Les risques financiers existent pour les propriétaires des comptes bancaires mais ils sont vraiment problématiques seulement en cas d'usurpation d'identité. Sinon, c'est le plus souvent pour la banque que ça pose problème... ce qui ne signifie pas qu'il faut les traiter avec légèreté.
En novembre, l’agence d’intérim Adecco était victime d’un piratage. Parmi les données fuitées, des séries d’information contenant noms, prénoms, adresses e-mails et coordonnées bancaires. Rapidement, des centaines d’intérimaires se sont vus prélever frauduleusement 49,85 euros sur leurs comptes bancaires.
Piratage Adecco : des données personnelles et bancaires (IBAN) dans la nature
Mais si c’est l’IBAN seul qui s’échappe dans la nature ? Ou les seules informations de la carte bancaire ? Quels sont les risques, exactement, que provoque une potentielle fuite d’informations bancaires ? Pour l’avocate Hélène Lebon, il faut bien voir que ce type de données est « mieux protégé, techniquement et légalement, que beaucoup d’autres. Elles sont mieux protégées que des données de santé par exemple ».
Par essence, les banques sont habituées à veiller sur des éléments sensibles : protéger les fonds de leurs clients est le cœur de leur activité. Le problème, continue l’avocate, est « qu’on ne s’en rend pas forcément compte, mais nos données bancaires se retrouvent dans énormément d’endroits. Dès que l’on accepte le prélèvement automatique pour des factures d’électricité ou de gaz, on leur soumet nos IBAN. On les envoie aussi à nos employeurs, à différentes entreprises et prestataires, aux impôts, à la CAF, etc… »
Or, il est impossible de s’assurer de la sécurité de tous ces interlocuteurs. Pour pallier cette fragilité, la loi se fait très protectrice de l’usager, indique Hélène Lebon. Le code monétaire et financier, par exemple, « laisse un très long délai au client pour contester un paiement à distance ». Selon l’article L133-4 du code en question, l’usager a treize mois pour signaler à son prestataire de paiement l’existence d’une opération non autorisée. Sauf suspicion de réclamation indue, celui-ci est alors sommé de rembourser le montant débité.
Des risques qui varient avec le type de données
Experte en cybersécurité et co-fondatrice des Arsouyes, Corinne Henin pointe que les implications varient selon le type de données qui se retrouve dans la nature. Avec un IBAN seul, par exemple, l’attaquant n’ira pas loin. Avec des données de carte bancaire sans code de sécurité, pareil, « mais même avec le code de sécurité, ce sera de plus en plus compliqué à exploiter vu que la sécurisation à double facteur s’est généralisée ».
Avec la directive européenne sur les services de paiement (DSP2), dont l'entrée en vigueur a été finalisée en 2019, l’Union européenne a en effet demandé aux banques et aux FinTech de sécuriser les paiements à distance avec une double authentification. « C’est le SMS ou la demande de vous connecter à votre espace client sur votre téléphone quand vous êtes sur votre ordinateur, ou encore le boîtier externe que vous pouvez utiliser si vous n’avez pas de téléphone », illustre-t-elle.
Si malgré tout, un assaillant parvient à récupérer suffisamment de vos données pour effectuer un virement ou un paiement qui l’arrange, alors oui, les risques les plus évidents sont la fraude et le vol. « Les premiers textes relatifs aux utilisations frauduleuses de moyens de paiement remontent au début des années 2000, explique Hélène Lebon, c’est très ancien et culturel. On voit bien quelques jurisprudences passer, pour lesquels les clients ont été vraiment trop négligents, et pour lesquels la banque n’a pas eu à payer, mais c’est vraiment l’exception ».
Les banques, vecteurs de sensibilisation à la cybersécurité
Aux lois françaises se sont ajoutées les obligations européennes, notamment sur les questions de cybersécurité. Les directives Network and Information Security (NIS puis NIS 2), par exemple, ont obligé les plus grandes banques (opérateurs d’importance vitale) puis un bien plus large nombre d’entreprises à s’équiper face à la menace cyber.
Le règlement DORA (Digital Operational Resilience Act), adopté le 28 novembre par le Conseil de l’Union européenne, sera aussi « important pour la sécurisation des données sensibles des internautes, dans la mesure où il concerne directement la résilience informatique des acteurs financiers ». Sur ses quatre piliers (p.12), l’un est spécifiquement dédié à la gestion du risque que posent les tiers. Son application est prévue pour le 17 janvier 2025 au plus tard.
Bref, continue l’avocate, « les textes sont faits de telle manière que c’est très généralement la banque qui subira le plus le poids de ce risque ». C’est la raison pour laquelle les établissements deviennent le principal vulgarisateur en matière de cybersécurité.
Ces messages qui vous alertent sur des tentatives de phishing ? Ces communications qui vous rappellent que jamais votre banque ne vous demandera vos identifiants de connexion ? Autant de tentatives de vous rendre alerte aux potentielles attaques. « C’est aussi à des fins de sécurité que certains établissements renvoient un mail signalant une connexion à l’espace personnel lorsque celle-ci est faite depuis un lieu inhabituel », illustre Corinne Henin.
L’usurpation d’identité, le problème le plus complexe à gérer pour un particulier
Le plus gros risque, celui avec lequel le particulier pourrait avoir de vraies difficultés, dépasse la question de la fuite des données bancaires : il s’agit de l’usurpation d’identité. Si l’assaillant a votre identité et votre adresse physique en plus de vos informations bancaires, alors il peut ouvrir des comptes auprès de services par abonnement, contracter des crédits auprès de services en ligne… « Et là, si les huissiers arrivent, ça peut devenir très dur », admet Hélène Lebon.
Dans certains cas, la victime de la fraude pourra « tenter de faire valoir que les paiements et les transactions effectuées concernent des zones géographiques différentes de son lieu de domicile », souligne Corine Hennin. Surtout, parmi les obligations des banques, il y a celle d’effectuer un certain nombre de vérifications sur l’identité de la personne, « ils sont équipés d’outils de repérage de la fraude documentaires, aussi » pointe Hélène Lebon.
Mais pour se prémunir d’une éventuelle usurpation, rien de mieux que de « mettre de la double authentification partout où c’est possible. Et de ne pas tomber dans les arnaques. » Car le dernier risque que pointe l’avocate n’est même plus du ressort des banques : il est de l’ordre de la manipulation de la personne elle-même.
« Dans les cas d’arnaque aux sentiments, les fraudeurs se débrouillent pour que la personne paie avec des cartes prépayées, achetées au bureau de tabac. » D’autres exemples consistent à vendre une prestation avec un faux contrat. La victime paie, de bonne foi, avec ses vraies informations bancaires, mais ne reçoit jamais le service ensuite. « Impossible de revenir en arrière, dans ces cas-là ».
De concert avec Corinne Hénin, elle recommande donc de sensibiliser, encore et toujours, aussi bien aux bases de la cybersécurité qu’aux formes que peut prend la délinquance numérique.
