Depuis quelques jours, l'Association Française des Usagers des Banques (AFUB) monte au créneau afin d'indiquer qu'elle a reçu pas loin de mille plaintes concernant deux sociétés : le Crédit Mutuel Nord Europe et la Banque postale. Les usagers font états de débits frauduleux qui oscillent généralement entre 1 500 et 10 000 euros.
Avec l'importance croissante de l'informatique et du numérique dans nos vies, la question de la sécurité prend de l'ampleur, surtout qu'elle est régulièrement mise à mal ces derniers temps. Il y a deux jours, eBay demandait ainsi à l'ensemble de ses utilisateurs de changer de mot suite à une cyberattaque, tout comme Orange qui a laissé filer des données personnelles par deux fois en quelques mois. Début avril, c'était tout simplement un raz de marée qui tombait sur internet avec la faille Heartbleed touchant OpenSSL. Comme nous l'avions alors évoqué, les banques n'étaient pas épargnées, loin de là.
Près de 1 000 plaintes remontées à l'AFUB, pour des sommes entre 1 500 et 10 000 €
Depuis quelques jours, l'AFUB monte au créneau, d'abord chez Le Parisien puis chez nos confrères de France info, afin de se faire l'écho d'un millier de clients qui font face à des fraudes dont les montants varient entre 1 500 et 10 000 euros tout de même. Deux établissements sont dans la ligne de mire de l'association : le Crédit Mutuel Nord Europe et la Banque postale.
Serge Maître, président de l'AFUB, ajoute qu'il est « alarmé par le fait que les banques concernées restent passives et n'entreprennent aucune mesure de prévention et de communication. Elles ont l'adresse email de tous leurs clients qui sont des internautes qui ont accès par internet aux comptes. Là on attendrait qu'elle lance un message en disant : attention nous sommes actuellement pillées ».
La non-communication des banques... comme pour l'affaire Heartbleed
On se retrouve donc dans la même situation que pour la faille Heartbleed qui a secoué internet début avril : les banques ne communiquent pas. Pour rappel, nous avions déjà souligné le cas particulier du Crédit Mutuel qui annonçait sur Twitter qu'elle n'était « pas concernée par cette faille de sécurité », ce qui était probablement valable pour la consultation des comptes en ligne, mais pas pour ses plateformes de paiement (voir cette actualité pour tous les détails).
La question mérite d'ailleurs d'être posée : les fraudes remontées par l'AFUB sont-elles liées d'une manière ou d'une autre à Heartbleed ? Impossible à dire en l'état actuel des choses. Nous avons tenté de contacter l'association afin d'avoir de plus amples informations, sans résultat pour le moment.
Les précisions du Crédit Mutuel Nord Europe
Mais suite à la publication de cette affaire dans Le Parisien, le Crédit Mutuel Nord Europe (CMNE) a publié un communiqué de presse, non pas pour alerter ses clients, mais pour « apporter les précisions suivantes » :
« Contrairement à ce que laisse penser l’article, le système informatique du Crédit Mutuel Nord Europe n’a fait l’objet d’aucun piratage. Cette information nuit gravement au CMNE, d’autant que ses systèmes de sécurité sont régulièrement renforcés. Le nombre de transactions frauduleuses au CMNE représente 0,002 % du nombre total des transactions.
Le cas cité dans l’article du Parisien fait un amalgame entre l’utilisation frauduleuse de cartes bancaires et le phishing. Il convient de rappeler que le phishing n’est pas la conséquence d’un détournement à l’insu du client, mais d’une communication de sa part des informations sécurisant le dispositif de banque à distance.
Des mises en garde contre le phishing sont présentes et constantes dans ses différentes communications.
