Comment réduire la fraude par énumération avant l’entrée en vigueur des nouvelles règles de Visa

La fraude par énumération n’est plus seulement un enjeu de sécurité, c’est désormais un risque pour votre activité. À partir d’avril 2025, Visa appliquera de nouveaux seuils de fraude et d’énumération qui pourraient avoir un impact direct sur vos résultats. Si vous ne détectez pas et ne bloquez pas activement les attaques de card testing aujourd’hui, vous vous exposez à des pénalités, à une hausse des frais de litige, voire à des restrictions sur votre compte marchand.

Qu’est-ce que la fraude par énumération ?

La fraude par énumération (également appelée card cracking) est un type d’attaque mené par des bots, dans laquelle des acteurs malveillants testent rapidement un grand volume de numéros de carte volés ou générés afin d’identifier ceux qui sont valides. Ces attaques impliquent généralement :

• de petites transactions de faible valeur pour éviter la détection,
• l’utilisation de bots, de scripts ou de botnets pour se développer rapidement,
• des techniques d’obfuscation comme les proxys résidentiels et l’émulation d’appareil.

Lorsqu’une carte fonctionnelle est identifiée, elle est soit utilisée pour des achats frauduleux de plus grande ampleur, soit revendue sur des marchés clandestins. La fraude par énumération entraîne une augmentation des rétrofacturations, alourdit les coûts opérationnels et – selon les nouvelles règles de Visa – expose désormais les commerçants à des pénalités et à une inscription au programme VAMP.

Explication des nouvelles normes de Visa en matière d’énumération et de fraude

Le programme de surveillance des acquéreurs de Visa (VAMP) introduit plusieurs nouveaux seuils pour les commerçants et les acquéreurs.

• Commerçants : seuil de fraude de 1,5 % à partir d’avril 2025, réduit à 0,9 % en janvier 2026
• Acquéreurs : seuil de fraude mensuel de 0,3 %
• Commerçants à haut risque : réduit de 1,8 % à 1,5 %

Mais l’un des changements les plus significatifs est l’introduction d’un ratio d’énumération. Si plus de 20 % des transactions que vous soumettez sont signalées comme des tentatives de card testing, vous pourriez être inscrit au programme de surveillance des acquéreurs de Visa (VAMP) et faire l’objet d’un examen renforcé et de frais supplémentaires. Plus précisément, les commerçants classés comme « Excessifs » dans le cadre du programme VAMP peuvent se voir infliger des amendes de 10 $ par transaction frauduleuse ou contestée. Ces frais de mise en application visent à encourager les commerçants à gérer et réduire de façon proactive la fraude par énumération afin de rester conformes aux normes de Visa.

Pourquoi les attaques par énumération sont-elles si dommageables et si souvent ignorées ?

La fraude par énumération se produit lorsque des attaquants utilisent des bots, des scripts ou des botnets pour tester des listes de numéros de carte volés jusqu’à en trouver un valide. Ces attaques sont :

• automatisées,
• à fort volume,
• souvent impossibles à distinguer du trafic légitime.

Les acteurs malveillants masquent souvent ces attaques à l’aide de proxys résidentiels, de user-agents aléatoires ou même d’émulateurs de vrais appareils pour contourner les défenses basiques. Comme les transactions tentées sont généralement de faible montant, elles ne déclenchent pas d’alerte… Jusqu’à ce que votre taux de rétrofacturation explose.

Le véritable coût de la fraude par énumération

Au-delà des litiges et des rétrofacturations, les attaques par énumération engendrent des coûts opérationnels, financiers et réputationnels.

• Ttrafic gonflé qui surcharge l’infrastructure et fausse les analyses
• Frais et pénalités liés au dépassement des seuils de fraude
• Risque d’être ajouté au programme VAMP, ce qui peut compromettre votre statut de commerçant
• Perte de confiance des clients si les attaquants parviennent à exploiter les données réelles des clients

4 étapes pour réduire la fraude par énumération

1. Détectez les signes de card testing

Soyez attentif aux éléments suivants :

• pics soudains de trafic vers vos pages de paiement ou de finalisation de commande ;
• multiples tentatives de paiement échouées provenant d’empreintes d’appareil similaires ;
• anomalies liées à la géolocalisation, au type de carte ou au comportement utilisateur.

