Les risques financiers existent pour les propriétaires des comptes bancaires mais ils sont vraiment problématiques seulement en cas d'usurpation d'identité. Sinon, c'est le plus souvent pour la banque que ça pose problème... ce qui ne signifie pas qu'il faut les traiter avec légèreté.
En novembre, l’agence d’intérim Adecco était victime d’un piratage. Parmi les données fuitées, des séries d’information contenant noms, prénoms, adresses e-mails et coordonnées bancaires. Rapidement, des centaines d’intérimaires se sont vus prélever frauduleusement 49,85 euros sur leurs comptes bancaires.
Piratage Adecco : des données personnelles et bancaires (IBAN) dans la nature
Mais si c’est l’IBAN seul qui s’échappe dans la nature ? Ou les seules informations de la carte bancaire ? Quels sont les risques, exactement, que provoque une potentielle fuite d’informations bancaires ? Pour l’avocate Hélène Lebon, il faut bien voir que ce type de données est « mieux protégé, techniquement et légalement, que beaucoup d’autres. Elles sont mieux protégées que des données de santé par exemple ».
Par essence, les banques sont habituées à veiller sur des éléments sensibles : protéger les fonds de leurs clients est le cœur de leur activité. Le problème, continue l’avocate, est « qu’on ne s’en rend pas forcément compte, mais nos données bancaires se retrouvent dans énormément d’endroits. Dès que l’on accepte le prélèvement automatique pour des factures d’électricité ou de gaz, on leur soumet nos IBAN. On les envoie aussi à nos employeurs, à différentes entreprises et prestataires, aux impôts, à la CAF, etc… »
Or, il est impossible de s’assurer de la sécurité de tous ces interlocuteurs. Pour pallier cette fragilité, la loi se fait très protectrice de l’usager, indique Hélène Lebon. Le code monétaire et financier, par exemple, « laisse un très long délai au client pour contester un paiement à distance ». Selon l’article L133-4 du code en question, l’usager a treize mois pour signaler à son prestataire de paiement l’existence d’une opération non autorisée. Sauf suspicion de réclamation indue, celui-ci est alors sommé de rembourser le montant débité.
Des risques qui varient avec le type de données
Experte en cybersécurité et co-fondatrice des Arsouyes, Corinne Henin pointe que les implications varient selon le type de données qui se retrouve dans la nature. Avec un IBAN seul, par exemple, l’attaquant n’ira pas loin. Avec des données de carte bancaire sans code de sécurité, pareil, « mais même avec le code de sécurité, ce sera de plus en plus compliqué à exploiter vu que la sécurisation à double facteur s’est généralisée ».
Avec la directive européenne sur les services de paiement (DSP2), dont l'entrée en vigueur a été finalisée en 2019, l’Union européenne a en effet demandé aux banques et aux FinTech de sécuriser les paiements à distance avec une double authentification. « C’est le SMS ou la demande de vous connecter à votre espace client sur votre téléphone quand vous êtes sur votre ordinateur, ou encore le boîtier externe que vous pouvez utiliser si vous n’avez pas de téléphone », illustre-t-elle.
Si malgré tout, un assaillant parvient à récupérer suffisamment de vos données pour effectuer un virement ou un paiement qui l’arrange, alors oui, les risques les plus évidents sont la fraude et le vol. « Les premiers textes relatifs aux utilisations frauduleuses de moyens de paiement remontent au début des années 2000, explique Hélène Lebon, c’est très ancien et culturel. On voit bien quelques jurisprudences passer, pour lesquels les clients ont été vraiment trop négligents, et pour lesquels la banque n’a pas eu à payer, mais c’est vraiment l’exception ».
Les banques, vecteurs de sensibilisation à la cybersécurité
Aux lois françaises se sont ajoutées les obligations européennes, notamment sur les questions de cybersécurité. Les directives Network and Information Security (NIS puis NIS 2), par exemple, ont obligé les plus grandes banques (opérateurs d’importance vitale) puis un bien plus large nombre d’entreprises à s’équiper face à la menace cyber.
