle et la moindre conviction qu'il incombait à l'entreprise de résoudre les problèmes liés aux transferts non autorisés.
Ce que les autorités de réglementation ont réellement découvert
En janvier 2025, le Bureau de protection financière des consommateurs (CFPB) a ordonné à Block, maison mère de Cash App, de verser 175 millions de dollars : 120 millions à rembourser aux utilisateurs lésés et une amende de 55 millions . Il est important de bien comprendre le texte. Le CFPB a déclaré que l'entreprise avait eu recours à des « pratiques d'enquête délibérément bâclées » pour classer les signalements de fraude à son avantage. Les clients qui appelaient la ligne d'assistance téléphonique pour les fraudes tombaient sur un message préenregistré inopérant ; pendant des années, il était impossible de joindre un conseiller. Le même mois, une coalition de 48 autorités de régulation étatiques a infligé une amende supplémentaire de 80 millions de dollars pour des manquements à la lutte contre le blanchiment d'argent. Le montant total des pertes s'élevait à environ 255 millions de dollars. Il ne s'agissait pas de pirates informatiques ingénieux, mais d'une entreprise qui considérait que répondre au téléphone était facultatif.
Pourquoi les transferts P2P irréversibles constituent le défaut structurel
Derrière cette histoire de répression se cache un choix de conception. Cash App transfère de l'argent de compte en compte, comme de l'argent liquide. Une fois l'argent transféré, aucun réseau de cartes ne peut l'annuler. Cela fonctionne jusqu'à ce qu'un utilisateur soit victime d'une fraude ou d'un piratage, auquel cas le modèle « c'est comme de l'argent liquide » se transforme en « débrouillez-vous ». La loi fédérale (Règlement E) oblige d'ailleurs les banques et les applications de paiement à enquêter sur les transferts électroniques non autorisés et à indemniser les utilisateurs. Ce qui me frappe, c'est la banalité de cette défaillance : pas une violation de données, juste la décision de considérer les transferts non autorisés comme un problème à la charge du client. Le CFPB a qualifié cette décision d'infraction.
Comment fonctionne réellement le système de détection des fraudes de PayPal
PayPal est l'exemple type de ce qui fonctionne, mais la version marketing est erronée. PayPal n'est pas exempt de fraude, et prétendre le contraire masque la véritable leçon. Ses propres documents font état de pertes liées aux transactions et aux crédits s'élevant à 1,72 milliard de dollars en 2025, soit une hausse de 19 % par rapport à l'année précédente. La fraude est bel et bien présente chez PayPal. La différence réside dans la suite des événements.
Protection de l'acheteur et du vendeur en tant que couche de réversibilité
PayPal a intégré la réversibilité à son produit afin de protéger les deux parties lors d'une transaction. Les achats éligibles bénéficient d'une Protection Acheteur, et les vendeurs disposent de leur propre couverture, complétée par une procédure de litige et de réclamation. En cas de fraude, le système peut souvent rembourser l'acheteur ou annuler la transaction plutôt que de le laisser sans solution. C'est précisément ce qui manquait à Cash App. De plus, cette application est chère, lente et présente de nombreux cas particuliers, ce qui vaut à PayPal de nombreuses plaintes. Cependant, une « procédure de litige frustrante » et une « ligne téléphonique injoignable » ne constituent pas des défaillances comparables.
Évaluation des risques par apprentissage automatique au moment de la transaction
La deuxième étape consiste à détecter les transactions. PayPal évalue les transactions en temps réel en fonction de centaines de critères (appareil, localisation, historique, fréquence, comportement) afin de repérer les transactions suspectes avant tout transfert d'argent. Résultat : un taux de perte qui se maintient aux alentours de 0,08 % du volume total des paiements, un niveau proche de son plus bas historique, même si les pertes absolues augmentent avec l'échelle des transactions. En analysant ces deux chiffres, on comprend la réalité : un volume plus important signifie un montant de fraude plus élevé, mais l'évaluation adaptative permet de limiter ce taux. Le système n'est pas magique ; il est simplement maintenu.
