Ce n’est qu’une des nombreuses fuites de données survenues au sein des entreprises françaises ces dernières semaines, mais elle pourrait être plus grave que les autres. L’opérateur Free a révélé samedi 26 octobre avoir été victime d’une cyberattaque, au cours de laquelle les données personnelles de millions d’abonnés, et notamment des identifiants bancaires (Iban), ont été volées. Le hacker qui a revendiqué l’acte affirme détenir plus de 5 millions d’Iban, comme le rapportent plusieurs experts en cybersécurité, dont Damien Bancal à l’AFP.
A l’annonce de cette fuite de données, certaines voix se sont montrées rassurantes, affirmant qu’il était impossible pour un escroc de vider un compte bancaire simplement à l’aide d’un Iban. Cependant, plusieurs expérimentations montrent qu’il est possible d’utiliser ces identifiants pour effectuer des paiements, sans autorisation préalable, même pour des paiements réguliers.
Deux journalistes du site d’information technologique 01Net ont par exemple échangé leurs Ibans respectifs pour tenter de se « voler » de l’argent en achetant des produits sur internet. Le premier test a été réalisé sur Amazon. Le journaliste a pu ajouter l’Iban de son collègue comme moyen de paiement, puis il a acheté un produit bon marché (un stylo quadricolore) qu’il s’était fait livrer, sans la moindre vérification d’identité ni alerte auprès du propriétaire du compte.
Qu’en est-il des abonnements et de leurs paiements réguliers ? Le site a réalisé un autre test, en souscrivant à un forfait mobile à 2 euros par mois chez Bouygues Telecom. La journaliste a utilisé l’Iban de son collègue pour les échantillons. A aucun moment la personne « volée » n’a été informée que son Iban avait été utilisé. La procédure a été validée quelques jours plus tard avec une signature électronique réalisée par le journaliste… sans code de validation.
Si les journalistes ont ensuite fait part de leur expérience à Bouygues, ce n’est qu’à la veille du premier prélèvement que la direction des fraudes de l’entreprise a contacté la journaliste, car son « les données bancaires ne semblent pas[ai]“pas correct”. Pourtant, son collègue a bel et bien été emmené à la date prévue. Ce Le débit a finalement été annulé, sans que le titulaire du compte bancaire en ait été informé.
Les banques rejettent ici la responsabilité sur les entreprises qui reçoivent l’argent. « Il appartient au créancier qui reçoit le mandat de prélèvement de vérifier la correspondance entre l’Iban et le titulaire »souligne le Crédit Agricole auprès de 01Net. C’est le principe même du Sepa (« Single Euro Payments Area »), la réglementation européenne en vigueur depuis 2014 dans 31 pays d’Europe.
L’association UFC-Que Choisir avait tiré la sonnette d’alarme sur le sujet en 2014. « Contrairement à l’ancien système, les banques ne sont plus tenues d’obtenir l’autorisation du client pour effectuer un prélèvement. C’est désormais le destinataire du prélèvement qui en fait lui-même la demande auprès de la banque. ‘établissement”explique l’association sur son site. « Conséquence pratique : toute personne possédant le numéro Iban d’un particulier peut y retirer de l’argent, sans aucun contrôle de la banque. »
Pourquoi les créanciers ne vérifient-ils pas systématiquement les identités ? Interrogé par 01Net, Bouygues a déclaré qu’il « souhaite offrir à ses clients une expérience fluide et fiable. Pour ce faire, de nombreux outils permettent d’effectuer des contrôles automatiques mais également manuels afin de sécuriser les transactions ». Amazon, de son côté, évoque son « des équipes dédiées » et ses investissements « dans des systèmes de gestion des risques de pointe pour protéger les clients ». Cependant, aucun n’explique concrètement ce qui est mis en place pour vérifier qu’une personne qui saisit un Iban est bien titulaire du compte bancaire.
Alors, que faire ? Le premier conseil est de surveiller les débits de votre compte bancaire, à la recherche des paiements que vous n’avez pas effectués. Même les plus petits, qui peuvent plus facilement passer inaperçus. Les banques vous permettent également de consulter la liste des créanciers actuellement inscrits sur votre compte, pour repérer les noms suspects.
Vous disposez alors de plusieurs voies de recours. D’une part, l’entité qui reçoit l’argent doit vous notifier le retrait au moins 14 jours avant son exécution, rappelle la Banque de France sur son site (sauf accord contractuel qui instaure un processus différent). De plus, si un mandat de prélèvement a été signé, vous disposez de huit semaines pour contester un prélèvement auprès de votre banque, et celle-ci doit vous rembourser dans un délai de dix jours. Si aucun mandat n’a été paraphé, vous disposez de 13 mois et devez être remboursé « au plus tard à la fin du premier jour ouvrable suivant »frais bancaires et agios inclus.
Mais cela n’empêche pas les escrocs de réessayer, sur le même site ou sur un autre. Peut-on traiter le problème à la Source ? Vous pouvez interdire à des entités de vous débiter en demandant à votre banque de les mettre sur votre « liste noire ». A l’inverse, vous pouvez transmettre à votre banque une « liste blanche » des sociétés que vous autorisez à effectuer des virements. Si une entreprise qui n’y figure pas tente de débiter votre compte, le mouvement sera bloqué.
Dans les deux cas, votre banque a l’obligation d’accepter cette demande, rappelle l’association UFC-Que Choisir sur son site. A noter qu’un arnaqueur peut donc utiliser votre Iban pour payer les services des entreprises qui figurent sur cette liste blanche. Mais au moins les risques sont réduits.