Dès qu’il a connaissance d’une opération présumée frauduleuse, le CMNE bloque les moyens de paiement et respecte systématiquement la réglementation dans la recherche de responsabilité. Il rembourse les clients quand il n’y a pas eu négligence de leur part. A l’inverse, le client est amené à supporter le sinistre dès lors que sa négligence est reconnue, comme en attestent deux décisions de justice rendues récemment dans des cas similaires. »
La banque indique donc que l'on est ici face à des cas issus d'une campagne de phishing, une pratique qui consiste pour des pirates à monter de faux sites internet, qui ressemblent comme deux gouttes d'eau à l'original, en demandant aux utilisateurs de se connecter ou d'indiquer des coordonnées bancaires. Le but étant d'obtenir des identifiants et des mots de passe de clients qui se sont laissé berner. Il semblerait d'ailleurs que certains cherchent en ce moment à le faire en imitant les services des impôts :
@dgfip_officiel Attention: Mail de phishing reçu ce matin. Bon timing avec les déclarations d'#impots. #phishing pic.twitter.com/otwJhEbvXZ
— JeanMarc Hui Bon Hoa (@jeanmarchbh) 23 Mai 2014
Une pratique que l'on dénonce régulièrement et qui se nourrit allégrement des vagues de fuites de données personnelles afin de récupérer informations permettant de mettre les utilisateurs utilisateurs en confiance alors qu'ils se trouvent sur un site frauduleux.
Que faire en cas de problème ?
La question est maintenant de savoir ce qu'il faut faire en cas de problème. Serge Maître indique qu'« il faut de toute façon aller voir le responsable de la clientèle, c'est-à-dire le directeur de l'agence, et si cela ne marche pas : lettre recommandée avec accusé de réception ». Après il est également possible de passer par le médiateur de la banque et d'aller jusqu'au procès si besoin.
Il invoque au passage l'article L. 133-18 du code monétaire et financier qui précise qu'« en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ».
Quelles sont les conditions stipulées à l'article L. 133-24 ? « L'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit. » Dans tous les cas, n'hésitez pas à nous faire part de vos retours si vous êtes dans une des banques pointées du doigt par l'AFUB et que vous avez eu à faire à une utilisation frauduleuse.
Commentaires (59)
#1
Je croyais que les plus grosses fuites, par milliards, venaient de banques suisses
" />
#2
Ca fait un moment que je n’avais pas vu d’exemple de phising, ils se sont bien amélioré ! Quelques fautes d’orthographe mineures, le texte qui a un aspect crédible, l’adresse .gouv.fr… Je comprends qu’on puisse se faire piéger
" />
#3
Règle d’or en la matière : JAMAIS un organisme officiel ne vous demandera de répondre à quoi que ce soit avec un courriel, SURTOUT en vous demandant des informations personnelles ! C’est TOUJOURS par écrit qu’ils vous contactent pour ce genre de procédure, et souvent en recommandé. Courriel = BIDON.
" />
" />
" />
" />
" /> ), et sachez que, par défaut, il faut considérer TOUTE demande d’infos personnelles SURTOUT d’identifiants, comme BIDON.
Après, pareil pour votre banque (j’ai reçu des courriels soi-disant de la BNP alors que je suis à la Société Générale
En cas de doute, passez voir ou contactez par téléphone l’organisme concerné, MAIS NE REPONDEZ PAS AU COURRIEL !
Voilà, simple, net, efficace.
#4
Est-il étonnant qu’une banque mente ?
" />
#5
#6
#7
#8
la dernière tentative de hameçonnage dirigée vers le crédit mutuel était
" />
" />
très bien faite.. graphique impeccable ortho sans faille
je l’ai envoyée au crédit mutuel ( qui a une adresse spéciale pour cela) , ils ne m’ont même pas répondu
je pensais que ça les interessait et qu’au moins ils m’auraient envoyé un AR … rien
peut -être que c’était un vrai courrier
#9
Il y a deux jours, eBay demandait ainsi à l’ensemble de ses utilisateurs de changer de mot de puisse suite à une cyberattaque,
Ahhh la puisette!
#10
De toute manière, un site ne demande jamais de suivre un lien pour vérifier nos coordonnées. C’est forcément du phishing.
