Phishing : négligent, un client d’une banque doit assumer les prélèvements frauduleux

Phishing : négligent, un client d’une banque doit assumer les prélèvements frauduleux

Vous allez me le payer

Avatar de l'auteur
Marc Rees

Publié dans

Droit

20/04/2018 4 minutes
108

Phishing : négligent, un client d’une banque doit assumer les prélèvements frauduleux

En appel, une banque a été tenue d'assumer un prélèvement frauduleux de plus de 7 000 euros suite à une vague d’hameçonnage visant un client. La Cour de cassation a invalidé la décision, précisant les obligations de vigilance pesant sur la victime. 

Le phishing est une bête noire dans le secteur bancaire. Pour le client, qui peut si facilement tomber dans le piège d’un email frauduleux imitant une communication officielle. Pour l’établissement, qui sait que le Code monétaire et financier est intraitable. Il exige en particulier la démonstration d’une faute grave de la victime. À défaut ? C’est à lui d’en assumer les frais.

7 000 euros prélevés chez un client non avisé

Une affaire opposait un client du Crédit Mutuel (M.X). Il s’était fait ponctionner plus de 7 000 euros suite à une vague d’hameçonnage en 2012. Il avait reçu plusieurs mails prétendument de sa banque, accompagnés d'un « certificat de sécurité à remplir attentivement », ce qu’il a fait.

Il a même été jusqu’à demander à sa banque « la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux ». De ce fait, le fraudeur avait pu récupérer l'ensemble des données personnelles qui lui ont permis de profiter du système de paiement 3D Secure.

Le 19 avril 2016 cependant, la Cour d’appel d’Amiens a considéré que la banque devait rembourser ces prélèvements frauduleux. En effet, « seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d'orthographe du message » étaient de nature à interpeller le client. Or, un tel examen a été jugé inaccessible par un client non avisé.

C’est d’autant plus vrai que M. X. ne se connectait presque jamais à sa banque et ignorait ses différentes alertes de phishing. Les juges d’appel en ont ainsi déduit que « c'est à son insu que [le client] a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte ». Mieux : cette transmission n’est en rien constitutive d’une faute grave, car un client « normalement » attentif pouvait ne pas percevoir « les indices propres à faire douter de la provenance des messages reçus ».

Des indices dans les yeux de l’utilisateur normalement attentif

Dans un arrêt du 28 mars 2018, signalé par Legalis.net, la Cour de cassation n’a pas eu la même analyse. Saisie par la banque, elle pose que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ».

Dit autrement, un mail de phishing qui contient des traces suspicieuses d’une arnaque (par exemple une URL mal formée ou des fautes), doit immédiatement phosphorer chez le client normalement attentif, quand bien même celui-ci n’a pas été alerté des risques de mails frauduleux. Cette obligation est la conséquence de son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, prévue par les articles L. 133-16 et L. 133-17 du code monétaire et financier.

Le 18 janvier 2017, la Cour de cassation avait également rappelé qu’il revient au prestataire « de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ».

Et « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». En particulier, une banque ne pouvait invoquer l’hypothèse d’un phishing pour se dédouaner, elle devait en apporter la démonstration. 

108

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

7 000 euros prélevés chez un client non avisé

Des indices dans les yeux de l’utilisateur normalement attentif

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (108)


C’est une bonne chose.

Il n’est pas correct que la justice considère normal que les gens soient cons.








wpayen a écrit :



Il n’est pas correct que la justice considère normal que les gens soient cons.





Sauf qu’il y a des “vrai” organismes qui envoient des emails plein de fautes et avec des adresses à la c… cela devient de plus en plus difficile de démêler le vrai du faux…



Par défaut, ne jamais cliquer sur un lien provenant d’un mail. Se rendre soi-même sur le site idoine.

 


Le Crédit Mutuel Nord Europe, La Banque Postale , avec leurs mots de passe à 6 chiffres et régulièrement dénoncés par l’AFUB (Association française des usagers des banques)


Ouais enfin la…

Donner ton login et mot de passe de ton compte en ligne.

Donner tout les numéros de ta carte de clefs personnelle.



Y’a un moment quand un mec dans la rue se fais passer pour un conseiller de ta banque et te demande ta carte bancaire et ton code associé et que tu lui donnes faut pas se plaindre.








bilbonsacquet a écrit :



Sauf qu’il y a des “vrai” organismes qui envoient des emails plein de fautes et avec des adresses à la c… cela devient de plus en plus difficile de démêler le vrai du faux…





Solution? Ne pas répondre.

Ca m’est déjà arrivé et j’ai pris en malin plaisir à expliquer qu’il fallait bosser sérieusement. Ca peut même devenir un argument de mauvaise foi.



Ben par défaut ne jamais prendre un mail de la banque au sérieux (surtout avec un lien), s’ils veulent vraiment te contacter, ils te téléphoneront.


surtout en général tu as une messagerie sur le site de la banque.

du coup la banque ne te contacte jamais par mail (à part pour du marketing éventuellement).

je ne reçois aucun mail non sollicité de ma banque.


oui c’est pour ça que la plupart des banques ont des messageries internes


Pour le hameçonnage, je suis plutôt pour mettre la faute sur le client. Il n’est pas compliqué d’avoir à l’esprit que :




  1. les banques communiquent régulièrement sur les mails frauduleux

  2. elles répètent sans arrêt que JAMAIS elles ne demanderont d’infos personnelles ou sur le compte par simple mail

  3. si le client clique partout, la banque n’y est pour rien

  4. si le mail contient trop de fautes, des soucis d’affichage ou que la boîte mail la classe comme indésirable, c’est qu’il y a (souvent) une raison

  5. si le lien a une forme bizarre, faut se méfier

  6. un coup de fil à la banque pour demander confirmation, ou de l’aide à un proche qui s’y connaît en ca de doute, c’est pas dur.



    Certains diront “c’est trop de trucs à retenir”, je répondrai sincèrement “pas la faute de la banque si vous êtes idiots” pour rester poli. Je ne vois honnêtement pas pourquoi la banque devrait casquer pour la connerie des gens.








Radithor a écrit :



Le Crédit Mutuel Nord Europe, La Banque Postale , avec leurs mots de passe à 6 chiffres et régulièrement dénoncés par l’AFUB (Association française des usagers des banques)



Le CMB (bretagne) n’accepte toujours pas les accents et les symboles, entre autres (comme laposte.net aussi tiens), avec un longueur entre tant et tant de caractères…



Je suis à la banque postale et je n’ai pas l’impression que ce soit un problème.

Difficile de faire du brute force quand l’interface change à chaque saisie


La bonne blague.



BNP envoie des e-mails à ses clients, qui viennent du domaine @cifa02k.espmp-aufr.net.

Quand je l’ai reçu j’ai de suite pensé à un phising, sauf qu’il n’y avait que du texte d’information, aucun lien ni demande de connexion.

J’ai donc demandé confirmation à ma banque, qui m’a confirmé que ce message venait bien de ses services.



Comment un client peu avisé peut-il faire la différence entre un vrai phising et ce genre de messages ?


En faisant ce que tu as fait : ça te semble étrange ? Tu appelles la banque directement pour une confirmation.


La caisse du Crédit Mutuel de Beauvais a redoré le blason du Crédit Mutuel Nord Europe, j’espère qu’il y a eu une réception en l’honneur de cette victoire juridique inespérée.&nbsp;<img data-src=" />


J’vois pas en quoi ça devient difficile, on rabâche suffisamment de ne pas cliquer sur les liens d’un mail. Tu saisies l’URL de ta banque dans ton navigateur, tu utilises pas celle du mail.


