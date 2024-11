Ce n'est qu'une des nombreuses fuites de données qui ont eu lieu chez les entreprises françaises ces dernières semaines, mais elle pourrait être plus grave que les autres. L'opérateur Free a révélé samedi 26 octobre avoir été victime d'une cyberattaque, lors de laquelle des données personnelles de millions d'abonnés, et notamment des identifiants bancaires (Iban), ont été volés. Le pirate informatique qui a revendiqué cet acte affirme détenir plus de 5 millions d'Iban, comme l'ont rapporté plusieurs experts en cybersécurité, dont Damien Bancal à l'AFP.

A l'annonce de cette fuite de données, des voix se sont voulues rassurantes, soutenant qu'il était impossible qu'un escroc vide un compte en banque simplement grâce à un Iban. Pourtant, plusieurs expériences montrent qu'il est possible d'utiliser ces identifiants pour effectuer des paiements, et ce, sans autorisation préalable, même pour des versements réguliers.

Pas de contrôle d'identité

Deux journalistes du site d'actualité technologique 01Net ont par exemple échangé leur Iban respectif pour tenter de se "voler" mutuellement de l'argent en achetant des produits sur internet. Le premier test a été réalisé sur Amazon. Le journaliste a pu ajouter l'Iban de sa collègue comme moyen de paiement, puis il a acheté un produit peu cher (un stylo quatre couleurs) qu'il s'est fait livrer, sans la moindre vérification d'identité ni alerte au propriétaire du compte.

Quid des abonnements et de leurs paiements réguliers ? Le site a effectué un autre test, en souscrivant un forfait mobile à 2 euros par mois chez Bouygues Telecom. La journaliste a utilisé l'Iban de son collègue pour les prélèvements. A aucun moment, la personne "volée" n'a été informée que son Iban a été utilisé. La procédure a été validée quelques jours plus tard avec une signature électronique faite par la journaliste... sans code de validation.

Si les journalistes ont ensuite informé Bouygues de leur expérience, c'est seulement à la veille du premier prélèvement que le service des fraudes de la compagnie a contacté la journaliste, car ses "données bancaires ne sembl[ai]ent pas correctes". Néanmoins, son collègue a bel et bien été prélevé à la date prévue. Ce débit a finalement été annulé, sans que le propriétaire du compte bancaire ait été informé.

Les entreprises qui prélèvent sont responsables, pas les banques

Les banques renvoient ici la responsabilité aux entreprises qui reçoivent l'argent. "Il appartient au créancier qui reçoit le mandat de prélèvement de vérifier la correspondance entre l'Iban et le titulaire", souligne le Crédit Agricole à 01Net. C'est le principe même du Sepa ("Single Euro Payments Area"), le règlement européen en vigueur depuis 2014 dans 31 pays en Europe.

L'association UFC-Que choisir a tiré la sonnette d'alarme sur le sujet dès 2014. "A la différence de l'ancien système, les banques n'ont plus l'obligation d'obtenir l'autorisation du client pour passer un prélèvement. C'est désormais le destinataire du prélèvement qui formule lui-même la demande auprès de l'établissement", explique l'association sur son site. "Conséquence pratique : n'importe qui disposant du numéro Iban d'un particulier peut y prélever de l'argent, sans aucun contrôle de la banque."

Pourquoi les créanciers ne vérifient-ils pas systématiquement les identités ? Interrogée par 01Net, Bouygues déclare qu'elle "souhaite offrir à ses clients une expérience fluide et fiable. Pour cela, de nombreux outils permettent d'effectuer des contrôles automatiques et également manuels afin de sécuriser les transactions". Amazon évoque pour sa part ses "équipes dédiées" et ses investissements "dans des systèmes de gestion des risques de pointe pour protéger les clients". Pour autant, aucune n'explique concrètement ce qui est mis en place pour contrôler qu'une personne qui entre un Iban est bien la propriétaire du compte bancaire.

Surveiller ses comptes et mettre en place une "liste blanche"

Alors, que faire ? Le premier conseil est de surveiller les débits sur votre compte bancaire, à la recherche de paiements que vous n'avez pas réalisés. Même les plus petits, qui peuvent plus facilement passer inaperçus. Les banques permettent aussi de consulter la liste des créanciers actuellement enregistrés sur votre compte, pour repérer des noms suspects.

Vous disposez ensuite de plusieurs moyens de recours. D'une part, l'entité qui reçoit l'argent doit vous avertir du prélèvement au moins 14 jours avant son exécution, rappelle la Banque de France sur son site (sauf s'il existe un accord contractuel qui établit un processus différent). En outre, si un mandat de prélèvement a été signé, vous avez huit semaines pour contester un prélèvement auprès de votre banque, et celle-ci doit vous rembourser dans les dix jours. Si aucun mandat n'a été paraphé, vous avez 13 mois et devez être remboursé "au plus tard à la fin du premier jour ouvrable suivant", frais bancaires et agios compris.

Mais cela n'empêche pas les arnaqueurs de réessayer, sur le même site ou un autre. Peut-on traiter le problème à la source ? Vous pouvez interdire à des entités de vous prélever en demandant à votre banque de les mettre sur votre "liste noire". A l'inverse, vous pouvez envoyer à votre banque une "liste blanche" d'entreprises que vous autorisez à réaliser des virements. Si une entreprise qui n'y figure pas tente de prélever votre compte, le mouvement sera bloqué.

Dans les deux cas, votre banque a l'obligation d'accepter cette demande, rappelle l'association UFC-Que choisir sur son site. A noter qu'un escroc pourra donc utiliser votre Iban pour payer les services des entreprises qui figurent sur cette liste blanche. Mais, au moins, les risques sont réduits.