" />).
Tout comme je vais sur le site directement dans mon navigateur, jamais par un lien (encore moins pour un remboursement des impôts
#11
On reconnait bien la le caractère de voleur, dépouilleur, détrousseur, branleur, feignasse des banques et de ceux qui y bosse…en félicitant le nombre x de personnes sérieuse, si il en reste encore.
" />
" />
" />
Le français trime en se faisant voler par les banques et celles ci parte en vacance et se paye du 13eme au 16 mois aux 35h avec notre oseille…
#12
a mon boulot, j’ai un collègue qui vient du niger avec le nom qui va avec, j’ai toujours moulte alerte sur ses mail et je dois toujours aller chercher ses mails dans la boite a spam
" />
#13
#14
#15
Débits frauduleux ? Aucun rapport avec les nouveaux mandats SEPA qui ne nécessitent pas la transmission d’office de l’autorisation de prélèvement ?
#16
On ne dirait pas que l’AFUB parle de SEPA hier.
" />
C’est vrai qu’il est aussi utilisé pour le phising, mais plus celui destiné aux entreprises. Un escroc téléphone en se faisant passer pour un employé de la banque et propose de faire des “tests de virement” vers l’étranger.
Quoiqu’il en soit, j’ai pas l’impression que les banques ne font rien sur ces problèmes, elles seraient plutôt du genre à presque spammer leurs clients avec des avertissements.
Mais bon, tant que les escrocs seront doués et les clients un peu neuneu…
#17
#18
#19
#20
[HS] Reçu aujourd’hui, un pseudo mail de la bnp avec comme instruction: “pour éviter l’invalidité de votre compte, veuillez télécharger la pièce jointe puis l’ouvrir avec votre navigateur”
En pj un .htm dont la preview dans la boîte mail commence par une balise script…
Mais bien sûr ! xD [/HS]
#21
#22
#23
#24
#25
en temps que client de la banque postale, j’aimerais bien accéder à leur e-carte, peut-être un jour possible sans windows ;-)
#26
#27
#28
Alors là, pas étonné du tout, des tentatives de fishing exploitant la marque credit mutuel j’en reçois au moin 2 par semaines, et chaque fois c’est le même topo : je fais suivre le mail à [email protected] , je signale le lien frauduleux a google et quand le lien exploite un site légitime et sans rapport je préviens le webmaster du site. J ‘en reçois aussi du cic de temps en temps, le pire c’est que c’est une adresse que je ne donne pas a n’importe qui
" />
#29
Alors là, pas étonné du tout, des tentatives de fishing exploitant la marque credit mutuel j’en reçois au moin 2 par semaines, et chaque fois c’est le même topo : je fais suivre le mail à [email protected] , je signale le lien frauduleux a google et quand le lien exploite un site légitime et sans rapport je préviens le webmaster du site. J ‘en reçois aussi du cic de temps en temps, le pire c’est que c’est une adresse que je ne donne pas a n’importe qui
Pareil, j’en reçois tous les jours avec un lien pour télécharger une application creditmutuel.exe
Mais c’est pour ma sécurité qu’ils me disent
#30
#31
La Poste… c’est un peu la sncf des voies numériques.
#32
#33
Dommage que l’article ne donne pas d’indiquations sur le nom utilisé des prélèvements, on aurait pas savoir si on est concernés ou pas.
On a beau suivre sob compte on peut tres bien passé a côté
#34
Après avoir lu l’article je ne sais pas trop quoi penser, est-ce vraiment du pishing ?
d’un millier de clients qui font face à des fraudes dont les montants varient entre 1 500 et 10 000 euros tout de même.
Depuis quand exactement ? Et pourquoi uniquement le Crédit Mutuel Nord Europe et la Banque postale ?
Y-a-t-il beaucoup plus gens qui se font avoir avec le pishing ou y-a-til une recrudescence d’envoi de mail de pishing ? Je ne pense pas.