Chacun voit son bonheur là où il le trouve. Je suis également client de La Banque Postale, ancien client de Monabanq (groupe Crédit Mutuel-CIC - siège social Villeneuve d’Asq - RCS Lille). Et ça n’empêche que la politique de gestion des fraudes à La Banque Postale est ubuesque au regard de ce que publie l’AFUB dans la presse et les médias depuis plusieurs années.


J’ai eu la réponse à ma demande sur Twitter, au bout de 4 jours, donc il y a sûrement eu des recherches derrière, de personnes dont le boulot est de faire ces recherches pour répondre aux tweets. Ton conseiller, voire l’hôte(sse) d’accueil, n’est guère informé des campagnes d’e-mail de ce genre, etje ne pense pas qu’il ait les moyens et le temps de faire ces recherches, ils sont là pour accueillir et gérer les opérations courantes.


Je suis désolé mais je vous trouve très virulent dans vos propos comme d’autres ici.



Connait-on le profil du client de la banque ? Je connais des gens, surtout parmi les personnes âgées qui n’y connaissent pas grand chose à l’informatique et aux TIC et qui essaient de s’y mettre… sans forcément en avoir les compétences.



Et je trouve ce jugement dangereux personnellement. Ca ouvre la brèche à reporter la responsabilité sur le client qui 1) s’est fait avoir par le phishing 2) a perdu de l’argent 3) se fait condamner. Et 7000 euros pour la banque, c’est un goutte d’eau dans un océan…



Ce genre de jurisprudence&nbsp;devrait révolter pour ma part…


Je m’interroge un peu sur la validité de l’argument des fautes d’orthographe… car, quand je vois certains mails passer au boulot, y compris provenant de personnes plus âgées que moi et parfois même occupant des postes à responsabilités, je ne suis pas convaincu que le Français “moyen” ait un bon niveau en la matière ;(


Cette décision du CC est d’autant plus bizarre que si on se fait retirer de l’argent (par exemple si on laisse le numéro de la CB visible), on est immédiatement remboursé, donc il y a une sorte d’assurance pour ça, qu’on paye d’une façon ou d’une autre. C’est la même négligence de de cliquer sur un phising. Alors pourquoi le traitement est-il différent entre une négligence numérique&nbsp; et une négligence physique ?


Ne suggère pas ça malheureux, ce serait la mort du social engineering si les gens faisaient les vérifications d’usages au lieu de donner docilement toute leur information.



Tu veux mettre les malfrats sur la paille ou quoi ? <img data-src=" />


Si la personne, même âgée, clique n’importe où sans se renseigner un minimum, je ne vois pas en quoi ce serait la faute de la banque.

De plus, les arguments du coup de téléphone à la banque ou des messages qui disent qu’il ne faut jamais donner ses identifiants à personne et que la banque ne les demandera jamais, ce sont aussi des messages qui s’affichent sur le site ou envoyés par mail parfois. Si les gens ne lisent que ce qu’ils veulent, ce n’est, encore une fois, pas la faute de la banque.



Donc je maintiens mon point de vue : si l’utilisateur clique n’importe où et file ses données à n’importe qui, c’est de sa faute uniquement. Tu donnerais ta CB à quelqu’un au hasard dans la rue qui te dit “hé, je bosse à ta banque et j’en ai besoin” ? Alors pourquoi le faire sur internet ? Si le seul moyen pour certains d’apprendre, c’est de se faire avoir, tant pis. Mais encore une fois, je ne vois pas pourquoi la banque devrait trinquer.



Si sa CB avait été perdue ou volée, d’accord. Si la CB avait fuité d’un site, OK. Si l’utilisateur est assez bête pour le filer à n’importe qui, pas OK.


Oui je sais, je ne pense pas assez aux petits artisans, désolé&nbsp;<img data-src=" />


Raison simple le cas de l’article, il a donné volontairement les informations jusqu’à commander une carte de clefs pour le 3D Secure.



Alors que la CB, les infos sont sur le bout de plastique que tu peux perdre. Donc tu as pas besoin de soutirer les infos.


Le téléphone est encore moins bien sécurisé que l’email : le numéro qui s’affiche peut être modifié sans que le destinataire ne puisse le vérifier spontanément.



Les banques et autres organismes officiels ont une sale manie d’envoyer des emails depuis une autre adresse que celle du site web, parfois, au point d’utiliser un domaine dont on n’entend jamais parler par ailleurs, le tout avec des erreurs d’encodage à n’en pas finir, et qui sont pourtant légitimes.



Je suis suspicieux par défaut, que ce soit au niveau des emails, des coups de fils ou des courriers postaux, mais ce n’est pas le cas de la plupart des gens : par défaut, on fait spontanément confiance.








Tandhruil a écrit :



Je suis à la banque postale et je n’ai pas l’impression que ce soit un problème.

Difficile de faire du brute force quand l’interface change à chaque saisie





Parlons-en de l’interface de merde qui t’empêche d’utiliser un gestionnaire de mdp <img data-src=" />







Kurton a écrit :



Je

connais des gens, surtout parmi les personnes âgées qui n’y connaissent

pas grand chose à l’informatique et aux TIC et qui essaient de s’y

mettre… sans forcément en avoir les compétences.





Et pire, sans forcément avoir les bons conseils…



Encore une fois, on ne sait pas qui est le client et quelles sont ses connaissances/compétences. S’il pense qu’il a reçu un email de sa banque et qu’il doit urgemment renseigner des informations pour des raisons de sécurité, je trouve que ça peut se comprendre. La première technique du phishing est de présenter un contenu anxiogène à sa cible : lui faire peur, pour qu’elle réagisse de façon viscérale.&nbsp;



Et ton exemple de la CB est fallacieux. Ce n’est pas un email de quelqu’un au hasard que le client a reçu, c’est supposément un email de sa banque.



Tout le monde n’est pas à notre niveau de connaissances et de compréhension des risques informatiques. A tout hasard, je me demande quel est le niveau de sensibilisation de la population française par rapport au phishing.&nbsp;



Bref, je ne demande juste qu’un peu de recul et de tolérance vis à vis d’une personne potentiellement victime et ignare en la matière (mais être ignare en matière de sécurité informatique n’est pas un crime…. quoi que avec Hadopi..)



<img data-src=" />


Tout ça va pousser les banques (ou au moins certaines) à mettre en place des solutions d’authentification forte, où le client ne peut pas tout donner à un éventuel phisher.



mais ce cas reste extrème: le gars a effectué des démarches actives auprès de la banque pour donner des infos au phisher. Du coup je ne pense pas que ça modifie beaucoup la jurisprudence actuelle.



edit: j’ajoute que si les banques et les clients avaient des solutions de mail sécurisé (chiffrement, signatures), tout ça n’existerait pas.


Comme dit dans ton message : juste du texte informatif, aucun lien ni demande de connexion à quoi que ce soit. Et je suppose qu’il ne devait pas y avoir trop de fautes d’orthographe dans l’email reçu non plus - bien qu’un jour les gens derrière les campagnes de phishing se mettront à être un peu moins cons et à comprendre que ce point est la première chose qui met la puce à l’oreille en cas de tentative <img data-src=" />


Tu fais n’importe quelle commande en VPC, on te demande ton numéro de CB, tu le donnes. C’est un moyen de paiement autorisé. Si le vendeur est un escroc, il se garde le numéro sous le coude, et te fraude avec : l’assurance te remboursement les sommes indûment débitées. Pourtant c’est bien toi qui est à l’origine de la fuite, tu donnes l’info volontairement.



Pour la commande la carte 3D secure, la banque aurait pu vérifier de quelle demande il s’agissait, et lui répondre qu’elle n’avait pas envoyé d’e-mail lui demandant cette information. Le client est réputé moins averti face à un professionnel.


Comme souvent, le problème c’est l’interface chaise-clavier. Quand mon assureur m’a demandé une copie de ma carte grise par mail, je me suis connecté directement et leur ai demandé confirmation via l’interface.

