De nouvelles recherches suggèrent que les entreprises à l’origine de certaines des marques de consommation les plus connues d’Amérique pourraient être beaucoup plus efficaces dans la lutte contre la cybercriminalité que tout effort visant à promulguer des lois plus strictes en matière de sécurité informatique et de lutte contre le piratage.
Des propositions législatives récentes aux États-Unis — telles que la Arrêtez la loi sur le piratage en ligne — ont cherché à lutter contre le trafic en ligne de propriété intellectuelle protégée par le droit d’auteur et de produits contrefaits en accordant aux fournisseurs de services Internet et aux autorités des pouvoirs plus étendus pour poursuivre les contrevenants et en imposant des sanctions pénales plus sévères pour de telles activités. Mais des données récentes recueillies par des chercheurs universitaires suggèrent que les détenteurs de marques disposent déjà des outils nécessaires pour annuler une grande partie de cette activité.
Au cours des deux dernières années, une équipe de chercheurs universitaires a effectué des centaines d' »achats tests » sur des sites Web de 40 entreprises louches différentes colportant des contrefaçons de médicaments sur ordonnance, des logiciels contrefaits et de faux produits antivirus. Les chercheurs, de Université George Masonla Institut international d’informatiqueet le Université de Californie, San Diegose faisant passer pour des acheteurs de ces produits, qui ont tendance à être promus principalement via des sites Web piratés, des courriers indésirables et des virus informatiques.
Les achats tests visaient à révéler les relations entre les marchands obscurs et les banques qui traitent les transactions par carte de crédit et de débit pour ces entreprises. Le suivi de la piste de l’argent a montré que la majorité des achats étaient traités par seulement 12 banques dans une poignée de pays, dont l’Azerbaïdjan, la Chine, la Géorgie, la Lettonie et Maurice.
Les chercheurs ont déclaré avoir soumis les résultats de l’achat test à une base de données dirigé par le Coalition internationale contre la contrefaçon, (IACC), une organisation à but non lucratif basée à Washington, DC qui se consacre à la lutte contre la contrefaçon et le piratage de produits. Plusieurs vendeurs de pharmacies et de logiciels et membres de l’IACC dont les marques ont été violées dans ces transactions (les chercheurs ont déclaré que les accords de non-divulgation leur interdisaient de nommer les marques) ont utilisé les données pour déposer des plaintes auprès de Visa (seules les cartes de débit de marque Visa ont été utilisées pour faire le achats tests).
Les contrats entre les banques et Visa et MasterCard stipulent que les commerçants interdisent de vendre des biens et services qui sont illégaux dans le pays dans lequel ces biens ou services sont vendus. Les associations de cartes de crédit ont un processus standard pour accepter les plaintes concernant de telles transactions, dans lequel elles avertissent la banque du commerçant en ligne (y compris un avis d’amendes potentielles en cas de non-conformité). Après une plainte concernant une telle activité, la banque du commerçant mène son enquête et peut choisir de contester le problème si elle pense qu’il s’agit d’une erreur. Mais si la banque décide de ne pas contester la plainte, elle devra alors prendre des mesures pour empêcher de telles transactions à l’avenir, sinon elle devra faire face à une série croissante d’amendes de la part des associations de cartes.
Les chercheurs ont remarqué que, cas après cas, les comptes marchands qui étaient utilisés dans des activités frauduleuses pendant une longue période avant de déposer une plainte auprès de l’IACC cessaient généralement d’être utilisés dans le mois suivant le dépôt d’une plainte. Ni Visa ni l’IACC n’ont répondu aux demandes de commentaires sur cette histoire.
Stéphane Sauvageprofesseur au Département d’informatique et d’ingénierie de l’UCSD, a déclaré que les données suggèrent que le secteur privé peut avoir un impact majeur sur la cybercriminalité simplement en s’attaquant au financement de ces opérations.