Ce qui fonctionne : les meilleures pratiques pour réduire la fraude
Alors, qu'est-ce qui fait réellement la différence ? Si l'on fait abstraction des présentations des fournisseurs, les contrôles qui empêchent véritablement la fraude sont brefs et peu efficaces. Ils ont un point commun : ils s'adaptent ou ajoutent un second contrôle indépendant, plutôt que de se fier à un seul dispositif statique.
L'authentification multifacteurs (AMF) est le moyen de contrôle le plus économique et le plus efficace. Microsoft a indiqué que l'AMF bloque plus de 99,9 % des tentatives automatisées de piratage de compte et que la quasi-totalité des comptes compromis ne l'avaient jamais activée. L'analyse des transactions par apprentissage automatique, l'empreinte digitale des appareils et la biométrie comportementale permettent de détecter des schémas que les règles fixes ne repèrent pas ; une banque a rapporté avoir réduit ses pertes liées à la fraude d'environ 35 % après le déploiement de l'analyse comportementale, bien que ce chiffre, fourni par le fournisseur, soit indicatif et non définitif. L'authentification forte du client via 3-D Secure 2 ajoute une étape de vérification pour les paiements par carte ; elle engendre un coût supplémentaire (environ une tentative d'authentification sur cinq échoue), mais elle transfère la responsabilité et empêche une part significative de l'utilisation de cartes volées. Les vérifications d'identité du client lors de l'inscription et les limites de transactions complètent cette liste.
| Contrôle | Ce que cela empêche | Preuve | Verdict |
|---|---|---|---|
| Authentification multifactorielle | Prise de contrôle du compte | Bloque plus de 99,9 % des attaques automatisées (Microsoft) | Travaux |
| ML / notation comportementale | Transactions anormales | Taux de perte de type PayPal proches de 0,08 % | Travaux |
| 3-D Secure 2 / SCA | Utilisation de cartes volées | Transfert de responsabilité ; environ 1 sur 5 abandonne | Fonctionne, avec friction |
| Empreinte digitale de l'appareil | Des fraudeurs récidivistes | Signal conforme aux normes industrielles | Travaux |
| KYC lors de l'intégration | Identités synthétiques | Référence réglementaire | Travaux |
Théâtre de la sécurité : une protection contre la fraude qui échoue
Parlons maintenant des gaspillages budgétaires : ces contrôles qui donnent l’illusion d’une protection contre la fraude, mais qui sont en réalité quasiment inefficaces. Les questions de sécurité sont les pires coupables. Les réponses (le nom de jeune fille de votre mère, votre premier animal de compagnie) sont faciles à deviner, à récupérer ou à pirater, et le NIST, organisme de normalisation américain, interdit désormais formellement l’authentification par les connaissances comme facteur de connexion valide. Cela n’« ajoute pas une couche », cela en ajoute une illusoire.
Les codes à usage unique par SMS constituent le prochain piège. Ils ressemblent à l'authentification multifacteur, mais reposent sur un numéro de téléphone qu'un pirate peut voler via un échange de carte SIM . Selon les études du secteur, cette technique réussit du premier coup dans environ 80 % des cas ; le FBI a recensé près de 26 millions de dollars de pertes liées à ce type d'échange pour la seule année 2024. Viennent ensuite les moteurs statiques, basés uniquement sur des règles et incapables d'apprendre, ainsi que les lenteurs des procédures de vérification manuelle qui permettent aux fraudes de passer inaperçues. La plus coûteuse de toutes ces arnaques est celle que Cash App nous a apprise : rendre les transferts irréversibles par défaut et les présenter comme un gain de rapidité. Les ingénieurs ont tendance à considérer la réversibilité comme un obstacle à éliminer lors de la conception. Pour la victime, c'est tout le problème.
Fraude par prise de contrôle de compte : où les modèles se divisent
La fraude par usurpation d'identité est le test le plus concluant de toute cette argumentation, car les deux entreprises sont confrontées à la même attaque : un criminel obtient les identifiants d'un utilisateur légitime et tente de transférer de l'argent. Même entrée, résultat très différent.