Le soucis, c’est nos parents / petits vieux : même avec un bac+8 c’est capable de vouloir racheter un ordinateur parce que “la licence antivirus a expiré” ou “y’a plus d’espace pour Windows Update” (oui oui…). Autant vous dire qu’un sacré paquet de gens malhonnêtes vont en profiter.


Exactement : le jour où les phisings n’auront plus de phôtte, on fera quoi ? On dira au client “c’est votre faute, il fallait faire un ping sur le domaine de l’e-mail, pour vérifier que l’IP est bien en France et correspond à celle de la banque” ?



&nbsp;Et même si dans mon cas j’avais moins de risque puisqu’il n’y avait pas de lien, ça pouvait très bien être du phising, pourquoi ne pas “apprivoiser” le client avec des e-mails non sensibles, pour l’habituer, et lui proposer un lien un peu plus tard, quand son regard se sera habitué à ce contexte ?








anagrys a écrit :



Comme dit dans ton message : juste du texte informatif, aucun lien ni demande de connexion à quoi que ce soit. Et je suppose qu’il ne devait pas y avoir trop de fautes d’orthographe dans l’email reçu non plus - bien qu’un jour les gens derrière les campagnes de phishing se mettront à être un peu moins cons et à comprendre que ce point est la première chose qui met la puce à l’oreille en cas de tentative <img data-src=" />





C’est un premier filtre de sélection : ceux qui commencent à mordre à l’hameçon du mai ldégueu ont plus de chance d’aller jusqu’au bout et de cracher les biffetons.

Le pirate n’a pas de temps à perdre avec les gens trop malins qui vont lâcher l’affaire dès que l’arnaque se précise.

&nbsp;









Haken Trigger a écrit :



Si la personne, même âgée, clique n’importe où sans se renseigner un minimum, je ne vois pas en quoi ce serait la faute de la banque.





Sur le fond tu as raison, mais ici on voit ça à travers le prisme de personnes maitrisant le net et ses subtilités. Dans mon entourage j’ai une palanquée de personnes loin d’être bêtes mais qui ne sont simplement pas au courant des pièges qu’ils peuvent rencontrer. Bon comme la plupart sont méfiants, ils ont la présence d’esprit d’aller demander de l’aide dès qu’il y a un truc qui leur parait louche.

Pour ceux qui n’ont personne pour les aider à disposition, c’est pas évident.



Alors déjà, c’est quoi VPC ? Et ça ne change rien, la carte ça reste un bout de plastique avec les données “publique” dessus, dans le cas de l’article, le mec à donné des infos “privés” qui ne sont pas inscrit quelques part (normalement). Pour ça qu’ils se posent rarement des questions (sauf gros montant) quand la fuite vient de la carte (payement par internet ou autre).



Alors que là déjà de un 7 000 € ils font une analyse, et de deux il y’a l’action volontaire de donner des informations confidentiels concernant son compte. Le CréditMut’ à justement une carte de clef pour limiter les fraudes et ça choisi aléatoirement un des codes Pin sur la carte (genre emplacement B3), là le mec à tout donné.



Et la commande de la carte 3D secure tu cliques sur un bouton sur le site et le courrier part hein, ça va pas plus loin pour la commande (donc là il pourrait y avoir un axe d’amélioration <img data-src=" /> )


Ouai alors hors-sujet, mais c’est quoi cette putain de mode de merde de ne plus avoir de formulaire avec login et password sur la même page ? Amazon, Google, Microsoft etc.



Tu dois valider le login et ENSUITE ça switch sur le mot de pass, impossible d’utiliser l’auto-remplissage avec mon Keepass ….


wow c’est vendredi ici:

login + TAB + password.

et tadaa! ton keepass il remplit les champs c’était magique! <img data-src=" />


Travaillant dans une banque je suis un peu mitigé sur cette news.



D’un côté, oui, on a un devoir de sécuriser les opérations de nos clients, de l’autre c’est parfois exaspérant de voir des clients a priori intelligents, gérant de grosses sommes, se faire avoir aussi facilement.

Et bien sur, si tu sécurises trop (certificats matériels, blocage de manipulations suspectes…), ça gueule très vite qu’on empêche le client de bosser.



Après, j’ai déjà eu des exemples où les conseils de sécurité, dans le chemin Informaticien &gt; MOA &gt; Responsables &gt; Agence &gt; Chargé de clientèle est tellement transformé et mal compris que ça fait plus de mal que de bien.



Le tout face à des escrocs toujours mieux armés et audacieux, surtout sur la clientèle pro.


Heu …. tu lis ? <img data-src=" />



Le champs password est sur une AUTRE page hein. Tu rentres ton login dans le champs login, tu VALIDES et tu es redirigé vers une AUTRE page avec le champs password, donc ton tab il sert à rien et c’est d’ailleurs le comportement par défaut de Keepass <img data-src=" />



Par contre je sais pas si tu peux temporiser sur l’auto-remplissage le temps que la page suivante charge.



Si besoin je te fais un GIF <img data-src=" />


L’AFUB ? Je ne fais pas confiance à une association dont la page web n’a pas été réactualisée depuis 2014, sans parler de contenus encore plus anciens.


La comparaison avec une personne qui te demanderait ta CB dans la rue ne correspond pas à ce qu’est du phishing. Il faudrait plutôt se demander : “donnerais tu ta CB à une personne en costume dans un local reproduisant les code couleur et disposition de ton agence bancaire ?”



Lire les mails de sa banque, c’est bien, mais à quel moment, la personne peu au fait des choses, sait qu’il s’agit réellement d’un mail de sa banque si il doit se méfier des mails bancaires qu’il reçoit ? Le seul moyen, à mon avis, serait de faire des formations aux clients dans les agence bancaires.



Quant à devoir appeler sa banque à chaque mail reçu, pourquoi ne pas en plus leur demander confirmation par sms pour avoir un rdv physique pour confirmer que le mail est authentique ? …



Dans tous les cas, les fraudeurs ont toujours de la ressource et des idées pour nous tromper (et je dis bien “nous”. Je ne suis pas à l’abri de me faire avoir, un jour dans un domaine que je ne maitrise pas trop). Il y a des personnes naïves, mais il ne faut pas croire que seuls les idiots se font avoir.


et t’as pas trouvé d’autre moyen de valider le formulaire “login” avec autre chose que ton index? ^^

creuse toi un peu la tête avec keepass et tu vas y arriver.

j’y arrive bien, moi. <img data-src=" />

je sais plus si c’est un tab ou un entrée ou un mix des deux, jsuis sur le PC du boulot, mais ça fonctionne. et oui y’a moyen de mettre un delay. ^^


Tab + Espace (ou Enter) ? Ça règle pas le problème de temporisation le temps que la page du mot de passe charge. Si il commence à remplir sur une page pas chargé, ça marche pas trop bien <img data-src=" />


y’a un delay, c’est certain.

jsuis pas sur la bonne machine sorry. ^^



je le fais avec 3 comptes sur Google, y’a aucun problème.

et même avec la protection anti keylogger. ^^


Moi j’ai deux CB sur deux banques + du cash. J’ai l’avantage de ne pas être emmerdé quoi qu’il arrive. Et j’aimerais bien pouvoir utiliser ma Yubikey dans ma banque ou un second facteur pour le login (même si une fois loggué tu as plusieurs mécanismes derrière, un second facteur au login n’est pas superflus non plus)








hellmut a écrit :



surtout en général tu as une messagerie sur le site de la banque.

du coup la banque ne te contacte jamais par mail (à part pour du marketing éventuellement).

je ne reçois aucun mail non sollicité de ma banque.



