La Cour de cassation rappelle dans un arrêt du 3 octobre 2018 que le client d’une banque ne peut prétendre au remboursement d’achats frauduleux effectués sur Internet, consécutifs à un phishing. Encore faut-il que soit démontrée sa « négligence grave ».
La démocratisation de l’accès à Internet a entraîné dans son sillage une démultiplication des arnaques en ligne. L’une d’entre elles, le phishing, est bien connue : un internaute reçoit un courrier venant prétendument de sa banque ou d’une administration quelconque. Il est invité à divulguer ses données bancaires. S’il tombe dans le panneau, les conséquences peuvent alors être très douloureuses financièrement puisque le tiers pourra s’en servir pour commander biens et services.
Heureusement, les victimes ne sont pas démunies, puisque le droit bancaire prévoit des garanties, non sans négliger la part d’obligations pesant sur chaque détenteur de carte de paiement. Dans tous les cas, le remboursement n'est jamais un droit, mais dépend des circonstances.
Ce scénario s’est justement vérifié à l’occasion d’un arrêt devant la Cour de cassation. Un certain monsieur B., titulaire d’un compte auprès de la Caisse de Crédit Mutuel de Pernes-en-Artois, avait assigné sa banque, ainsi que la société Caisse fédérale du Crédit Mutuel Nord Europe pour obtenir remboursement de plusieurs achats frauduleux effectués par Internet. Des achats qu’il a toujours contesté avoir autorisés.
Le 18 mai 2017, la juridiction de proximité de Béthune lui avait donné gain de cause en condamnant solidairement les deux établissements. Le jugement avait écarté « toute négligence grave » de la part du client. On apprenait à cette occasion que celui-ci s’était fait piéger par un mail d’hameçonnage (ou « phishing ») pour fournir ses données bancaires à un tiers. Montant de la douloureuse : près de 1 600 euros.
Avant de rendre son jugement, le juge avait considéré que le service informatique du Crédit Mutuel nord Europe « pouvait vérifier l'origine géographique des adresses IP qui ont permis ces paiements frauduleux, ce qui aurait prouvé l'absence de responsabilité des achats frauduleux de Monsieur B. ». Et pour cause, celui-ci se trouvait au même moment en vacances dans les Vosges.
Un jugement retoqué en cassation faute de base légale
Mais la Cour de cassation a jugé l’argumentaire un peu trop léger, en témoigne cet arrêt rendu le 3 octobre, qu’on retrouve sur Doctrine.fr et signalé par le directeur des relations institutionnelles chez Google France, Benoit Tabaka.
La haute juridiction a considéré que le juge aurait dû rechercher « au regard des circonstances de l’espèce » si la communication des données bancaires dans ce courrier « ne résultait pas d’un manquement [du client], par négligence grave, à ses obligations ». Faute d’une telle vérification, le magistrat a privé sa décision de base légale et l’affaire devra être rejugée.
Ce n’est pas la première fois que la Cour de cassation se penche sur la question du phishing, sculptant, décision après décision, les droits et obligations des détenteurs de carte.
L’article L133-16 du Code monétaire et financier oblige en effet l'utilisateur d’un moyen de paiement à prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ». L’article L133-19 du même code ajoute que la responsabilité du titulaire de la carte « n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées » ou « de perte ou de vol d'un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ».
Des indices que les internautes normalement attentifs doivent détecter
Dans un important arrêt du 28 mars 2018, la même juridiction a considéré que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ».
En clair, un client qui fait face à un courrier imitant une communication de sa banque, mais comportant par exemple des fautes d'orthographe ou utilisant de multiples adresses d’expédition, manquera à ses obligations de sécurité s’il fournit ses données bancaires.
Cela ne signifie donc pas qu’une victime de phishing sera toujours perdante dans son bras de fer avec la banque. Par contre, les juges du fond devront toujours déterminer les circonstances qui ont amené le client à révéler ces précieuses informations.
La charge de la preuve pèse sur la banque
Enfin, dans un arrêt du 18 janvier 2017 , la cour a ajouté qu’il revient à la banque « de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement (…) n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ».
Et de préciser qu’une telle preuve « ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».
Les recommandations de l’UFC-Que Choisir
Comment se prémunir de ces arnaques ? De son côté, l’UFC-Que Choisir recommande de « ne jamais répondre à un courrier qui demande de transmettre vos informations personnelles (codes d’accès, coordonnées bancaires…) ».
En cas de doute, mieux vaut alors contacter l’organisme censé vous avoir envoyé la demande.
