Depuis quelques jours, l'Association Française des Usagers des Banques (AFUB) monte au créneau afin d'indiquer qu'elle a reçu pas loin de mille plaintes concernant deux sociétés : le Crédit Mutuel Nord Europe et la Banque postale. Les usagers font états de débits frauduleux qui oscillent généralement entre 1 500 et 10 000 euros.
Avec l'importance croissante de l'informatique et du numérique dans nos vies, la question de la sécurité prend de l'ampleur, surtout qu'elle est régulièrement mise à mal ces derniers temps. Il y a deux jours, eBay demandait ainsi à l'ensemble de ses utilisateurs de changer de mot suite à une cyberattaque, tout comme Orange qui a laissé filer des données personnelles par deux fois en quelques mois. Début avril, c'était tout simplement un raz de marée qui tombait sur internet avec la faille Heartbleed touchant OpenSSL. Comme nous l'avions alors évoqué, les banques n'étaient pas épargnées, loin de là.
Près de 1 000 plaintes remontées à l'AFUB, pour des sommes entre 1 500 et 10 000 €
Depuis quelques jours, l'AFUB monte au créneau, d'abord chez Le Parisien puis chez nos confrères de France info, afin de se faire l'écho d'un millier de clients qui font face à des fraudes dont les montants varient entre 1 500 et 10 000 euros tout de même. Deux établissements sont dans la ligne de mire de l'association : le Crédit Mutuel Nord Europe et la Banque postale.
Serge Maître, président de l'AFUB, ajoute qu'il est « alarmé par le fait que les banques concernées restent passives et n'entreprennent aucune mesure de prévention et de communication. Elles ont l'adresse email de tous leurs clients qui sont des internautes qui ont accès par internet aux comptes. Là on attendrait qu'elle lance un message en disant : attention nous sommes actuellement pillées ».
La non-communication des banques... comme pour l'affaire Heartbleed
On se retrouve donc dans la même situation que pour la faille Heartbleed qui a secoué internet début avril : les banques ne communiquent pas. Pour rappel, nous avions déjà souligné le cas particulier du Crédit Mutuel qui annonçait sur Twitter qu'elle n'était « pas concernée par cette faille de sécurité », ce qui était probablement valable pour la consultation des comptes en ligne, mais pas pour ses plateformes de paiement (voir cette actualité pour tous les détails).
La question mérite d'ailleurs d'être posée : les fraudes remontées par l'AFUB sont-elles liées d'une manière ou d'une autre à Heartbleed ? Impossible à dire en l'état actuel des choses. Nous avons tenté de contacter l'association afin d'avoir de plus amples informations, sans résultat pour le moment.
Les précisions du Crédit Mutuel Nord Europe
Mais suite à la publication de cette affaire dans Le Parisien, le Crédit Mutuel Nord Europe (CMNE) a publié un communiqué de presse, non pas pour alerter ses clients, mais pour « apporter les précisions suivantes » :
« Contrairement à ce que laisse penser l’article, le système informatique du Crédit Mutuel Nord Europe n’a fait l’objet d’aucun piratage. Cette information nuit gravement au CMNE, d’autant que ses systèmes de sécurité sont régulièrement renforcés. Le nombre de transactions frauduleuses au CMNE représente 0,002 % du nombre total des transactions.
Le cas cité dans l’article du Parisien fait un amalgame entre l’utilisation frauduleuse de cartes bancaires et le phishing. Il convient de rappeler que le phishing n’est pas la conséquence d’un détournement à l’insu du client, mais d’une communication de sa part des informations sécurisant le dispositif de banque à distance.
Des mises en garde contre le phishing sont présentes et constantes dans ses différentes communications.
Dès qu’il a connaissance d’une opération présumée frauduleuse, le CMNE bloque les moyens de paiement et respecte systématiquement la réglementation dans la recherche de responsabilité. Il rembourse les clients quand il n’y a pas eu négligence de leur part. A l’inverse, le client est amené à supporter le sinistre dès lors que sa négligence est reconnue, comme en attestent deux décisions de justice rendues récemment dans des cas similaires. »
La banque indique donc que l'on est ici face à des cas issus d'une campagne de phishing, une pratique qui consiste pour des pirates à monter de faux sites internet, qui ressemblent comme deux gouttes d'eau à l'original, en demandant aux utilisateurs de se connecter ou d'indiquer des coordonnées bancaires. Le but étant d'obtenir des identifiants et des mots de passe de clients qui se sont laissé berner. Il semblerait d'ailleurs que certains cherchent en ce moment à le faire en imitant les services des impôts :
@dgfip_officiel Attention: Mail de phishing reçu ce matin. Bon timing avec les déclarations d'#impots. #phishing pic.twitter.com/otwJhEbvXZ
— JeanMarc Hui Bon Hoa (@jeanmarchbh) 23 Mai 2014
Une pratique que l'on dénonce régulièrement et qui se nourrit allégrement des vagues de fuites de données personnelles afin de récupérer informations permettant de mettre les utilisateurs utilisateurs en confiance alors qu'ils se trouvent sur un site frauduleux.
Que faire en cas de problème ?
La question est maintenant de savoir ce qu'il faut faire en cas de problème. Serge Maître indique qu'« il faut de toute façon aller voir le responsable de la clientèle, c'est-à-dire le directeur de l'agence, et si cela ne marche pas : lettre recommandée avec accusé de réception ». Après il est également possible de passer par le médiateur de la banque et d'aller jusqu'au procès si besoin.
Il invoque au passage l'article L. 133-18 du code monétaire et financier qui précise qu'« en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ».
Quelles sont les conditions stipulées à l'article L. 133-24 ? « L'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit. » Dans tous les cas, n'hésitez pas à nous faire part de vos retours si vous êtes dans une des banques pointées du doigt par l'AFUB et que vous avez eu à faire à une utilisation frauduleuse.