De la mienne, j’en recois. Mais pour dire qu’il y a telle ou telle offre en cours, ou un problème sur mon compte. Et ils répètent à chaque fois d’aller soi-même sur le site de la banque sans cliquer sur un lien dans un mail, et si un mail semble être du phishing, leur transmettre.



moi ça marche avec keepass 2 + keefox


Tiens, connais pas Keefox, j’vais look le bousin, moi j’utilise un plugin keepass pour reconnaître l’URL et faire un remplissage auto avec un raccourcie clavier.








Kurton a écrit :



Et ton exemple de la CB est fallacieux. Ce n’est pas un email de quelqu’un au hasard que le client a reçu, c’est supposément un email de sa banque.



C’est exactement l’exemple qu’il a donné.

Le mail dit “hey, je suis ta banque”. Quelle différence avec un mec qui vient te voir en disant “hey, je bosse pour ta banque”?







anagrys a écrit :



Comme dit dans ton message : juste du texte informatif, aucun lien ni demande de connexion à quoi que ce soit. Et je suppose qu’il ne devait pas y avoir trop de fautes d’orthographe dans l’email reçu non plus - bien qu’un jour les gens derrière les campagnes de phishing se mettront à être un peu moins cons et à comprendre que ce point est la première chose qui met la puce à l’oreille en cas de tentative <img data-src=" />



Vu le nombre de mails de phishing que je recois en ce moment tous plus mauvais en orthographe les uns que les autres (sans compter les o/O aléatoirement transformés en 0), je doute que ca se fasse avant longtemps…



Je l’aurais collé à la poubelle direct.


De l’intérêt d’avoir un compte email dédié aux “choses importantes” (banque, impôts, secu…)



J’en connais même qui créent un compte mail par institution - des comptes qui ne sont utilisés pour rien d’autre.



Ca permet quand même de diminuer de beaucoup les risques de phishing, même si c’est un peu plus lourd à gérer.



Le nombre de tentatives de phishing que je reçois sur mes comptes “poubelle” (que j’utilise pour tout le reste) est assez étonnant…en général c’est assez ridicule, bourré de phôtes incroyables, mais je suppose que le danger n’est pas nul pour les gens qui cliquent encore sur des liens reçus par mail (ce que je ne fais presque plus non plus…)



&nbsp;


c’est dans la version de base de keepass le ctrl+alt+a qui déclenche le remplissage auto.

je trouve ça plus puissant ça fonctionne dans n’importe quelle fenêtre peu importe le navigateur.


Je trouve que ce n’est pas une bonne nouvelle pour les clients …



quand tu sais que même des informaticiens ( y compris des pro de la sécu ) peuvent se faire avoir par du phishing. ça laisse songeur de complètement déporter la responsabilité sur l’utilisateur.








Patch a écrit :



C’est exactement l’exemple qu’il a donné.



  Le mail dit "hey, je suis ta banque". Quelle différence avec un mec qui vient te voir en disant "hey, je bosse pour ta banque"?








 Non justement, il y a une différence notable.&nbsp; Dans son exemple :       

" Tu donnerais ta CB à quelqu'un au hasard dans la rue qui te dit "hé, je bosse à ta banque et j'en ai besoin" "Il parle d'une personne au hasard.






Là, le client ne reçoit pas un email d'une personne au hasard. Il reçoit un email de sa banque. C'est la toute la différence : le client était certain d'avoir affaire à sa banque. Rien à voir avec un truc au hasard.      






&nbsp;M'enfin, on va pas tourner autour du pot. La Cour de Cassation ne voit pas les choses sous cet angle :&nbsp;Source de l'an dernier&nbsp;&nbsp;"L’an dernier, le tribunal de proximité de Lens dans un autre litige portant sur le Crédit Mutuel avait jugé que "de telles fraudes sophistiquées donnent l’apparence d’une réalité personnalisée”. Si elles rencontrent des difficultés à se faire rembourser, les autres victimes de phishing pourront donc désormais mettre en avant ce jugement de la Cour de Cassation, qui fera jurisprudence…"


Décision qui me semble logique et de bon sens. Chacun doit développer sa responsabilité individuelle.








Tandhruil a écrit :



Je suis à la banque postale et je n’ai pas l’impression que ce soit un problème.

Difficile de faire du brute force quand l’interface change à chaque saisie







Et que le compte est bloqué au bout de 3 tentatives échouées.



C’est ce que je leur ai dit. Je ne comprends pas qu’une communication officielle passe par un tel nom de domaine.


Oui, c’est ce que j’utilise depuis des années, avant que ces abrutis de con modifie le moyen de login en mettant le champs password dans une autre page qui doit charger après avoir valider le login. Du coup le problème c’est que login + tab + password ne fonctionne plus :/








Kurton a écrit :



Non justement, il y a une différence notable.  Dans son exemple :



 " Tu donnerais ta CB à quelqu'un au hasard dans la rue qui te dit "hé, je bosse à ta banque et j'en ai besoin" "Il parle d'une personne au hasard.       






Là, le client ne reçoit pas un email d'une personne au hasard. Il reçoit un email de sa banque. C'est la toute la différence : le client était certain d'avoir affaire à sa banque. Rien à voir avec un truc au hasard.





Un mail de sa banque? Certainement pas. Si c’était un mail de sa banque, il n’y aurait pas eu phishing. C’était un mail qui se faisait passer pour sa banque. Donc, je le répète, strictement aucune différence avec un mec dans la rue qui se fait passer pour un employé de la banque.



Te serais tu fait phisher ? <img data-src=" />

signal-arnaques.com/scam/view/106736



Arnaque suspectée : bnpparibas _at_ cifa02k.espmp-aufr.net | BNP PARIBAS | Autre arnaque sur Signal-Arnaques.com


Il est toujours très facile de tromper les utilisateurs non initiés en copiant l’apparence du correspondant usurpé, par exemple avec un site factice qui demande de se connecter. Avec un nom de domaine pas trop suspect, un email qui ressemble à un officiel, une interface entièrement copiée, des messages clairs sans fautes.

Qui ira vérifier si l’adresse du site correspond exactement au bon site ? Personne.



Une possibilité pour diminuer les chances d’être affecté est d’utiliser des adresses emails différentes pour les services importants, donc si on reçoit un email de sa banque sur son adresse poubelle, on sait tout de suite que c’est une tentative de hameçonnage. Mais c’est pas forcément simple de suivre plus d’une adresse email, avec ces webmails.


En meme temps le mec à communiquer les codes de sa carte de sécurité sur lequel il est indiqué en GRAS de faire attention et de ne la communiquer à personnes….



Donc le mec, on ne peut plus rien pour lui …


Je ne pense pas :

&nbsp;




  • BNP m’a confirmer que cela venait de chez eux

  • la justification du phising par ce site est “L’adresse ne correspond pas à celle de la banque. la banque ne demande jamais par mail de donner ses identifiants” Oui ça on s’en était paerçu, et ce n’est pas forcément une preuve de phising.

    &nbsp;- pas de lien, pas de clic, pas d’arnaque (c’était vraiment du texte ennyeux à la “Le saviez-vous, on innove pour vous”)



    Edit : je viens de revoir l’e-mail en question, il y a effectivement un lien vers mabanque.bnppparibas, mais pas cliquable. Donc soit on le copie colle, soit on le tape directement, mais ce n’est pas une méthode de phising.


De mon point de vue, je pense que la banque a bien rempli son obligation d’information (“ne partagez pas vos clefs de sécurité”), et tant pis si à partir d’un certain âge, les gens sont incapables de faire autre chose que se poser devant TF1.

C’est identique aux vieux victimes d’arnaques qui laissent rentrer de faux policiers chez eux : elles ne se font pas rembourser si on n’a pas chopé les voleurs. Vous imaginez un fond de garantie pour ce genre de choses? Et puis quoi encore? Il faut arrêter de déresponsabiliser les gens.