Commentaires (39)
#1
ah bah tiens pas plus tard que ce matin j’ai renvoyé un mail de mise en garde à mes utilisateurs, sur le phishing ^^ (version tl;dr : votre banque et vos assureurs vous connaissent mieux que vous-même)
#2
l’UFC-Que Choisir recommande de « ne jamais répondre à un courrier qui demande de transmettre vos informations personnelles (codes d’accès, coordonnées bancaires…) ».
Je ne réponds jamais à un courrier de ma banque, c’est plus sûr
#3
De toute façon, les courriers de ma banque, c’est au bureau de poste que je les ouvre.
" />
Que des A/R paske je suis négatif le 3 du mois.
#4
M’en fous, j’ai OpenOffice.
" />
#5
#6
pareil !
" />
s’ils veulent “me dire quoique-ce-soit”, il y-a l’Adresse Postale !
(avec LRAR, ce serait + sûr)
#7
En bref, si un jour vous pensez avoir été victime de phishing et que le mal est déjà fait (des transactions illégitimes ont été faites avant la mise en opposition de votre carte), fermez votre gueule et dîtes que votre carte a été piraté vous ne savez trop comment : vous serez remboursés !
#8
effectivement c’est plus sur.
Car pour les fautes d’orthographes, de nos jours les mails de phishing sont de mieux en mieux rédigés et j’ai pas l’impression que le niveau d’orthographe dans notre société progresse.
#9
Si on se basait sur l’orthographe pour détecter les phishings au Québec, il n’y aurait plus un seul email qui passerait
" />
#10
j’imagine bien lui renvoyer son mail de phishing avec les fautes soulignées en rouge et une note /20, ça lui fera les pieds
" />
#11
Boursorama a mis en place un système pas idiot : on définit un avatar dans son espace client, qui sera affiché sur le site à la connexion, et (j’ai pas vérifié) dans les e-mails qu’ils nous envoient. Etant les seuls à le connaître, s’il est absent c’est probablement un phishing hameçonnage.
#12
y-a autre système ……que je trouve pas-mal :
#13
#14
Surtout pas !!!
Pour les gens comme moi qui vivent à l’étranger ces banques sont un calvaire : mon cell est au Canada, pas en France, du coup les SMS, je peux toujours courir.
Mais on peut faire comme LaBanquePostale : l’appli sur cell qui est taguée est qui est nécessaire pour valider les transactions web. Mais oui, j’ai triché : au début pour pouvoir créer le compte etc…, j’ai mis un cell FR (ma famille) qui m’envoyait le code de validation au fur et à mesure de la procédure. Ensuite j’ai pu m’en passer. Reste que des fois, quand je paie par VISA, le système requiert un SecureCode envoyé par SMS et là je suis bai5é.
#15
Il y a une part des employés qui en a rien à battre (en fait qui aime se plaindre que rien ne fonctionne) et prend un malin plaisir à répondre à toutes les demandes les plus bidons en entreprise ; c’est tout juste s’ils ne fourniraient pas le carnet d’adresse eux-même au DarkWeb s’ils savaient comment faire.
#16
bonjour,
mon père a subi une arnaque à la CB pour ~2550€ via 2 achats en fraude sur CDis..t. Il n’avait jamais autorisé la double authentification imposée par ce site, labanquepostale refuse de rembourser car les codes envoyés sur son téléphone fixe auraient été utilisés. Or, il ne les a jamais reçus et n’avait pas de redirection d’appels. Malgré un dépôt de plainte en gendarmerie et un récépissé envoyé, LBP persiste. En l’absence d’enquête de police/commission rogatoire, impossible d’avoir la liste des appels entrants pour prouver que ceux de LBP n’y figurent pas; CDis..t refuse d’identifier les fraudeurs. On tourne en rond et mon père s’est suicidé depuis!
Si vous avez vécu une expérience similaire avec des pistes pour la résoudre, je suis preneur d’infos!
#17
C’est comme pour les cryptolocker, 99,99% du temps c’est un employé qui a ouvert une pièce-jointe d’un mail bidon. Chez un client la dernière fois, on a remonté jusqu’à l’utilisateur qui a ouvert le mail, mail qui ne ressemblait vraiment à rien, même un enfant aurait détecté la supercherie. Réponse de l’employé : c’est de votre faute, vous auriez dû le bloquer, moi si je reçois un mail sur ma boite pro alors je l’ouvre.
#18
#19
Et en plus je suppose que tu ne bosses pas dans un environnment bilingue. Ici, on reçoit des emails en FR ou en EN, du Canada ou des US, de gens qui n’écrivent pas habituellement en FR ou EN.
" />).