2. Arrêtez les bots avant qu’ils n’atteignent le tunnel de paiement

La détection seule ne suffit pas. Pour garder une longueur d’avance sur la fraude par énumération et rester en dessous des seuils de Visa, vous devez bloquer l’automatisation en temps réel sans perturber les utilisateurs légitimes. C’est là qu’intervient la Cyberfraud Protection Platform de DataDome.

La plateforme combine plusieurs couches de défense pour stopper les attaques par énumération à chaque étape du parcours client :

• Bot Protect : détecte et atténue les tentatives d’énumération grâce au fingerprinting comportemental, à l’analyse du trafic en temps réel et à des techniques d’atténuation discrètes pour ne pas alerter les attaquants ;
• Page Protect : sécurise vos scripts côté client et vos pages de paiement, empêchant les attaquants de manipuler les éléments du tunnel de commande ou de capter des données sensibles lors de campagnes d’énumération ;
• Account Protect : défend les points de terminaison de connexion et de création de compte contre l’automatisation, aidant ainsi à empêcher les attaquants de tester les méthodes de paiement enregistrées après avoir obtenu un accès non autorisé.

Vous pouvez également configurer des politiques et règles personnalisées alignées sur les seuils de détection d’énumération de Visa. Cela vous offre un contrôle total pour réagir rapidement et maintenir des taux de fraude maîtrisés.

3. Surveillez vos taux d’énumération et de fraude

Suivez vos indicateurs clés et surveillez :

• les hausses soudaines de transactions échouées,
• les taux d’énumération proches du seuil de 20 % fixé par le programme VAMP,
• les taux de litiges approchant les 1,5 % (ou 0,9 % à partir de 2026).

Le tableau de bord et les fonctionnalités d’alerte de DataDome aident les équipes de sécurité et de lutte contre la fraude à rester en dessous de ces seuils et à prendre des mesures proactives avant que l’inscription au programme VAMP ne devienne un risque.

4. Sécurisez vos parcours de connexion et de compte

Si votre plateforme stocke des moyens de paiement, les attaquants peuvent cibler les connexions avant de lancer une énumération. La protection des points d’entrée de connexion avec DataDome Account Protect permet de prévenir les attaques de credential stuffing et de garantir que seuls les utilisateurs légitimes accèdent aux zones sensibles.

Ce qu’il faut retenir : les nouvelles normes Visa exigent une défense proactive

La fraude par énumération n’est plus un simple sujet de sécurité « back office », c’est désormais un indicateur clé utilisé par Visa pour évaluer le risque marchand. Avec l’entrée en vigueur de ces nouveaux seuils ce mois-ci, commerçants et acquéreurs doivent adopter une stratégie de défense en temps réel, fondée sur une approche multicouche.

La Plateforme de Protection contre la Cyberfraude de DataDome répond précisément à ce besoin, en arrêtant les attaques par énumération avant qu’elles n’impactent vos taux de fraude ou ne déclenchent de coûteuses pénalités VAMP. La plateforme combine :

• Bot Protect pour détecter et bloquer les tests de cartes automatisés,
• Page Protect pour sécuriser les scripts de paiement et prévenir les abus côté client,
• Account Protect pour protéger les parcours de connexion et de compte contre la fraude basée sur les identifiants.

Ensemble, ces solutions aident les entreprises à rester conformes, protéger leur infrastructure et préserver la confiance.

Vous souhaitez évaluer votre exposition à la fraude par énumération ?
Découvrez comment DataDome aide les organisations à rester en dessous des seuils de Visa et à garder une longueur d’avance sur les attaquants. Demandez une démo dès maintenant pour commencer.