Je comprend la détresse de cette personne, mais au bout d’un moment, même sans compétence particulière, on téléphone à sa banque histoire de demander “pourquoi je dois remplir ce document”.

Oui, on va vers une dérive de “méfiance”, mais les arnaqueurs ont un métier vieux comme le monde, c’est pas nouveau.








RedWave a écrit :



[…] Oui, on va vers une dérive de “méfiance”, mais les arnaqueurs ont un métier vieux comme le monde, c’est pas nouveau.





Je pense que c’est faux, d’après les quelques sources que j’ai consulté le métier de banquier n’a été inventé que pendant l’antiquité… <img data-src=" /> <img data-src=" />



La séquence a utiliser : le delai de pause est exprimé en millisecondes



{USERNAME}{ENTER}{DELAY 1000}{PASSWORD}{ENTER}


ah nice, j’vais essayer de voir quand je rentre. Mais bon c’est quand même con leur truc <img data-src=" />


c’est surtout que certains sites, selon d’où tu arrives, tu peux avoir les 2 cas : user et password sur 2 pages différentes ou bien sur la même !


Et y’a pas une extension FF pour forcer les deux sur la même page ? <img data-src=" />








RedWave a écrit :



Comme souvent, le problème c’est l’interface chaise-clavier.



&nbsp;

En effet !

&nbsp;





Jarodd a écrit :



Exactement : le jour où les phisings n’auront plus de phôtte, on fera quoi ? On dira au client “c’est votre faute, il fallait faire un ping sur le domaine de l’e-mail, pour vérifier que l’IP est bien en France et correspond à celle de la banque” ?





C’est ce que je pense aussi, il est temps d’avoir un système sécurisé avec les banques mail inclus. Pourquoi pas un partenariat avec les FAI pour certifier les adresses mails et surtout filtrer les tentatives de phishing ? Parce que j’ai l’impression que c’est bien trop facile de phisher.



Uniquement des mails de confirmation de virement initié depuis mon compte (doublé d’un SMS).


et ne pas répondre au téléphone non plus, si un huissier vient toquer chez toi un matin, c’est que ça devait être sérieux








skankhunt42 a écrit :



&nbsp;Il est temps d’avoir un système sécurisé avec les banques mail inclus





Ca existe déjà, c’est la messagerie sur le site de la banque.







skankhunt42 a écrit :



Pourquoi pas un partenariat avec les FAI pour certifier les adresses mails et surtout filtrer les tentatives de phishing ?





Bah, le filtrage de phishing ca fait partie du SPAM, donc ca existe déjà..

Sinon tu peux déléguer la lecture de tes mails aux employés de ton fournisseur de mails qui va décider si c’est un mail légitime ou pas mais bon.. non merci



Je sais que ça a déjà été abordé, mais le passage suivant met quand même la puce à l’oreille :



Il a même été jusqu’à demander à sa banque « la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux ». De ce fait, le fraudeur avait pu récupérer l’ensemble des données personnelles qui lui ont permis de profiter du système de paiement 3D Secure





Donc si je comprends bien, le mec a demandé à sa banque une carte de clés personnelles afin de remplir un formulaire destiné à cette même banque ? Y’a un moment où, en mettant de côté le fait que c’est vraiment suspect, ça devient vraiment pas logique, non ?


Boursorama a fait un truc pas idiot. Ils demandent de choisir un “avatar”, c’est-à-dire une photo personnelle (ce qu’on veut). Et quand on se connecte sur leur site, on doit voir cet avatar, s’il n’y est pas c’est qu’on n’est pas sur leur site. Et ils l’incluent dans les e-mails, pour qu’on repère que c’est bien eux.



Par contre tous les clients ne l’ont pas. Ma femme l’a, pas moi.


oui c’est bien celle-là que j’utilise aussi.


ils t’ont identifié comme un utilisateur averti. ^^








Haken Trigger a écrit :



En faisant ce que tu as fait : ça te semble étrange ? Tu appelles la banque directement pour une confirmation.





Hahah ca va être génial !



Téléphoner a ta banque parce qu’ils t’envoient un mail. En tout cas, ils vont embaucher du monde pour confirmer par téléphone tous leurs envoies d’email.



Bon en tout cas, je ne comprend pas l’obstination de la banque a aller en justice, ce n’est même pas elle qui paye.

La transaction est annulé par Visa ou Master Card, et c’est le commerçant qui va perdre son argent (et c’est&nbsp; même lui qui va être pénalisé pour avoir accepté une carte volé).



EDIT: Pardon, avec 3DSecure, c’est la banque qui est responsable :&nbsp; “Une nouveauté a également fait son apparition avec le lancement du 3D secure qui est le transfert de responsabilité du e-commerçant à la banque du porteur. En effet en cas de réclamation, le risque d’impayé émis par le porteur de la carte doit être supporté par sa banque et non plus par le e-commerçant.”


C’est une bonne chose.

Les gens cons, il faut les éduquer.

La victime n’utilise jamais le service sur internet donc, en théorie, va toujours voir son conseiller. Et là, elle ne va pas voir son conseiller et donne tous ses identifiants en ligne.

Sachant que dans les papiers physiques envoyés par la banque, il y a toujours marqué : “nous ne vous demanderons jamais vos identifiants sur internet”.

Big bravo !


Les cons les cons…c’est vite dit. Parce que tu penses que ta grand mère qui se connecte sur internet juste pour facebook et les emails va être informées de ce qu’est un “fichingue ?” Qu’elle sait ce qu’est un lien hypertexte, une URL, une adresse IP ?



Et je parle d’une grand-mère de 72 ans, je pourrais parler d’énormément d’autres personnes en France et dans le monde pour qui l’informatique est encore une bête obscure et le sera jusqu’à la fin de leur vie.



Quelle indulgence…








Ozwel a écrit :



Les cons les cons…c’est vite dit. Parce que tu penses que ta grand mère qui se connecte sur internet juste pour facebook et les emails va être informées de ce qu’est un “fichingue ?” Qu’elle sait ce qu’est un lien hypertexte, une URL, une adresse IP ?



Et je parle d’une grand-mère de 72 ans, je pourrais parler d’énormément d’autres personnes en France et dans le monde pour qui l’informatique est encore une bête obscure et le sera jusqu’à la fin de leur vie.



Quelle indulgence…



Une grand-mère de 72 ans qui va sur facebook, c’est vraiment le signe qu’elle vieillit très mal… <img data-src=" />









Ozwel a écrit :



Les cons les cons…c’est vite dit. Parce que tu penses que ta grand mère qui se connecte sur internet juste pour facebook et les emails va être informées de ce qu’est un “fichingue ?” Qu’elle sait ce qu’est un lien hypertexte, une URL, une adresse IP ?



Et je parle d’une grand-mère de 72 ans, je pourrais parler d’énormément d’autres personnes en France et dans le monde pour qui l’informatique est encore une bête obscure et le sera jusqu’à la fin de leur vie.



Quelle indulgence…







Sauf que là c’est pas de l’informatique, c’est de l’intelligence de base. Est-ce mamie va donner sa CB au premier gus dans la rue ? J’en doute.



Toutes les banques (et même plusieurs autres services moins critiques) rappellent ad nauseam qu’ils ne demanderont jamais de communiquer des identifiants.

Dans le cas que tu cites, c’est plus un devoir d’assistance de la part de son entourage qui est défaillant. On ne laisse pas une personne vulnérable seule comme ça.



oui enfin dans le cas présent, même si le phising est extrement bien fait : pourquoi ta banque te demanderait les codes qu’elle t’a elle même fourni ?



La plus part des commentaires ici se sont focalisés sur la forme du mail en lui même et la detection du phising, mais à un moment, il ne faut pas seulement prendre en compte le mail : quand on te demande une suite d’actions illogiques, tu dois te poser des questions, phising ou pas phising. Les arnaques ont toujours excité, le mail n’est qu’un vecteur de plus qui n’exempte pas de réfléchir à minima.