Donc c’est le festival de la faute d’orthographe, des expressions bancales,etc…
C’est très difficile de détecter le vrai du faux, tant le vrai est parfois pire que le faux (l’employé afghan débarqué y’a 3 mois qui écrit un email GoogleTradé en FR
#20
A BNP tu peut tout faire depuis l’appli mobile
#21
#22
Mouais… C’est bien plus intrusif. Et je doute que la banque t’appelle à 23h.
#23
#24
Très, très vilaine idée de se baser que sur le fait que c’est un courrier postal avec AR. Le phishing physique ça existe bien.
" />
Dépose une marque en France et tu verras, 3 jours après un courrier pour “protéger” ta marque dans le monde avec un RIB vers un compte dans un pays douteux
#25
Tu n’as pas obligatoirement un code, ma tante qui est à la banque postale n’a pas de code car pas de mobile.
Un exemple bien parlant et bien connu est Amazon qui s’en bat les couilles totalement et valide le paiement sans problème juste avec le numéro de CB.
Et la génération d’un code ne protège pas le client, mais le commerçant et la banque pour valider la transaction et éviter de devoir rembourser un client qui laisse balader des photos de sa CB n’importe où.
Donc ayant le cas chez moi, oui c’est totalement cohérent, bien que les banques fassent tout pour que tu l’utilises en essayant un peu de forcing.
#26
Après au Crédit Mutuel, ils sont plus violent.
Tu as pour une paiement CB le classique 3D Secure, avec SMS ou directement depuis l’application.
Et pour ajouter un bénéficiaire, tu as une carte de code PIN à valider.
Et si tu es peur d’être sur un site de phishing, tu as une extension qui te dis si tu es bien sur le bon site ou pas.
#27
#28
#29
Dans ma boite j’ai des clients qui m’appellent tout les jours pour du Phishing et clairement parfois t’as envie de t’arracher les cheveux tellement certains ne réfléchissent pas. J’ai carrément eu droit au « Oui bonjour, je n’ai aucun produit chez vous mais j’ai reçu un mail dans ma boite Spam m’indiquant que mon domaine allait être suppprimé si je ne payais pas 1 euro. J’ai rentré mon numéro de carte bancaire, j’ai reçu le SMS et c’était marqué 250 euros. J’ai pensé à un bug donc j’ai quand même rentré le code. Mais j’ai bien été prélevé de 250 euros. Vous pouvez me rembourser ? J’ai déjà contacté ma banque ils ne veulent pas ». A partir de là tu te dis que tu peux mettre toutes les contremesures que tu veux, si la personne en réfléchit pas deux secondes ….. et ce n’est pas un cas isolé, j’ai ce genre de cas 5 ou 6 fois par semaine facilement …
#30
#31
moi ma banque m’a carrément appelé le lendemain pour me dire que des tentatives d’achats frauduleux ce sont passé sur ma CB sur Cdiscount , mais rien n’a été prélevé.
et pour tpeg5stan .. quand la personne est dans le rouge et que 2500€ en moins creuse tes interdits bancaires tes crédits etc les gens le vivent pas forcément bien à la “carpediem”
#32
boh , c’est marqué 250€, c’est bien plus que les 3€ / an que je paie “ bof ça doit être un bug d’affichage et c’marqué 2,50€ allons valider ”
" />
#33
Quand tu reçois ce genre d’appel, tu fais la même grimace que ton avatar ?
#34
#35
#36
20⁄20 pour la blague
" />malheureusement ne serait que répondre prouve que l’adresse de courriel est légitime et donc l’individu malhonnête pourra la revendre plus chère dans la liste des adresses de courriels valide…
" />
#37
du coup : adaptation ! Tu réponds en disant être le fils d’un dignitaire d’un pays lointain (au hasard le Nigeria) ayant besoin de transférer une forte somme d’argent en passant par le compte de l’expéditeur moyennant un rondelette commission
" />
" /> )
(avec supplément de fautes d’orthographe pour dater un peu le truc
#38
#39
Et on parle de la sécurisation d’accès des banques ? Ma banque, le code super sécurisé pour se connecter sur le site et autoriser des virements (c’est le même), c’est un code de six chiffres. Soit un chance sur 1 million de le trouver au hasard (c’est mieux que le loto).
Et pour aller plus sécurisé, lors de la saisie il faut taper sur 3 de ces 6 chiffres, donc, avec réponse au hasard, une chance sur 1000 de réussir, comme tu as 5 essais, on arrive à 1⁄200 de rentrer. Je me sens vraiment sécurisé.
J’ai demandé si l’on pouvait mettre en place un mot de passe de longueur indéterminé et avec une double authentification mais il parait que ce n’est pas suffisamment sécurisé (sic).