En matière de prévention, la stratégie est bien rodée : imposer une authentification multifacteur (et non des codes SMS), surveiller les signaux comportementaux pour détecter toute connexion non autorisée et limiter les transactions suspectes. Cependant, la prévention a toujours ses limites, et la question qui se pose est : que se passe-t-il lorsque ces limites apparaissent ? La procédure de réversibilité et de contestation de PayPal permet à l’utilisateur victime d’un piratage de récupérer son compte. La position historique de Cash App, selon laquelle un transfert non autorisé relevait de la responsabilité de l’utilisateur, l’a laissé sans recours, ce qui a précisément transformé un incident de sécurité en une affaire de responsabilité de 175 millions de dollars. Même fraude, issue opposée, décidée par un choix politique plutôt que par une simple ligne de code.
| Devant | PayPal | Cash App (avant 2025) |
|---|---|---|
| Modèle monétaire | Carte réversible | De compte à compte, irréversible |
| Quand la fraude frappe | Protection des acheteurs et des vendeurs, procédure de règlement des litiges | Considéré comme un problème de l'utilisateur |
| Détection | Évaluation des risques liés à l'apprentissage automatique en temps réel | Limitée, axée sur la croissance |
| Assistance en cas de fraude | Processus de réclamation (lent mais réel) | Ligne téléphonique coupée depuis des années |
| Dossier réglementaire | Taux de perte d'environ 0,08 % divulgué dans les documents déposés | Ordonnance du CFPB de 175 millions de dollars, amende de l'État de 80 millions de dollars |
Comment réagir face à une fraude après qu'elle se soit produite ?
La détection ne représente que la moitié du travail ; la réaction est l'autre moitié que les autorités de régulation évaluent réellement. Lorsqu'un transfert non autorisé passe entre les mailles du filet, le minimum légal pour les applications de paiement américaines est la réglementation E : enquêter rapidement et indemniser l'utilisateur si le transfert n'était pas autorisé. Cela implique une véritable enquête, un interlocuteur humain joignable et un délai de traitement. La facture de 175 millions de dollars de Cash App n'avait rien à voir avec le piratage. Elle concernait la manière dont l'entreprise a réagi par la suite, ou son refus de réagir. Il faut privilégier la réaction, et pas seulement la protection.
Tendances en matière de fraude : où se dirige la prévention ?
La prochaine étape est une course aux armements où les deux camps utilisent la même arme. L'IA générative alimente le vecteur d'attaque qui connaît la croissance la plus rapide : Deloitte prévoit que les pertes liées à la fraude facilitée par l'IA aux États-Unis passeront de 12,3 milliards de dollars en 2023 à environ 40 milliards de dollars d'ici 2027, et les escroqueries utilisant des deepfakes ont atteint des milliards de dollars en 2025, selon les estimations du secteur. Cette même technologie est également à l'origine des meilleures défenses. Le rapport Nilson attribue à l'IA la création des modèles de lutte contre la fraude les plus performants jamais utilisés dans le secteur des cartes bancaires. Le plus rapide à innover l'emporte, ce qui explique précisément pourquoi les défenses statiques sont vouées à l'échec, contrairement aux défenses adaptatives.
Ce que cela signifie pour la prévention de la fraude aux paiements
La leçon à tirer de PayPal et Cash App n'est pas de « dépenser plus en technologie ». Ils ont déjà investi massivement. La clé du succès réside dans la réversibilité, la responsabilité et quelques contrôles efficaces qui s'adaptent au lieu de faire semblant. Le spectacle est moins coûteux, jusqu'à ce qu'un organisme de réglementation y mette fin et le ruine. Alors, comparez votre propre système au tableau ci-dessus et posez-vous la seule question essentielle : si vous ne pouvez pas annuler un virement frauduleux ou répondre au téléphone lorsqu'un client est victime d'un vol, vous n'avez aucune protection contre la fraude aux paiements. Vous avez un logo.