« Il ne nécessite pas de juge, d’agent des forces de l’ordre ou même beaucoup de capacités de sécurité sophistiquées. Si vous pouvez acheter un produit, il y a un enregistrement de celui-ci et cet enregistrement renvoie au compte marchand qui reçoit l’argent », a déclaré Savage. « Visa et MasterCard désapprouvent les ventes d’achats illégaux effectués sur leurs réseaux et agiront de manière appropriée sur les plaintes des titulaires de marque basées sur des achats d’infiltration. »
Savage a déclaré qu’il n’y avait pas d’action concertée de toutes les marques concernées pour avoir un impact majeur sur les entreprises malhonnêtes qui encouragent ce type de commerce. Au contraire, il a déclaré qu’un propriétaire de marque de logiciels a poursuivi les banques d’affaires liées à tous les achats tests du groupe pour ses produits avec une telle férocité et une telle rapidité qu’il a pratiquement fermé le marché des logiciels de marque piratés. [a.k.a “OEM”] pendant la nuit.
« Ce vendeur est allé après tout. Ils l’ont fait si rapidement – et pas seulement pour leurs propres produits – qu’ils ont pratiquement arrêté tout l’écosystème OEM », a déclaré Savage. « Quelques [OEM affiliate programs] survécu en se débarrassant de la marque de cette entreprise, mais au début, quand les gens n’avaient aucune idée de ce qui se passait, cela a fermé toute l’entreprise pour tout le monde.
LES AMENDES « PLUISSENT SUR LES COMMERÇANTS »
Les chercheurs notent qu’à la mi-2011, Visa a apporté une série de modifications à ses règles de fonctionnement qui semblent conçues pour cibler spécifiquement les pharmacies en ligne et les vendeurs de produits contrefaits. Premièrement, les ventes de biens classés comme liés à l’industrie pharmaceutique ont été explicitement classées comme « à haut risque » (ainsi que les jeux de hasard et divers types de services de marketing direct), et les acquéreurs émettant de nouveaux contrats pour les marchands de commerce électronique à haut risque ont exigé beaucoup plus de diligence raisonnable ( y compris 100 millions de dollars en capitaux propres et une bonne réputation dans les programmes de gestion des risques). En outre, les nouveaux documents mentionnent explicitement des exemples de transactions illégales, notamment la «vente illégale de médicaments sur ordonnance» et la «vente de produits ou services contrefaits ou portant atteinte à une marque», entre autres. Enfin, ces changements comprennent des barèmes d’amendes plus sévères en cas de non-conformité.
Certaines des meilleures preuves du succès de la stratégie d’achats tests + plaintes proviennent directement des personnes qui gèrent les programmes d’affiliation qui récompensent les spammeurs et les malfaiteurs pour la promotion de faux antivirus, de logiciels piratés et de sites de pilules douteux. En juin 2012, un dirigeant d’un programme populaire d’affiliation de pharmacies a publié un long message pour gofuckbiz.com, un forum en langue russe qui s’adresse à une variété de programmes d’affiliation de ce type. Dans ce fil de discussion, qui compte maintenant quelque 234 pages, le responsable du programme d’affiliation explique à un certain nombre de membres du forum mystifiés pourquoi les programmes de pharmacie ont eu tant de mal à maintenir un traitement fiable des cartes de crédit.
« En mai 2011, Visa a lancé un nouveau programme, le soi-disant « Programme mondial de protection de la marque. Personne ne savait à l’époque comment cela se passerait pour les banques et les commerçants, donc à l’époque, rien n’a beaucoup changé – tout a continué à fonctionner comme avant », a expliqué le responsable du programme. « Après plusieurs mois, Visa commence à agir, et à partir de novembre 2011, des amendes de 25 000 USD sur chaque domaine contenant des marques Viagra, Cialis et/ou Levitra ou d’autres médicaments protégés par le droit d’auteur ont commencé à pleuvoir sur les commerçants. »
Le gérant a poursuivi :
« Tous les programmes d’affiliation ont été critiqués. Aujourd’hui, tous les programmes d’affiliation importants ont payé plus de centaines de milliers d’amendes dans le cadre de ce programme. Les banques sont également sous le feu des critiques, et bien que dans la plupart des cas, elles puissent couvrir leurs pertes financières aux dépens des commerçants – à condition que leur chiffre d’affaires soit suffisant – les audits de Visa, les risques de réputation et autres tracas compliquent leur travail. C’est pourquoi certaines banques ont complètement refusé de faire des affaires [and] certains ont fortement réduit le volume des paiements « pharmaceutiques », d’autres se sont « surassurés » d’une manière ou d’une autre, conduisant à des taux d’approbation pratiquement nuls. Certaines (banques) continuent de fonctionner, mais aujourd’hui leur nombre est très limité.
