Usurpation du numéro de la banque.
Souvent, le fraudeur contacte le client via le numéro de l’établissement bancaire en se présentant comme un conseiller de la banque, en prétendant qu’il faisait partie du service anti-fraude.
Il convient de préciser que depuis le 1ᵉʳ octobre 2024, il n’est plus possible d’usurper le numéro de téléphone des banques, ce qui démontre qu’une faille existait dans ce système de gestion des comptes via l’application bancaire.
L’argumentation des banques.
Les établissements bancaires prétendent également que dans la mesure où l’authentification forte a été mise en œuvre, il n’est pas possible de contester le paiement effectué.
Les banques prétendent, souvent, également qu’il serait « possible » que les identifiants bancaires aient été obtenus par le biais de la technique du phishing (répondre à un email présentant de sérieuses anomalies) mais cela n’est souvent nullement démontré.
Il convient de préciser les différentes techniques des hackers afin de récupérer des informations et intervenir sur l’application bancaire des clients.
- s’agissant de l’identification : l’authentification forte peut être contournée par le vol des identifiants directement sur l’ordinateur des clients infecté par un spyware « logiciel espion » qui provient du téléchargement d’un logiciel infecté ou de la consultation d’un site contaminé. Une fois en place sur le PC du particulier, il capte les données qui y sont enregistrées et les renvoie vers les hackers.
- s’agissant de la phase de validation : une fois qu’ils ont les données du client en main, les hackers doivent encore se procurer le SMS envoyé en cas d’initiation d’un paiement ou d’un virement. C’est alors que les hackers mettent en œuvre le SIM swapping et l’interception de SMS (le fraudeur se fait passer pour le titulaire de la ligne en prétextant un vol ou une perte afin de récupérer une nouvelle carte SIM) pour pouvoir recevoir tous les appels et SMS destinés à la victime.
Dans ces conditions, l’authentification forte mise en place par les banques peut être tout à fait contournée.
C’est la raison pour laquelle, la Cour de cassation a récemment considéré que le client qui se fait piéger au téléphone par un faux conseiller bancaire ne peut se voir reprocher par sa banque d’avoir commis une négligence grave et a condamné la banque à rembourser les paiements et virements frauduleux.
La position récente de la Cour de cassation.
La Cour de cassation, après avoir constaté que le numéro d’appel apparaissait comme étant celui de la conseillère bancaire du client, a retenu que ce dernier croyait être en relation avec une salariée de la banque lors de l’ajout de bénéficiaires de virement sur son compte. L’arrêt soumis à la haute juridiction précisait que le mode opératoire par l’utilisation du « spoofing » avait mis le client en confiance et avait dès lors diminué sa vigilance, suite à cet appel téléphonique émanant prétendument de sa banque, pour lui faire part du piratage de son compte.
Dès lors, selon la plus haute juridiction française, la négligence grave du client n’était pas caractérisée (Cour de cassation, 23 octobre 2024, n°23-16.267).
La Cour de cassation confirme donc l’arrêt du 28 mars 2023 de la Cour d’Appel de Versailles qui avait retenu l’absence de négligence grave du client.
Reste à savoir si les juridictions du fond vont suivre la position de la haute juridiction ou vont résister afin d’empêcher un flux de procédures…