Le règlement DORA (Digital Operational Resilience Act), adopté le 28 novembre par le Conseil de l’Union européenne, sera aussi « important pour la sécurisation des données sensibles des internautes, dans la mesure où il concerne directement la résilience informatique des acteurs financiers ». Sur ses quatre piliers (p.12), l’un est spécifiquement dédié à la gestion du risque que posent les tiers. Son application est prévue pour le 17 janvier 2025 au plus tard.
Bref, continue l’avocate, « les textes sont faits de telle manière que c’est très généralement la banque qui subira le plus le poids de ce risque ». C’est la raison pour laquelle les établissements deviennent le principal vulgarisateur en matière de cybersécurité.
Ces messages qui vous alertent sur des tentatives de phishing ? Ces communications qui vous rappellent que jamais votre banque ne vous demandera vos identifiants de connexion ? Autant de tentatives de vous rendre alerte aux potentielles attaques. « C’est aussi à des fins de sécurité que certains établissements renvoient un mail signalant une connexion à l’espace personnel lorsque celle-ci est faite depuis un lieu inhabituel », illustre Corinne Henin.
L’usurpation d’identité, le problème le plus complexe à gérer pour un particulier
Le plus gros risque, celui avec lequel le particulier pourrait avoir de vraies difficultés, dépasse la question de la fuite des données bancaires : il s’agit de l’usurpation d’identité. Si l’assaillant a votre identité et votre adresse physique en plus de vos informations bancaires, alors il peut ouvrir des comptes auprès de services par abonnement, contracter des crédits auprès de services en ligne… « Et là, si les huissiers arrivent, ça peut devenir très dur », admet Hélène Lebon.
Dans certains cas, la victime de la fraude pourra « tenter de faire valoir que les paiements et les transactions effectuées concernent des zones géographiques différentes de son lieu de domicile », souligne Corine Hennin. Surtout, parmi les obligations des banques, il y a celle d’effectuer un certain nombre de vérifications sur l’identité de la personne, « ils sont équipés d’outils de repérage de la fraude documentaires, aussi » pointe Hélène Lebon.
Mais pour se prémunir d’une éventuelle usurpation, rien de mieux que de « mettre de la double authentification partout où c’est possible. Et de ne pas tomber dans les arnaques. » Car le dernier risque que pointe l’avocate n’est même plus du ressort des banques : il est de l’ordre de la manipulation de la personne elle-même.
« Dans les cas d’arnaque aux sentiments, les fraudeurs se débrouillent pour que la personne paie avec des cartes prépayées, achetées au bureau de tabac. » D’autres exemples consistent à vendre une prestation avec un faux contrat. La victime paie, de bonne foi, avec ses vraies informations bancaires, mais ne reçoit jamais le service ensuite. « Impossible de revenir en arrière, dans ces cas-là ».
De concert avec Corinne Hénin, elle recommande donc de sensibiliser, encore et toujours, aussi bien aux bases de la cybersécurité qu’aux formes que peut prend la délinquance numérique.
Commentaires (28)
#1
Merci pour cette synthèse reprenant des éléments réglementaires actuels, sur un sujet d’actualité…
#2
Pour avoir été victime d’une usurpation d’identité suite à la communication d’un dossier pour une location d’appartement, ils ont été jusqu’à aller dans ma ville d’origine pour essayer d’acheter des voitures. Bien sûr, à posteriori, il était évident que l’appartement était faux. Mais parfois, la raison est défaillante :/
Je suis toujours étonné de ne jamais entendre parler des risques sur la communication d’un dossier de location alors qu’il y a absolument tout ce qu’il faut pour faire une usurpation d’identité et des arnaques aux banques. Dans mon cas, on m’a reproché plus de 120000€. Heureusement qu’un vendeur de voiture avait gardé une photocopie de la fausse carte d’identité où ma tête avait été changée sinon j’aurai eu bien des problèmes…
Ça ne m’a valu que d’être fiché à la banque de France pendant 5 ans comme “usurpation d’identité” et d’avoir des difficultés pour obtenir un crédit (être fiché, peu importe la raison, équivaut à avoir la plus mauvaise note à son dossier de crédit)
#3
A chaque fois que je partage une copie de ma carte d’identité/passeports j’écris de maniere manuscrite au milieu de cette copie la date et le destinataire. Ça me permet de repérer les fuites, ou de décourager un peu les usurpations 😬
Et pour le moment je n’ai pas eu de refus de la parts des banques/agence location et autres contrats.
