Piratage de compte bancaire Attention aux arnaques à la carte SIM

Piratage de compte bancaire
Attention aux arnaques à la carte SIM
Dans la dernière édition de sa newsletter, Boursorama Banque alerte ses
clients sur une technique de fraude sur compte bancaire baptisée
« arnaque à la carte SIM », qui permet aux pirates de contourner 3D
Secure, le principal dispositif de sécurité pour les achats en ligne.
Cette arnaque à la carte SIM est en fait une
version sophistiquée des traditionnelles
campagnes de « phishing », qui font chaque
année des centaines de milliers de victimes en
France et dans le monde.
Le point de départ est le même : un faux mail,
copie plus ou moins conforme de celui d’une
institution ou d’une société de service (impôts,
EDF, banque, etc.), attire l’internaute vers un
faux site web reprenant lui aussi le design d’un
site légitime. Prétextant un faux problème, les
pirates lui demandent de fournir des données personnelles, qui sont ensuite utilisées pour usurper son identité
et effectuer, par exemple, des achats en ligne.
Dans le cas de l’arnaque à la carte SIM, les fraudeurs ne simulent pas le site d’une banque mais celui d’un
opérateur mobile. Selon Boursorama, les clients de l’opérateur Free Mobile sont particulièrement ciblés. Les
informations fournies permettent ensuite aux fraudeurs de demander un duplicata de la carte SIM de la
victime du stratagème. Cela leur permet de prendre le contrôle de sa ligne mobile, et donc de contourner 3D
Secure, dans le cadre d’achats en ligne.
Un dispositif d’authentification renforcé, le plus couramment utilisé actuellement, permet en effet de valider
un achat grâce à un code à usage unique expédié par SMS.
Les banques doivent rembourser les préjudices, selon le médiateur FBF
Dans sa newsletter, la banque en ligne demande à ses clients de respecter un certain nombre de consignes de
sécurité assez classiques (lire ci-dessous : Compte bancaire : les 5 réflexes sécurité pour éviter le piratage).
Mais elle les encourage également à réagir « immédiatement », en contactant leur opérateur mobile, dans le
cas où leur téléphone mobile ne peut plus se connecter au réseau ou annonce une carte SIM invalide.
Ce type d’arnaque à la carte SIM semble exploser ces derniers mois. Suffisamment en tout cas pour que le
médiateur de la FBF, qui gère les litiges signalés par 112 banques exerçant en France, en fasse mention dans
son récent rapport annuel portant sur l’année 2014. Il y conseille aux banques de rembourser leurs clients dans
ce cas de figure, la « négligence grave » du client étant difficile à prouver, et de se retourner vers les opérateurs
téléphoniques pour régler les litiges.
Compte bancaire
Les 5 réflexes « sécurité » pour éviter le piratage
© jamdesign - Fotolia.com
Comment éviter de figurer parmi les centaines de milliers de Français
victimes chaque année de débits frauduleux sur leurs comptes bancaires ?
La Fédération bancaire française (FBF) vient de publier une liste de
réflexes « sécurité », que nous avons résumés en 5 points clés.
Avec le temps, les Français ont bien compris
l’intérêt qu’ils avaient (en termes de gain de
temps et d’efficacité, notamment) à utiliser
internet pour interagir avec leur banque. Il
reste toutefois un frein majeur à cette
« numérisation » des usages bancaires : la
crainte du piratage, qui est d’ailleurs
largement fondée. Si les chiffres récents
manquent, la dernière vague de l’enquête
« Cadre de vie et sécurité » de l’INSEE et
l’Observatoire national de la délinquance des
réponses pénales estimait à 718.000 le nombre de ménages français victimes de débits frauduleux sur leur
compte bancaire en 2012, contre 501.000 deux ans plus tôt. Autre chiffre édifiant : 3 fois sur 4, la victime n’a
aucune idée de la manière dont les pirates ont réussi à intercepter ses informations confidentielles.
En général, ces fraudes ne portent pas à conséquence pour les victimes : la législation, en France et plus
généralement dans l’Union européenne, est en effet très protectrice des usagers. Les banques sont tenues de
rembourser le montant des préjudices subis, sauf dans le cas où elles parviennent à prouver la malhonnêteté
ou la négligence du client. Face à l’essor du phénomène, elles sont toutefois de plus en plus nombreuses à
tenter le coup, comme l’illustrent quelques affaires judiciaires récentes. La justice donne en général raison aux
clients face aux banques, autant s’éviter ce type de désagrément en prenant les devants.