#35
#36
Comme quoi “un PC dans chaque foyer” n’est pas la meilleure idée du monde…
Tout le monde n’est pas prêt à avoir un PC, à comprendre comment il marche, et ce qu’il faut faire avec.
Les gens cliquent n’importe où, et tout est tellement simplifié maintenant (merci chrome entre autres) qu’ils ne savent plus ce que c’est qu’une URL puisqu’ils tapent leur recherche dans la barre d’adresse puis cliquent sur le premier lien qui passe…
Alors différencier une url moisie d’une officielle…
Il devrait y avoir un stage pour avoir la possibilité d’avoir un PC, limite !
Et ceux qui ratent le stage : une tablette bien bridée et hop !
#37
#38
#39
#40
#41
#42
#43
Dommage qu’on ai pas encore plus d’info sur le type de débit…
#44
Les prélèvements SEPA … j’utilise cela depuis 2010 en particulier avec l’étranger
" />
" />
" />
je suis encore vivant
ce qui change c’est que c’est devenu obligatoire
mais le coup de je cite : ‘une bombe ce truc” c’est vraiment n’importe quoi
PS ça ne change pas le fait que les banquiers étaient des truands avant et ils le resteront après OK ? Mais c’est pas le SEPA qui change grand chose.
EDIT: je viens de vérifier , j’ai même fait un virement SEPA en 2009
#45
#46
#47
J’ai un peu du mal à voir le rapport entre les plaintes et Hearthbleed qui ne reste une grosse supposition dans l’article tout en étant tout de même mis en avant…
C’est en effet possible que cela vienne d’Heartbleed. Mais cela peut venir de n’importe où. Il y a en effet une recrudescence de fraudes en ce moment. Ma femme en a été victime la semaine dernière (retrait au Laos avec soi-disant sa carte, elle est au Crédit Mutuel). Pareil pour trois autres connaissances la semaine dernière. Par contre, on peut clairement reprocher à la banque de n’avoir rien fait. Un achat physique en France, et un retrait au Laos dans la foulée, ça devrait déclencher l’algo de vérification le plus basique du monde…
#48
#49
#50
#51
Depuis la nuit des temps en France, une banque a l’obligation d’assurer les moyens de paiement qu’elle fournit contre toute utilsation frauduleuse (ce qui fait que quand une banque vend une e-carte bleue, ça revient à pigeonner le client en lui faisant payer un service de ‘protection de ses moyents de paiement’ en omettant bien de lui dire qu’elle a pourtant l’obligation légale de les assurer).
Reste le seul point qui pourrait être intéressant dans l’article: la réponse de la banque qui laisse entendre qu’elle aurait pu se dédouaner de cette obligation dans certains cas, après jugement. C’est ce point là qui aurait mérité un article. Typiquement si un cas de phising est considéré comme tel (ce qui me surprendrait beaucoup: de mémoire, la jurisprudence en la matière étant très largement en faveur du client, y compris des abrutis qui laissent leur code sur un post-it collé à la CB et qui se sont fait piquer le tout).
PS: Pour la petite histoire, le crédit mut’, la dernière fois qu’ils m’ont vu, c’est quand ils m’ont envoyé un courrier agressif pour me faire payer les aggios d’un découvert de 10 euros pendant deux jours sur un compte, en 5 ans chez eux. Tout ça parce que:
Un service client déplorable donc, le tout malgré des frais largement supérieurs à leurs concurrents. Ils n’auront plus jamais un centime de ma part.
#52
#53
#54
exemple de futur dialogue avec mon banquier : “on a viré votre argent sur le compte d’un margoulin ? C’est pas notre faute, il nous l’avait demandé.”
#55
#56
#57
si tu veux je peux te sponsoriser pour une GOLD Mastercard internationale gratuite avec tout gratuit
" />
#58
#59
On peut toujours gueuler pour un virement frauduleu, la Banque dira SEPA vrai ou SEPA faux ou SEPA possible…
" />
" />