#4
#5
C’est aussi ce que je fais. Je rajoute aussi une date de validité.
Non seulement, cela permet de repérer la source d’une fuite, mais en plus, cela permet d’engager la responsabilité de celui qui accepte la pièce. Si j’ai SOFINCO qui accepte une pièce d’identité marquée pour usage exclusif de SFR et “périmée” depuis 2 ans, perso, je n’hésiterai pas à attaquer le conseiller pour faute professionnelle lourde
#6
Juste pour info, le sms n’est plus, seul, un moyen de double authentification pour les banques
sinon, l’ingénierie sociale est très à la mode depuis quelques temps, et beaucoup de monde se fait avoir et valide la double authentification sans se poser trop de question.
Là les banques elles ont logiquement plus de mal à rembourser les fraudes, puisque le client n’a pas été vigilant comme il aurait dû.
#6.1
le SMS c’est un nombre a re-rentrer dans l’appli.
Je vois pas comment tu peux valider un sms.
#6.2
Le sms peut être détourné depuis des années, la ressaisie de ce code n’est donc plus considérée comme fiable utilisée seule pour une opération bancaire. Un facteur supplémentaire connu « uniquement » du titulaire du compte est demandé.
#7
À quand un article sur les obligations légales de double authentification pour le secteur banquaire?
J’ai parfois l’impression que les banques ne proposent qu’une seule solution alors que la directive européenne est plus permissive.
#8
Ah je n’avais jamais pensé à ça, bonne idée aussi (+ la date de fin proposée par fdorin).
Pour ma part je ne transfère ces documents que via partage temporaire sur mon kDrive avec mot de passe envoyé par un autre moyen de communication mais effectivement on est pas à l’abris d’une usurpation du document.
Après par simplicité j’ai une copie de ces documents qui réside dans un container chiffré, il faudrait que je vois pour générer automatiquement dessus un watermark de ce type.
#9
Hélas, des pièces d’identité ainsi modifiées m’ont déjà valu deux rejets d’ouverture de compte. Finalement, pour N26 c’est passé avec une copie non modifiée, mais Qonto a demandé que je renvoie par MAIL ma photo de carte d’identité, il ne semblait pas (il y a 6 mois) qu’on puisse le faire par le site web ?!
#9.1
C’était quoi les raisons du refus?
Ils doivent juste vérifier la validité, charge à toi de ne pas écrire sur les chiffres en bas.
#10
ça passe pas le robot de vérification
j’ai eu le soucis pour une assurance vie. J’ai expliqué et ça a été validé à la main.
Au final ça a juste pris plus de temps
#11
“Les banques, vecteurs de sensibilisation à la cybersécurité”
Lol. Ma banque doit pas être au courant.
Avec le site qui n’a pas A+ sur https://observatory.mozilla.org et le banquier qui a des post-it avec mdp collés à l’écran qu’il tourne vers moi (écran sur lequel je constate que son outil de gestion via navigateur web n’est pas en HTTPS)…
L’éternel clavier virtuel aussi, qui favorise le shoulder surfing.
#11.1
Change de banque dans ce cas. Perso j’ai pas constaté ces manquements dans la mienne.
#12
Pourquoi utilisez-vous le terme anglais “phishing” quand il existe des synonymes en français : hameçonnage notamment.
#13
Super idée, merci !