Dans ce contexte, la Fédération bancaire française a bien compris l’intérêt qu’il y avait à éduquer les Français à
l’utilisation de la banque numérique, afin de prévenir les piratages. Depuis le début de l’année 2015,
l’association représentative du patronat bancaire publie, via son site internet pédagogique « Les clés de la
banque », une série de « guides sécurité ». Après les ordres de virement des entreprises, les achats en ligne et
le chèque, le dernier en date, courant mai, est consacré à la banque à distance et liste une série de réflexes
« sécurité » permettant de prévenir le piratage.
Réflexe n°1 : consulter régulièrement le site de sa banque et l’état de ses comptes
Toutes les enseignes disposent désormais de pages dédiées à la sécurité sur leurs sites. On y retrouve
généralement un certain nombre de conseils préventifs, mais aussi des alertes sur des menaces précises,
notamment sur les campagnes en cours de phishing, cette technique qui permet aux pirates de récupérer des
informations confidentielles grâce à de faux e-mails de banques.
Autre nécessité : consulter souvent l’état de son compte, à la recherche d’éventuelles anomalies. La FBF
conseille de le faire au moins une fois par semaine.
Réflexe n°2 : bien choisir son mot de passe ou ses codes, et les garder secrets.
Au moment de choisir son mot de passe ou son code d’accès à l’espace en ligne de sa banque, il y a quelques
règles à respecter. Ce mot de passe, d’abord, doit être spécifique : il faut à tout prix éviter d’utiliser le même
pour plusieurs services (banque, mail, réseaux sociaux, etc.). Il doit aussi être le plus complexe possible, en
mélangeant par exemple chiffres, lettres et signes de ponctuation. Hélas, toutes les enseignes n’acceptent pas
ce type de mot de passe, se contentant d’un code à 4 ou 6 chiffres. Dans ce cas, il faut absolument éviter
d’utiliser une suite trop facile à retrouver, comme sa date de naissance ou celle de ses enfants. Les pirates sont
en effet souvent capables de retrouver ce type d’information, notamment en surveillant les réseaux sociaux.
Autre évidence : il ne faut jamais divulguer ses codes d’accès bancaires à un tiers, y compris à ses proches. Il
ne faut pas non plus les inscrire en clair, que ce soit sur papier ou dans une note stockée sur son ordinateur ou
son smartphone. Eviter aussi au maximum d’utiliser l’ordinateur ou la tablette d’un tiers pour se connecter,
et veiller si on le fait à désactiver l’option permettant au navigateur internet d’enregistrer les mots de passe.
Enfin, la FBF conseille de modifier régulièrement ces mots de passe. Pour s’y retrouver, il existe heureusement
des applications qui permettent de générer automatiquement des mots de passes complexes et de les stocker.
Réflexe n°3 : ne jamais se connecter à partir d’un mail ou d’un SMS
Nous avons déjà évoqué la technique du phishing, qui consiste à orienter un internaute vers un faux site de
banque depuis un faux e-mail. En la matière, les pirates sont de plus en plus compétents, et il est parfois très
difficile de distinguer les faux e-mails des vrais envoyés habituellement par les banques. A une subtilité près :
pour attirer l’internaute vers le faux site, les pirates lui demandent généralement de cliquer sur un lien, alors
que les banques, elles, n’ajoutent plus de liens dans leurs e-mails. Il existe donc une solution radicale pour éviter
de tomber dans le panneau : ne jamais cliquer sur un lien présent dans un e-mail de banque, ou de tout service
sensible (impôts, assureurs, etc.).
La FBF rappelle aussi que « l’accroche peut aussi se faire par téléphone ou par SMS ». Vigilance donc à la
réception d’un SMS ou d’un coup de fil de sa banque : même dans ce cas, il ne faut jamais divulguer aucun code
secret, ni rappeler le numéro de téléphone qui vous est proposé.
Réflexe n°4 : prévenir sa banque en cas de doute ou d’anomalie
C’est primordial : en cas de doute sur un e-mail ou un SMS reçu, ou en cas d’anomalie détectée sur son compte,
il faut contacter immédiatement et directement sa banque, par téléphone. Un client se sachant victime d’un
piratage et ne l’ayant pas signalé peut en effet être accusé de négligence, et voir sa banque lui refuser le
remboursement du préjudice subi.
Réflexe n°5 : sécuriser ses terminaux numériques
Dernière manière de prévenir les piratages : installer sur son ordinateur, son téléphone ou sa tablette des
logiciels anti-virus. Là encore, il n’y a que l’embarras du choix, de nombreux éditeurs proposant ce type de
logiciels. Il est également très fortement conseillé de protéger l’accès à ses terminaux par des mots de passe,
qui compliqueront leur usage en cas de vol ou de perte.
Enfin, la FBF conseille de sécuriser sa connexion internet en vérifiant la présence d’un « https » devant l’adresse
du site de la banque, en n’activant la fonction bluetooth que si nécessaire et en évitant de se connecter depuis
un réseau wifi public.