La banque et certains média te préviennent qu’il ne faut confier à personne ta carte, tes numéros, ton pin et encore moins tes identifiants 3D secure… alors même en cas de super mail sans faute, rien que ces indices devraient de mettre sur tes gardes.








offset8 a écrit :



Bon en tout cas, je ne comprend pas l’obstination de la banque a aller en justice, ce n’est même pas elle qui paye.



Si. Via son assurance. Sur laquelle elle paye des primes en fonction de ce que l’assurance a dû rembourser… <img data-src=" />









Ozwel a écrit :



Les cons les cons…c’est vite dit. Parce que tu penses que ta grand mère qui se connecte sur internet juste pour facebook et les emails va être informées de ce qu’est un “fichingue ?” Qu’elle sait ce qu’est un lien hypertexte, une URL, une adresse IP ?



Et je parle d’une grand-mère de 72 ans, je pourrais parler d’énormément d’autres personnes en France et dans le monde pour qui l’informatique est encore une bête obscure et le sera jusqu’à la fin de leur vie.



Quelle indulgence…







  • dix milliard… Sans oublier que certains ont le niveau mais s’en cogne totalement de l’informatique, ce n’est qu’un lave linge pour eux. Personnellement je ne sais pas ce que veut dire tous les icônes sur mon lave linge, je suis donc un con aussi ? Parce qu’il me suffit de lire la doc ou d’aller sur le net !

    &nbsp;





    gavroche69 a écrit :



    Une grand-mère de 72 ans qui va sur facebook, c’est vraiment le signe qu’elle vieillit très mal…





    Pourquoi ? Si ça lui permet de garder le contact avec ses amis et sa famille chaque jours ? Je suppose que je doit aussi vieillir très mal et que je suis un gros mouton car je suis passé de msn à facebook, car tous mes contact ont migré la bas…





    SebGF a écrit :



    Sauf que là c’est pas de l’informatique, c’est de l’intelligence de base. Est-ce mamie va donner sa CB au premier gus dans la rue ? J’en doute.





    Inintelligence de base à tendance à beaucoup baisser quand le domaine n’est pas vraiment maitrisé… Et puis tu sais la plupart des gens sont con dans le sens ou l’ont à appris beaucoup de chose notamment à l’école et ou 10 ans plus tard on peu à peine en ressortir 10%…









PtiDidi a écrit :



Bah, le filtrage de phishing ca fait partie du SPAM, donc ca existe déjà..





Oui mais la plupart des logiciels de spamm ne sont pas vraiment du genre install and forget :/









wpayen a écrit :



C’est une bonne chose.

Il n’est pas correct que la justice considère normal que les gens soient cons.







Il serait peut-être juste de penser que chacun n’a pas le même niveau et donc à la justice de faire justice.







Haken Trigger a écrit :



Pour le hameçonnage, je suis plutôt pour mettre la faute sur le client. Il n’est pas compliqué d’avoir à l’esprit que :




  1. les banques communiquent régulièrement sur les mails frauduleux

  2. elles répètent sans arrêt que JAMAIS elles ne demanderont d’infos personnelles ou sur le compte par simple mail

  3. si le client clique partout, la banque n’y est pour rien

  4. si le mail contient trop de fautes, des soucis d’affichage ou que la boîte mail la classe comme indésirable, c’est qu’il y a (souvent) une raison

  5. si le lien a une forme bizarre, faut se méfier

  6. un coup de fil à la banque pour demander confirmation, ou de l’aide à un proche qui s’y connaît en ca de doute, c’est pas dur.





    C’est oublier un peu vite qu’avoir un compte bancaire est indispensable, mais il n’est pas obligatoire de savoir lire et écrire pour ouvrir un compte.







    Haken Trigger a écrit :



    Certains diront “c’est trop de trucs à retenir”, je répondrai sincèrement “pas la faute de la banque si vous êtes idiots” pour rester poli. Je ne vois honnêtement pas pourquoi la banque devrait casquer pour la connerie des gens.





    On peut-être analphabète sans être idiot.

    De plus, je vois pas mal de de personnes de plus de 50 ans complètement paniquées dès qu’il faut utiliser du matériel électronique. Elles ont beau être intelligentes, le propre de la panique est de ne plus être en mesure de réfléchir…









    digital-jedi a écrit :



    C’est une bonne chose.

    Les gens cons, il faut les éduquer.

    La victime n’utilise jamais le service sur internet donc, en théorie, va toujours voir son conseiller. Et là, elle ne va pas voir son conseiller et donne tous ses identifiants en ligne.

    Sachant que dans les papiers physiques envoyés par la banque, il y a toujours marqué : “nous ne vous demanderons jamais vos identifiants sur internet”.

    Big bravo !







    Et qui les éduque les «cons» ?

    Parce qu’une reflexion aussi profonde que celle-ci se double souvent d’un chacun pour soi.

    Un renard libre dans un poulailler libre. <img data-src=" />



Alors un analphabète qui se ferait avoir par un email phising…. y a pas un soucis là ? <img data-src=" />





Jeanprofite a écrit :



De plus, je vois pas mal de de personnes de plus de 50 ans complètement paniquées dès qu’il faut utiliser du matériel électronique. Elles ont beau être intelligentes, le propre de la panique est de ne plus être en mesure de réfléchir…







Et celà doit tout excuser ? Non. Et puis ca reste un email. Même si la personne se demande par quelle magie ce truc est arrivé sous ses yeux, la “panique” devrait te conduire à justement consulter ta banque…







Jeanprofite a écrit :



Et qui les éduque les «cons» ?

Parce qu’une reflexion aussi profonde que celle-ci se double souvent d’un chacun pour soi.

Un renard libre dans un poulailler libre. <img data-src=" />







L’école à la base ? Ou alors simplement le bon sens du lire le manuel par exemple ?

Pourquoi faut-il toujours tendre vers l’irresponsabilité dans notre société parce que les gens ne prennent pas le temps de lire la notice d’un appareil ?



Il y a des gens réellement handicapé qui n’ont pas la capacité ou la possibilité de se débrouiller seul dans tous les domaines, eux il faut les protéger, mais si tu as toutes tes capacités, essai de t’en servir et demande si tu as besoin d’aide!









skankhunt42 a écrit :



…Pourquoi ? Si ça lui permet de garder le contact avec ses amis et sa famille chaque jours ? Je suppose que je doit aussi vieillir très mal et que je suis un gros mouton car je suis passé de msn à facebook, car tous mes contact ont migré la bas…







Chacun fait ce qu’il veut mais déjà si t’es obligé d’avoir un compte FB pour garder le contact avec tes amis, ce sont des drôles d’amis, enfin tout dépend du sens qu’on donne à ce mot bien sûr…

Si c’est que des “zamis” FB, ça peut se concevoir. <img data-src=" />

Idem pour la famille, sauf peut-être si elle est éparpillée un peu partout sur la planète et encore, il y a d’autres moyens, comme un vulgaire téléphone ou des emails par exemple, pour garder le contact avec elle.









CryoGen a écrit :



Alors un analphabète qui se ferait avoir par un email phising…. y a pas un soucis là ? <img data-src=" />







Bon d’accord, j’aurai dû préciser «illettré» <img data-src=" />







CryoGen a écrit :



Et celà doit tout excuser ? Non. Et puis ca reste un email. Même si la personne se demande par quelle magie ce truc est arrivé sous ses yeux, la “panique” devrait te conduire à justement consulter ta banque…





Il semble qu’il ait consulté la banque, le conseiller aurait dû l’interroger et le mettre en garde.

Est-ce que cela a été fait ?







CryoGen a écrit :



L’école à la base ? Ou alors simplement le bon sens du lire le manuel par exemple ?

