L'autre principal enjeu de la modernisation des moyens de
paiement en Afrique central, au-delà de l'arrimage du système de
paiement au contexte financier international, est celui du souci de protection
des circuits bancaire et financier. En effet, le système de paiement qui
a cours avant la réforme du début des années 2000 se
caractérise par des transactions manuelles, l'utilisation presque
exclusive de la monnaie fiduciaire, ce qui ne permet pas de mettre sur pieds un
système efficace de protection des circuits financiers de la
sous-région.
La Modernisation des moyens de paiement en Afrique Centrale a
favorisé, au travers de l'automatisation du système de paiement,
la traçabilité, la rapidité des transactions, ainsi qu'une
meilleure gestion efficace de l'information financière de plus en plus
croissante.
Cependant, des points d'inquiétude subsistent
toujours. Notamment en ce qui concerne la sécurité. Car il est
essentiel de noter que si la modernisation du système de paiement en
zone CEMAC a favorisé le développement économique et
financier de la sous-région, force est de constater que
l'avènement des nouveaux moyens de paiement a entrainé la
survenance de nouveaux risque sécuritaires, qui fragilisent le secteur
et dont -il convient d'en inventorier les types les courants :
Mémoire rédigé et YONDJE SITCHEDIE Didi
Stéphane 17 | P a g e
Thème : La modernisation des moyens de paiement et
le dispositif communautaire de lutte contre le blanchiment des capitaux et le
financement du terrorisme en zone CEMAC
Cartographie des Cyberattaques les plus usuelles
:
Cas N°1 : Cyberattaque par l'intrusion
dans les systèmes informatiques au travers des mails
Piégés (« Fishing »)
Dans ce cas de figure, il arrive que des institutions
financières voit son système monétique se faire infiltrer
par des mails piégés envoyés aux employés avec des
pièces jointes. Dès lors qu'un employé ouvre ce mail et
clique sur la pièce jointe, rien ne se passe en apparence. Cependant en
arrière-plan, un logiciel espion silencieux s'installe dans cet
ordinateur. Le rôle de ce dernier est de voler des données
de connexion et de les envoyer à son commanditaire via le réseau
internet. Ces données permettront à ce « hacker
», une fois les journées de travail terminées de
s'introduire dans le système informatique de l'institution
financière et de rechercher l'ordinateur qui commande le serveur
monétique et qui peut autoriser les transactions. Une fois
repéré, il procède à la soit, au vol des
données bancaires des clients, soit il lève les plafonds
des cartes bancaires dont-ils sont déjà en possession
(cas de la BGFI Gabon en 2015 dans lequel le préjudice total avait
atteint 1,9Milliards), procèdent à des chargements fictifs
et effectuent des retraits frauduleux sur les guichets automatiques.
Cas n°2 : Vol des données bancaire au
travers des Guichets Automatiques « SKIMMING »
Ce cas de figure est aussi une autre forme de fraude
très répandue en ce qui concerne les cyberattaques.
Ici, le « hacker » procède,
installe frauduleusement sur les guichets automatiques, un dispositif espion,
constitué de caméras miniatures qui enregistre les données
rentrées par les usagers (numéro de cartes, et du code, ainsi que
le cryptogramme à l'arrière de la carte). Une les dispositifs
récupérés, il utilise les données soit pour
effectuer des achats en ligne avec les numéros des cartes
dérobées, soit tout simplement pour les vendre au marché
noir. Ce qui servira probablement à « cloner14
» les cartes originales, pour pouvoir effectuer des retraits au
GAB. (Le Cobranding)
Cas N°3 : Fraude par contournement de la
facturation par TPE
Ici, la fraude s'articule autour de manoeuvres
orchestrées sur les Terminaux de Paiement Electroniques « TPE
» installés dans des points marchands. En effet, lorsque les
fraudeurs se présentent chez un commerçant acquéreur, ils
effectuent normalement leurs achats, et au moment de régler la facture,
ils demandent à payer par carte. Lors de la transaction sur TPE, ceux-ci
initient l'opération, le terminal génère le ticket, puis
avant d'avoir confirmé le paiement, ils procèdent à
l'annulation de la facture et utilisent le premier ticket
généré pour régler frauduleusement leur facture
auprès du marchand. L'Information de la transaction n'étant pas
parvenu à la banque du marchand suite à l'annulation de la
transaction, le compte de ce dernier n'est donc pas crédité du
montant de la facture. Cependant, le fraudeur se voit livrer ses
marchandises.
14 Faire une copie des informations contenue sur la
carte bancaire de la victime et la charger ensuite sur une autre pour la
réutiliser frauduleusement à l'insu de son
propriétaire.
Mémoire rédigé et YONDJE SITCHEDIE Didi
Stéphane 18 | P a g e
Thème : La modernisation des moyens de paiement et
le dispositif communautaire de lutte contre le blanchiment des capitaux et le
financement du terrorisme en zone CEMAC
Cas N°4 : Fraude par interception et
modification de l'information :
Concernant ce cas de figure, la fraude peut survenir dans les
cas d'intrusion dans le système informatique de l'institution comme
évoqué au cas n°1. En effet, en cas d'intrusion dans le
système, un « hacker » pourrait y installer un micro
logiciel espion, indétectable des antivirus, puisque très passif
dans le système. Le rôle d'un tel logiciel serait de modifier les
« Paquets »15afin de n'acheminer que la
réponse souhaitée au niveau du GAB.
Concrètement, lors d'une transaction de retrait sur
les Guichets Automatiques de Billets, le GAB interroge la banque au travers du
server monétique, afin de vérifier la provision de la carte qui
sollicite un retrait. Si cette carte a suffisamment de provision dans le
compte, l'information est renvoyée au GAB par le biais du même
canal et l'opération est autorisée. Dans le cas où cette
provision ne serait pas suffisante pour l'opération demandée, le
server renvoi la réponse de l'échec de l'opération.
Cependant dans le cadre de cette fraude, le micro logiciel espion modifie
l'information renvoyée à chaque fois par le server vers le
guichet automatique. Ce qui a pour conséquence de voire toutes les
opérations de retrait autorisées par le GAB,
indépendamment de l'existence de la provision