Un autre affilié d’un programme de pharmacies voyous a décrit la situation en des termes beaucoup moins délicats, en observant : «À l’heure actuelle, la plupart des programmes d’affiliation ont une masse de refus, d’annulations et d’attentes, et cela ne dépend pas beaucoup du programme IMHO, il y a une triste image générale, putain de Visa nous brûle avec du napalm.
LE SOUTERRAIN RÉPOND
Damon McCoy, professeur adjoint au département d’informatique de GMU, a déclaré que de nombreux programmes d’affiliation de logiciels de pharmacie, de scareware et d’OEM ont réagi en mettant en place des mesures de sécurité pour filtrer les achats tests. Par exemple, certains programmes de pharmacie voyous – tels que Paiements Rx – ont commencé à exiger des acheteurs qu’ils envoient des scans ou des fax de leurs permis de conduire et cartes de crédit physiques. D’autres ont décidé de ne traiter que les paiements des clients existants.
Mais les deux mesures de sécurité peuvent être vouées à l’échec, tant pour les clients que pour les affiliés. Les chercheurs notent que l’exigence d’une pièce d’identité avec photo de RxPayouts pour les nouveaux clients (adoptée en janvier 2012) a provoqué un tollé parmi les affiliés. Selon les chercheurs, un affilié a écrit en réponse : « Cette nouvelle règle me tue, mon taux de conversion pour les nouveaux clients est tombé à [zero]. Dès que mes nouveaux clients s’aperçoivent qu’ils doivent faxer une pièce d’identité avec photo à leur service client, ils annulent leur commande.
Mais McCoy a déclaré que les nouvelles exigences servent également à isoler les programmes d’affiliation d’une autre source potentielle de maux de tête et de problèmes : les affiliés malhonnêtes qui rejoignent le programme simplement pour récolter les commissions pour les commandes passées avec des cartes de crédit volées.
« À l’origine, les programmes d’affiliation faisaient cela pour se défendre contre les cardeurs, et dans le passé, s’il y avait une rétrofacturation pour un achat, le programme d’affiliation mangeait ce coût de rétrofacturation », a déclaré McCoy. « Maintenant, si une rétrofacturation se produit, ils prélèveront cette charge sur les revenus ultérieurs de l’affilié. »
Les chercheurs ont observé que les programmes d’affiliation des pharmacies ont également réagi récemment en remplaçant les médicaments de marque par leurs équivalents génériques (par exemple, le citrate de sildénafil au lieu du Viagra, le tadalafil au lieu du Cialis, etc.). Les opérateurs de ces programmes affirment à leurs affiliés que de telles actions élimineront les problèmes de marque et de marque et saperont ainsi la capacité des titulaires de marque à fermer à la fois des sites individuels ainsi que les comptes marchands associés.
Reste à savoir si cette dernière étape permettra aux banques qui s’adressent à ces entreprises de continuer à le faire sans être dérangées par les réseaux de cartes de crédit, selon le responsable du programme d’affiliation cité ci-dessus, qui a posté sur gofuckbiz.com.
« Ce que cela mènera à la fin, le temps nous le dira, soit tout le monde cessera d’utiliser des noms de marque bien connus, qui sont si bien connus des acheteurs, et commencera à utiliser les noms génériques indiens ou les noms d’ingrédients actifs, ou continuera pour participer à cette course folle de qui déjouera qui.
Une copie du document de recherche est disponible ici (PDF).