#14
Pourquoi utilises-tu les commentaires, alors qu’il y a un bouton “signaler une erreur” sous chaque article?
#15
J’ai mis une “water mark” sur ma CNI transmise au Bon Coin, refusée ! J’ai fini par y arriver en mettant une toute petite marque sur la minuscule marge du document…
#16
Watermark depuis quelques années avec date transmission et nom destinataire.
J’ai un dossier ou je garde tout les fichiers et tentatives échouées avec codification date_destinataire, j’ai aussi un mémo de là ou j’ai présenté ma CNI et que j’ai vu un scan.
A chaque fois j’essaie le caviardage méchant tout pixelisé, ça n’a pas marché chez leboncoin, du coup j’ai laissé tombé, pas plus confiance en leboncoin que ça
Pour ouverture de compte banque en ligne le premier caviardage n’est pas passé, je voulais ouvrir compte donc pas de caviardage mais image de 328x234 pixels, c’est passé.
edit: avec watermark naturellement
#17
pas con l’usage d’un wattermark sur une copie de la cni, bon y a une IA qui capable de retirer des watermark maintenant.
Concernant les banque et les rib il faudrait de gros changement, car actuellement c’est facile récupérer un rib et faire un prélèvement indue, et l’autorisation de prélèvement est un gros lol
vu que j’ai déjà envoyer un rib sans ce papier, en plus c’est tellement facile de d’en faire un faux
Par exemple les faire à usage unique et pour un seule type de prélèvement/virement, en gros quand genre ce rib est édité avec un code, celui qui va prélever ou virer sur un compte devra l’ajouté en plus.
Cela sécurise le rib, en cas de vole du document, sans code valide impossible d’en rentré de le validé le soucis c’est qu’il faudrait que toutes les banques travail main dans la main il faudrait une obligation de l’état ou voir au niveau européen.
on peut aussi imaginer une alerte “Société/Patronyme machin a utilise votre iban pour la 1er fois pour un montant de xx€ avec une validation oui/non/suspicion de fraude.
#17.1
Pour les prélèvements, tu peux mettre en place une liste blanche et demander l’identifiant de créancier SEPA (ICS) à toutes personne qui veut te prélever.
Ce n’est pas mis en avant par les banques, mais je crois que c’est obligation européenne de le proposer.
Si l’ICS n’est pas dans la liste: pas de prélèvements.
J’ai changée de banques pour avoir ça.
Après cela ne règle pas le problème des malfrats qui arrive à changer ton RIB, le remplacer par le leur pour récupérer tes aides sociales et compagnies.
#17.2
https://www.quechoisir.org/lettre-type-prelevement-sepa-mise-en-place-d-une-liste-blanche-n1037/
#18
#19
Mon problème avec le Bon Coin, c’est que j’avais deux transactions en cours et ils en ont profité pour bloquer les fonds. Impossible d’être payé sans transmettre une CNI.
#19.1
J’ai plus ou moins eu la même fourberie, avant l’envoi en tant que vendeur, du coup chèque/virement. A côté de ça je ne comprends vraiment pas ceux qui veulent utiliser paypal en tant que vendeurs ; Paypal se rangera toujours du côté des acheteurs.
les banques en ligne permettent pas mal d’alertes, mais typiquement le genre de chose qu’on découvre une fois le pied dedans, jamais avant.
A côté de ça ajouter un destinataire, et faire un virement en moins de 30min c’est dangereux mais ça sauve la mise.
#20
Merci pour l’info, je connaissais les listes de bénéficiaires des UI des banques mais pas le ICS.
D’ailleurs les changements de RIB par des malfrats, si c’est comme le détournement de courrier à part une gestion régulière je ne vois pas comment faire.
#20.1
Normalement la CAF & Co doivent contrôler l’identité du bénéficiaire lors du changement du RIB. Ils ont outils pour ça (je crois en lien avec la banque de France)
Dans les faits, ces organismes ne le font pas toujours :-/