Pourquoi faut-il toujours tendre vers l’irresponsabilité dans notre société parce que les gens ne prennent pas le temps de lire la notice d’un appareil ?





Pourquoi ne pas sur-responsabiliser les gens dans notre société ?

Est-ce que dans la notice des smartphones il est noté que le téléphone contient des terres rares et que des petites mains d’enfants ont travaillées dur pour l’assembler <img data-src=" /> ?

Parce que c’est pour la consommation.

Quelqu’un de naïf perd 7000€ en ne sachant pas identifier de l’hameçonnage c’est bien fait pour sa gueule <img data-src=" />







CryoGen a écrit :



Il y a des gens réellement handicapé qui n’ont pas la capacité ou la possibilité de se débrouiller seul dans tous les domaines, eux il faut les protéger, mais si tu as toutes tes capacités, essai de t’en servir et demande si tu as besoin d’aide!





Justement, ce qui nous manque dans ce jugement ou l’info ici sur le jugement, c’est bien de savoir si la personne avait les capacités d’identifier l’arnaque.

Edit : correction de quote









CryoGen a écrit :



Il y a des gens réellement handicapé qui n’ont pas la capacité ou la possibilité de se débrouiller seul dans tous les domaines, eux il faut les protéger, mais si tu as toutes tes capacités, essai de t’en servir et demande si tu as besoin d’aide!







C’est le but de la mise sous tutelle justement, de protéger les personnes fragiles.

Et ça ne concerne pas que les personnes âgées, un couple d’amis de mes parents était sous tutelle à cause de déficiences mentales qui ne leur permettaient pas d’être autonomes.



Dans le cas du phishing, c’est une forme d’arnaque comme il en existe malheureusement beaucoup allant du vendeur porte à porte au coup de fil qui t’abonne à un service, en passant par les fournisseurs d’électricité qui se font passer pour EDF et donations en prélèvement récurrents.

La décision de justice en question est assez logique, une banque ne va pas rembourser les sommes engagées par ces arnaques, donc je ne vois pas pourquoi elle aurait à le faire quand ça concerne une action externe.

Dans le cas de prélèvements frauduleux suite à vol de CB ou détournement de virement, elle est justement assurée pour ça (ou le client via la CB). Mais elle n’a pas à rembourser les 5000€ envoyés au Prince héritier du Nigéria qui a promis 14 de sa fortune si on l’aide à retrouver son trône.









Jeanprofite a écrit :



Bon d’accord, j’aurai dû préciser «illettré» <img data-src=" />







Mais c’est moins drôle là <img data-src=" />









Jeanprofite a écrit :



Il semble qu’il ait consulté la banque, le conseiller aurait dû l’interroger et le mettre en garde.

Est-ce que cela a été fait ?







Serieusement ? Tout le monde le rabâche en permanence…

Ensuite il n’est justement pas dit qu’il a consulté sa banque (dans le sens conseil). Il a juste demandé un jeu de code 3Dsecure… et je parie que ce jeu est accompagné d’une notice.









Jeanprofite a écrit :



Pourquoi ne pas sur-responsabiliser les gens dans notre société ?

Est-ce que dans la notice des smartphones il est noté que le téléphone contient des terres rares et que des petites mains d’enfants ont travaillées dur pour l’assembler <img data-src=" /> ?

Parce que c’est pour la consommation.

Quelqu’un de naïf perd 7000€ en ne sachant pas identifier de l’hameçonnage c’est bien fait pour sa gueule <img data-src=" />







Euh… hein ? On s’écarte du sujet, mais cela dit je suis aussi contre la sur-responsabilisation. Les lois sont aussi là justement pour protéger les gens et les sociétés. Pourquoi une banque devrait trinquer pour son client ?

Parce imaginons que OK, le phising était tellement bien fait, qu’une fausse agence de sa banque a été montée dans sa rue pour lui piquer 9000€ ( je vend le scénario <img data-src=" /> ), le gars n’y a vu que du feu. En quoi c’est à la banque de le rembourser ?



Ici le mec a déjoué les protections sensées le protéger ! Si la banque doit le rembourser, demain plus personne ne prend de précaution… pourquoi se faire chier ?









Jeanprofite a écrit :



Justement, ce qui nous manque dans ce jugement ou l’info ici sur le jugement, c’est bien de savoir si la personne avait les capacités d’identifier l’arnaque.

Edit : correction de quote





J’ose imaginer que pour 9k€ (donc pas un grand risque pour la banque non plus) que si la personne était incapable de distinguer le vrai du faux (donc un vrai handicap, ou sénilité ou autre déficience) que la justice en aurait tenu compte (et encore, j’avoue que ca contredit un peu ce que je dis plus haut mais bon). peut-être que l’état aurait pu rembourser sous prétexte de protection de ses citoyens, un truc du genre, ou l’assurance de la personne.



Parce que le SPAM est compliqué de base :




  • un mec que tu viens de rencontrer et t’envoie un lien pour bénéficier d’une promo en écrivant juste le lien sera certainement considérer comme SPAM (inconnu, peu de texte, contient une URL)

  • Un contact régulier qui s’est fait volé son compte ne sera pas considérer comme SPAM alors que si



    Et les techniques évoluent aussi.

    Il n’y a rien en sécurité qui soit “install and forget” (je généralise mais je n’ai pas de contre-exemple sous la main non plus)


Les arnaques par téléphone, ça existe aussi, hein … :)


Un pauvre script supporte très bien ce changement d’interface… Parsage du html et c’est fini.








skankhunt42 a écrit :





  • dix milliard… Sans oublier que certains ont le niveau mais s’en cogne totalement de l’informatique, ce n’est qu’un lave linge pour eux. Personnellement je ne sais pas ce que veut dire tous les icônes sur mon lave linge, je suis donc un con aussi ? Parce qu’il me suffit de lire la doc ou d’aller sur le net !



    Mais oui.

    Tu crames ta chemise alors que c’est clairement indiqué dans la doc comment la sécher

    =&gt; c’est pour ta pomme.









CryoGen a écrit :



Serieusement ? Tout le monde le rabâche en permanence…

Ensuite il n’est justement pas dit qu’il a consulté sa banque (dans le sens conseil). Il a juste demandé un jeu de code 3Dsecure… et je parie que ce jeu est accompagné d’une notice.





Tout le monde ?

Non. tu y es peut-être attentif, mais les conseillers ne rabâchent pas constamment de conseille de sécurité et tout le monde ne lit pas les pied de page en petits caractères estompés.







CryoGen a écrit :



Euh… hein ? On s’écarte du sujet, mais cela dit je suis aussi contre la sur-responsabilisation. Les lois sont aussi là justement pour protéger les gens et les sociétés. Pourquoi une banque devrait trinquer pour son client ?

Parce imaginons que OK, le phising était tellement bien fait, qu’une fausse agence de sa banque a été montée dans sa rue pour lui piquer 9000€ ( je vend le scénario <img data-src=" /> ), le gars n’y a vu que du feu. En quoi c’est à la banque de le rembourser ?







Trop tard pour les droits d’auteur, j’ai déjà vu ce scénario dans un épisode de Starsky et Hutch.

C’était très troublant d’ailleurs.







CryoGen a écrit :



Ici le mec a déjoué les protections sensées le protéger ! Si la banque doit le rembourser, demain plus personne ne prend de précaution… pourquoi se faire chier ?.







Oui, mais l’article dit bien qu’il l’a fait pour répondre à la demande présumée de sa banque « certificat de sécurité à remplir attentivement »,

Puis je rappelle que ce n’est pas évident puisque vous êtes à fond pour un jugement en cassation mais l’article cite bien que le jugement cassé était en faveur du client «Le 19 avril 2016 cependant, la Cour d’appel d’Amiens a considéré que la banque devait rembourser ces prélèvements frauduleux.».







