Le carding est une technique de fraude bien connue dans l’univers du paiement en ligne. Elle consiste à tester massivement des numéros de cartes bancaires volées contrefaite en utilisant le site d’un marchand comme simple terrain d’expérimentation. L’objectif du fraudeur n’est pas de passer commande, mais de vérifier quelles cartes sont actives et accessibles. Une fois les cartes valides identifiées, il les utilisera ensuite pour effectuer des achats frauduleux sur d’autres sites. Parfois, certaines opérations de carding effectuées par des « bots » ont pour objectif de faire tomber les services de paiement voire le site internet marchand dans son ensemble.

Comprendre le mécanisme du carding

Le carding repose sur la vélocité des tentatives : un très grand nombre de demandes d’autorisation est envoyé en très peu de temps. Le fraudeur utilise souvent des cartes  identifiées par le même BIN (Bank Identification Number, correspondant aux 8 premiers chiffres de la carte), et les teste de manière automatisée grâce à des scripts ou des bots. Les fraudeurs obtiennent les numéros de cartes de plusieurs façons : en les achetant sur des forums illégaux, en les récupérant après des fuites de données (via phishing ou malware, par exemple), ou en les volant directement en sortie de production dans certaines régions du monde (comme l’Inde ou la Chine).

Ces tests ne visent pas à acheter un produit. Les fraudeurs utilisent le site marchand comme outil de test, ce qui génère un grand nombre de tentatives en peu de temps et entraîne plusieurs conséquences pour le marchand :

  •  Saturation des serveurs ou blocage temporaire par le prestataire de services de paiement (PSP) pour suspicion de fraude,
  •  Facturation de frais d’autorisation non négligeables, et autres frais par le prestataire de services de paiement
  • Dégradation de la réputation auprès des acteurs du paiement

Reconnaître et limiter les tentatives de carding

Des signes qui ne trompent pas

Plusieurs indicateurs peuvent alerter le marchand sur une activité suspecte :

  • Une même adresse email ou IP tente de nombreuses transactions avec des cartes différentes
  • Les BINs ou dates d’expiration sont souvent identiques
  • Des tentatives échouées répétées, suivies d’un ou deux paiements réussis
  • Des commandes à des horaires inhabituels, parfois la nuit
  • Une forte activité provenant de zones géographiques peu habituelles

Réagir efficacement

Voici quelques bonnes pratiques à mettre en place pour limiter les risques :

  • Mettre en place des règles dans le module de gestion de risque sur le Back Office de Lyra visant à identifier les transactions suspectes (ex. : recevoir une notification quand une même adresse email utilise plus de 3 cartes en 5 minutes).
  • Activer un mode de surveillance bloquant ou informatif afin d’être immédiatement alerté dès la détection d’un comportement suspect.
  • Utiliser un CAPTCHA pour freiner les tests automatisés
  • Surveiller les tentatives de paiement échouées et ne pas livrer en cas de doute, même si le paiement est accepté
  • Annuler ou rembourser les transactions suspectes avant traitement

Le carding peut avoir des impacts importants sur la réputation du site et la stabilité du site marchand. Même s’il ne vise pas directement à frauder le marchand, il expose son activité à des risques techniques et financiers. En mettant en place des protections simples et adaptées, il est possible de bloquer ce type de tentative et de sécuriser durablement son environnement de paiement.