Usurpation du numéro de la banque.
Souvent, le fraudeur contacte le client via le numéro de l’établissement bancaire en se présentant comme un conseiller de la banque, en prétendant qu’il faisait partie du service anti-fraude.
Il convient de préciser que depuis le 1ᵉʳ octobre 2024, il n’est plus possible d’usurper le numéro de téléphone des banques, ce qui démontre qu’une faille existait dans ce système de gestion des comptes via l’application bancaire.
L’argumentation des banques.
Les établissements bancaires prétendent également que dans la mesure où l’authentification forte a été mise en œuvre, il n’est pas possible de contester le paiement effectué.
Les banques prétendent, souvent, également qu’il serait « possible » que les identifiants bancaires aient été obtenus par le biais de la technique du phishing (répondre à un email présentant de sérieuses anomalies) mais cela n’est souvent nullement démontré.
Il convient de préciser les différentes techniques des hackers afin de récupérer des informations et intervenir sur l’application bancaire des clients.
- s’agissant de l’identification : l’authentification forte peut être contournée par le vol des identifiants directement sur l’ordinateur des clients infecté par un spyware « logiciel espion » qui provient du téléchargement d’un logiciel infecté ou de la consultation d’un site contaminé. Une fois en place sur le PC du particulier, il capte les données qui y sont enregistrées et les renvoie vers les hackers.
- s’agissant de la phase de validation : une fois qu’ils ont les données du client en main, les hackers doivent encore se procurer le SMS envoyé en cas d’initiation d’un paiement ou d’un virement. C’est alors que les hackers mettent en œuvre le SIM swapping et l’interception de SMS (le fraudeur se fait passer pour le titulaire de la ligne en prétextant un vol ou une perte afin de récupérer une nouvelle carte SIM) pour pouvoir recevoir tous les appels et SMS destinés à la victime.
Dans ces conditions, l’authentification forte mise en place par les banques peut être tout à fait contournée.
C’est la raison pour laquelle, la Cour de cassation a récemment considéré que le client qui se fait piéger au téléphone par un faux conseiller bancaire ne peut se voir reprocher par sa banque d’avoir commis une négligence grave et a condamné la banque à rembourser les paiements et virements frauduleux.
La position récente de la Cour de cassation.
La Cour de cassation, après avoir constaté que le numéro d’appel apparaissait comme étant celui de la conseillère bancaire du client, a retenu que ce dernier croyait être en relation avec une salariée de la banque lors de l’ajout de bénéficiaires de virement sur son compte. L’arrêt soumis à la haute juridiction précisait que le mode opératoire par l’utilisation du « spoofing » avait mis le client en confiance et avait dès lors diminué sa vigilance, suite à cet appel téléphonique émanant prétendument de sa banque, pour lui faire part du piratage de son compte.
Dès lors, selon la plus haute juridiction française, la négligence grave du client n’était pas caractérisée (Cour de cassation, 23 octobre 2024, n°23-16.267).
La Cour de cassation confirme donc l’arrêt du 28 mars 2023 de la Cour d’Appel de Versailles qui avait retenu l’absence de négligence grave du client.
Reste à savoir si les juridictions du fond vont suivre la position de la haute juridiction ou vont résister afin d’empêcher un flux de procédures…
Discussions en cours :
Chaque année, des dizaines de milliers de consommateurs et d’épargnants sont escroqués sur Internet. Le préjudice bancaire peut s’élever jusqu’à plusieurs milliers d’€.En 2021, le montant de ces fraudes a été recensé à 1 240 millions d’€, en France ! Leur nombre est en progression rapide, passant de 250 900 victimes (déclarées) en 2016 à 411 700 en 2023 !
L’une des formes les plus courantes de ces arnaques (en ligne) est le « phishing », c’est-à-dire l’envoi d’e-mails ou de textos SMS, sous des faux prétextes et occasions, incitant les victimes à cliquer sur un lien frauduleux et à donner leurs identifiants.
Des robots logiciels équipés d’une IA générative, peuvent même corriger et faire disparaître tout indice de falsification. Ils permettent aussi de produire des RIB indiquant des faux clients, mais des vrais comptes ouverts au profit d’un escroc (ou d’un complice). C’est devenu un « marché » florissant !
Les banques ont mis en place un site de « médiateurs » dont le but est essentiellement d’excuser les fautes professionnelles de leurs employeurs. Parallèlement et pour suivre les directives de Bruxelles, elles ont lancé une procédure dite « d’authentification forte » du client donneur d’un ordre de virement .... mais pas de son bénéficiaire.
Après ça, si vous n’êtes pas dissuadé par les honoraires d’un avocat, il ne vous reste plus qu’à saisir le tribunal proche. Vous constatez alors que celui-ci se limite à rechercher une « faute » de la victime et ne tient compte que d’une chose : le N° IBAN indiqué sur un RIB (falsifié) et soutient ainsi tout refus de remboursement par la banque. Quand bien même la victime n’a jamais reçu de « code d’authentification forte » et a reçu, au contraire, un mail d’exécution du virement au nom du bénéficiaire souhaité et pré-enregistré !
Enfin, fort de ces fautes professionnelles et de votre bon droit, si vous faites appel et demandez réparation auprès d’une Cour, vous risquez fort d’être déçu.
En 2022, la banque en ligne ING Direct a cessé son activité en France et a cédé tous ses comptes de clients particuliers à Boursorama. Les pirates et hackers professionnels qui pullulent sur Internet se sont jetés sur cette « manne » en transfert. Je viens donc ici prévenir les consommateurs sur les risques qui menacent ceux qui effectuent des virements bancaires en ligne. Le lobby des banques s’est protégé contre les escrocs et surtout contre les plaintes des clients escroqués !
Ni les juges, ni les gouvernants ne les dédisent, qd bien même elles ne respectent pas leurs propres règles de sécurité et d’authentification. Ils ont réduit leur responsabilité à un simple numéro IBAN et laissé la porte ouverte à toutes les escroqueries et ’phishings" possibles…
En effet, le mécanisme d’authentification des numéros exigé par la loi Naegelen est désormais activé sur les réseaux téléphoniques fixes, mais il ne met pas pour autant fin à l’usurpation. Ce mécanisme le rend plus difficile mais n’est pas la solution définitive. De plus, les réseaux mobiles ne l’ont pas encore activé, et les acteurs malveillants trouveront toujours des moyens techniques de contourner le mécanisme d’authentification des numéros. On verra encore de l’usurpation, mais dans une moindre mesure.