CryoGen a écrit :



J’ose imaginer que pour 9k€ (donc pas un grand risque pour la banque non plus) que si la personne était incapable de distinguer le vrai du faux (donc un vrai handicap, ou sénilité ou autre déficience) que la justice en aurait tenu compte (et encore, j’avoue que ca contredit un peu ce que je dis plus haut mais bon). peut-être que l’état aurait pu rembourser sous prétexte de protection de ses citoyens, un truc du genre, ou l’assurance de la personne.





Elle l’a peut-être fait, on se sait pas.

L’imagination est une belle qualité, mais c’est une qualité dont il faut se méfier pour un jugement. <img data-src=" />









Jeanprofite a écrit :



Tout le monde ?

Non. tu y es peut-être attentif, mais les conseillers ne rabâchent pas constamment de conseille de sécurité et tout le monde ne lit pas les pied de page en petits caractères estompés.







Si tu considères que c’est normal de donner des codes secrets, c’est que tu ne connais pas la définition de “secret”. Et puis, encore une fois, pourquoi ta banque te demanderait tes codes secrets que eux même te fournissent…







Jeanprofite a écrit :



Trop tard pour les droits d’auteur, j’ai déjà vu ce scénario dans un épisode de Starsky et Hutch.

C’était très troublant d’ailleurs.





On peut proposer un reboot peut-être <img data-src=" />







Jeanprofite a écrit :



Oui, mais l’article dit bien qu’il l’a fait pour répondre à la demande présumée de sa banque « certificat de sécurité à remplir attentivement »,

Puis je rappelle que ce n’est pas évident puisque vous êtes à fond pour un jugement en cassation mais l’article cite bien que le jugement cassé était en faveur du client «Le 19 avril 2016 cependant, la Cour d’appel d’Amiens a considéré que la banque devait rembourser ces prélèvements frauduleux.».







Et oui, mais je trouve justement que le problème est là : pourquoi ta banque te demanderait des informations qu’elle emet elle-même ? Y a des limites tout de même…



Et oui, c’est un jugement cassé, mais ca ne change pas mon avis de base. Tout ce qu’on peut en tirer comme conclusion (peut-être attive), c’est que le jugement précédent n’a pas tenu compte de l’énormité de l’arnaque… que d’habitude en cas de fraude par VISA c’est la banque qui prend en charge etc.









Jeanprofite a écrit :



Elle l’a peut-être fait, on se sait pas.

L’imagination est une belle qualité, mais c’est une qualité dont il faut se méfier pour un jugement. <img data-src=" />







Et oui :)









CryoGen a écrit :



Si tu considères que c’est normal de donner des codes secrets, c’est que tu ne connais pas la définition de “secret”. Et puis, encore une fois, pourquoi ta banque te demanderait tes codes secrets que eux même te fournissent…







Non, cela me paraît évidemment débile, comme utiliser les services de Google me paraît débile. <img data-src=" />

Le problème est le niveau de compréhension de chacun.

Dans ce jugement le niveau de compréhension devait être bien bas…







CryoGen a écrit :



On peut proposer un reboot peut-être <img data-src=" />





Et oui, mais je trouve justement que le problème est là : pourquoi ta banque te demanderait des informations qu’elle emet elle-même ? Y a des limites tout de même…







Parce que TOI tu réfléchis, il y a plein de gens conditionnés pour obéir, pas pour réfléchir.







CryoGen a écrit :



Et oui, c’est un jugement cassé, mais ca ne change pas mon avis de base. Tout ce qu’on peut en tirer comme conclusion (peut-être attive), c’est que le jugement précédent n’a pas tenu compte de l’énormité de l’arnaque… que d’habitude en cas de fraude par VISA c’est la banque qui prend en charge etc.







S’il y avait arnaque, non seulement le client devrait rembourser les 7000€ mais en plus il serait poursuivi pour tentative d’escroquerie ou quelque chose du genre.



Le titre indique : «négligent, un client d’une banque doit assumer les prélèvements frauduleux»





CryoGen a écrit :



Et oui :)







C’est donc une victime (de sa bêtise avant tout, mais une victime). <img data-src=" />









Jeanprofite a écrit :



Parce que TOI tu réfléchis, il y a plein de gens conditionnés pour obéir, pas pour réfléchir.





Encore une fois, si les gens préferent rester en mode mouton, tant pis pour eux.







Jeanprofite a écrit :



S’il y avait arnaque, non seulement le client devrait rembourser les 7000€ mais en plus il serait poursuivi pour tentative d’escroquerie ou quelque chose du genre.



Le titre indique : «négligent, un client d’une banque doit assumer les prélèvements frauduleux»





Non je parlais bien de l’utilisateur victime d’une arnaque, et non l’utilisateur tente d’arnaquer sa banque.







Jeanprofite a écrit :



C’est donc une victime (de sa bêtise avant tout, mais une victime). <img data-src=" />





ah mais là on est d’accord. Je n’ai jamais dit qu’il n’était pas une victime. Seulement là le jugement c’est en tant que client contre sa banque, pas en tant que victime contre son arnaqueur.









Salamandar a écrit :



Un pauvre script supporte très bien ce changement d’interface… Parsage du html et c’est fini.







Les comptes sont verrouillés au bout de X tentatives échouées (je dirais 3, ça m’est déjà arrivé) que ce soit via l’interface web ou encore avec le service audiotel.



Le bruteforce ne sert à rien pour ce genre de site.



Pareil sur FDJ par exemple, tu te plantes dans ta connexion ou tu as plus de X refus d’approvisionnement du compte (erreur de saisie CB, n’importe), le compte est bloqué et tu reçois un courrier.



Bonjour,

Je suis très volontairement provocateur, car je pense qu’il y a ici dans cette affaire un défaut d’éducation qui n’est pas du ressort de la banque (la banque faisant tout son possible en prévention et avertissements).

S’il s’agit de Mme Michu, apte à aller sur internet, mais pas à en comprendre les arcanes, c’est à ses enfants et petits-enfants de lui en apprendre les bases ou de lui dire “si tu as la moindre question, appelle nous”.

Et j’admets bien volontiers être le con de quelqu’un en cuisine, mécanique, informatique ou même en compassion <img data-src=" />


Bonjour,

Je suis très volontairement provocateur, car je pense qu’il y a ici dans cette affaire un défaut d’éducation qui n’est pas du ressort de la banque (la banque faisant tout son possible en prévention et avertissements).

S’il s’agit de Mme Michu, apte à aller sur internet, mais pas à en comprendre les arcanes, c’est à ses enfants et petits-enfants de lui en apprendre les bases ou de lui dire “si tu as la moindre question, appelle nous”.

Et j’admets bien volontiers être le con de quelqu’un en cuisine, mécanique, informatique ou même en compassion <img data-src=" />


Bonsoir,



Ça va la provocation est loin des extrêmes. <img data-src=" />



Le problème aussi, est que les banques poussent à utiliser Internet et elles ne s’assurrent pas pour autant que les client sont aptes.



Si la méfiance envers l’hameçonnage est un acquis pour les gens qui fréquentent ce forum ça ne l’est pas pour tout le monde.

J’ai souvenir de mon agence physique qui me bassinait à chaque fois que je demandais quelques chose avec un «vous pouvez le faire sur Internet».

Du coup j’ai fini par prendre une banque en ligne <img data-src=" />


D’accord, mais ça n’a plus de rapport avec les interfaces “boutons en agencement random” des banques dont on parlait :)








Salamandar a écrit :



D’accord, mais ça n’a plus de rapport avec les interfaces “boutons en agencement random” des banques dont on parlait :)







Ben si je parlais de ça <img data-src=" />



Quand bien même il y aurait un moyen de bruteforce l’IHM, le compte se fera verrouiller bien avant.