En août 2013 Tracfin, l’organe de renseignement financier de Bercy chargé de la lutte contre le blanchiment d’argent, a signalé au parquet de Versailles une fraude massive aux titres-restaurants dans quelques établissements de la capitale. En l’espace de 9 mois, ce sont ainsi près de 10 millions d’euros qui auraient été blanchis.
L’utilisation du support papier fait du marché des titres-restaurants (3,5 millions de consommateurs et 5 milliards d’€ de CA) une cible de choix pour les criminels. C’est pourquoi, afin de lutter contre la fraude mais aussi de moderniser l’action publique, le législateur s’est positionné en juillet 2013 en faveur de la dématérialisation des titres-restaurants. Le décret a été publié le 2 avril. De cette évolution surgissent des questions légitimes : quels impacts pour les consommateurs au quotidien ? Et surtout quelle évolution des risques ?
La petite révolution du numérique
Ces titres dématérialisés peuvent être utilisés sur deux supports : via une carte à puce compatible avec n’importe quel terminal de paiement électronique ou via un smartphone (en utilisant une application qui génère des QR code) uniquement compatible avec un terminal spécifique fourni par l’émetteur de titres au restaurateur.
La dématérialisation va profondément modifier les usages. Les avantages sont multiples pour les usagers, entreprises et restaurateurs : plus de perte des tickets, paiement au centime près et diminution de la charge administrative et des délais de remboursement. Cependant, c’est aussi la fin des petits arrangements : plus de possibilité de céder des tickets restaurants, montant limité à 19€ / jour, carte non utilisable le dimanche…
L’obsolescence annoncée des méthodes traditionnelles de vol et de fraude
Les méthodes traditionnelles de fraude vont tendre à disparaître, en particulier celles liées au blanchiment d’argent. Par exemple, le système connu sous le nom de « lessiveuse » consiste pour des restaurateurs à acheter des titres-restaurant au marché noir avec de l’argent « sale » pour se les faire rembourser ensuite de manière légale par la société émettrice de titres. Les titres-restaurants numériques mettent fin à ce système car ils ne peuvent être cédés à un tiers et permettent la traçabilité des flux.
De plus, l’utilisation de la carte à puce et du mobile restreint le vol de tickets-restaurant pour le consommateur : code à quatre chiffres, utilisation limitée à deux tickets par jour, possibilité de faire opposition et tickets non stockés sur le support de paiement.
Un déplacement du risque vers la cybercriminalité
Du fait de la dématérialisation, les émetteurs de titres-restaurants deviennent une nouvelle cible pour les cybercriminels, comme le souligne Tracfin dans son rapport annuel 2012 : « La dématérialisation des supports va modifier les risques sous-jacents en termes de blanchiment d’argent avec une évolution des typologies vers des domaines relevant de la cybercriminalité ».
Si les nouvelles méthodes de blanchiment ne sont pas clairement identifiées aujourd’hui, les méthodes de fraude et de vol inhérentes à la cybercriminalité sont bien connues. Elles consistent principalement en des attaques informatiques de type social engineering, usurpation d’identité, élévation de privilèges, etc.
Ces attaques pourront viser d’une part à voler des titres-restaurant stockés sur les serveurs de l’émetteur, par exemple en créditant le compte d’un usager en titres sans contrepartie financière ou encore en simulant un paiement par titre chez un restaurateur pour en obtenir le remboursement.
D’autre part, l’objectif des cybercriminels pourra être de faire main basse sur les données personnelles des usagers. Générées lors de l’utilisation d’une carte ou d’un smartphone, ces données fournissent des informations qui présentent un attrait certain pour les cybercriminels : noms, habitudes de consommation, géolocalisation, etc.
La nécessité pour les émetteurs de se mettre à niveau
Les émetteurs de titres-restaurants sont confrontés à l’importance grandissante du SI au cœur de leur métier. Le système traditionnel fermé et tourné uniquement vers l’entreprise évolue vers un système ouvert sur l’extérieur. Cette ouverture implique des interactions avec divers acteurs (banques, restaurateurs, entreprises…) et la collecte d’informations de plus en plus attractives.
En conséquence de ces évolutions majeures, la posture des émetteurs se trouve profondément modifiée et un effort doit être fait sur la sécurité des Systèmes d’Information. Les émetteurs de titres restaurants doivent s’inspirer des investissements réalisés et des bonnes pratiques mises en place par des entreprises qui font face à des problématiques similaires de gestion de systèmes financiers (banques) et de données personnelles massives (opérateurs télécoms) critiques.
A minima, une évaluation des risques sur les processus métier, l’intégration des pratiques de développement sécurisé pour les applications et la réalisation d’audits mêlant technique et métier seront nécessaires.
Il sera par ailleurs nécessaire de surveiller le système afin de détecter les nouvelles tentatives de fraudes et les méthodes d’attaques. Avec l’augmentation de l’utilisation de ces systèmes, ces actions devront être réalisées en quasi temps réel.. L’utilisation de nouvelles techniques anti fraude, utilisant par exemple le Big Data, devra alors être envisagée.
Le titre restaurant vit sa révolution numérique, en regard les mécanismes de lutte contre la fraude doivent eux aussi franchir ce nouveau cap !