Piratage de compte bancaire Attention aux arnaques à la carte SIM
Transcription
Piratage de compte bancaire Attention aux arnaques à la carte SIM
Piratage de compte bancaire Attention aux arnaques à la carte SIM Dans la dernière édition de sa newsletter, Boursorama Banque alerte ses clients sur une technique de fraude sur compte bancaire baptisée « arnaque à la carte SIM », qui permet aux pirates de contourner 3D Secure, le principal dispositif de sécurité pour les achats en ligne. Cette arnaque à la carte SIM est en fait une version sophistiquée des traditionnelles campagnes de « phishing », qui font chaque année des centaines de milliers de victimes en France et dans le monde. Le point de départ est le même : un faux mail, copie plus ou moins conforme de celui d’une institution ou d’une société de service (impôts, EDF, banque, etc.), attire l’internaute vers un faux site web reprenant lui aussi le design d’un site légitime. Prétextant un faux problème, les pirates lui demandent de fournir des données personnelles, qui sont ensuite utilisées pour usurper son identité et effectuer, par exemple, des achats en ligne. Dans le cas de l’arnaque à la carte SIM, les fraudeurs ne simulent pas le site d’une banque mais celui d’un opérateur mobile. Selon Boursorama, les clients de l’opérateur Free Mobile sont particulièrement ciblés. Les informations fournies permettent ensuite aux fraudeurs de demander un duplicata de la carte SIM de la victime du stratagème. Cela leur permet de prendre le contrôle de sa ligne mobile, et donc de contourner 3D Secure, dans le cadre d’achats en ligne. Un dispositif d’authentification renforcé, le plus couramment utilisé actuellement, permet en effet de valider un achat grâce à un code à usage unique expédié par SMS. Les banques doivent rembourser les préjudices, selon le médiateur FBF Dans sa newsletter, la banque en ligne demande à ses clients de respecter un certain nombre de consignes de sécurité assez classiques (lire ci-dessous : Compte bancaire : les 5 réflexes sécurité pour éviter le piratage). Mais elle les encourage également à réagir « immédiatement », en contactant leur opérateur mobile, dans le cas où leur téléphone mobile ne peut plus se connecter au réseau ou annonce une carte SIM invalide. Ce type d’arnaque à la carte SIM semble exploser ces derniers mois. Suffisamment en tout cas pour que le médiateur de la FBF, qui gère les litiges signalés par 112 banques exerçant en France, en fasse mention dans son récent rapport annuel portant sur l’année 2014. Il y conseille aux banques de rembourser leurs clients dans ce cas de figure, la « négligence grave » du client étant difficile à prouver, et de se retourner vers les opérateurs téléphoniques pour régler les litiges. Compte bancaire Les 5 réflexes « sécurité » pour éviter le piratage © jamdesign - Fotolia.com Comment éviter de figurer parmi les centaines de milliers de Français victimes chaque année de débits frauduleux sur leurs comptes bancaires ? La Fédération bancaire française (FBF) vient de publier une liste de réflexes « sécurité », que nous avons résumés en 5 points clés. Avec le temps, les Français ont bien compris l’intérêt qu’ils avaient (en termes de gain de temps et d’efficacité, notamment) à utiliser internet pour interagir avec leur banque. Il reste toutefois un frein majeur à cette « numérisation » des usages bancaires : la crainte du piratage, qui est d’ailleurs largement fondée. Si les chiffres récents manquent, la dernière vague de l’enquête « Cadre de vie et sécurité » de l’INSEE et l’Observatoire national de la délinquance des réponses pénales estimait à 718.000 le nombre de ménages français victimes de débits frauduleux sur leur compte bancaire en 2012, contre 501.000 deux ans plus tôt. Autre chiffre édifiant : 3 fois sur 4, la victime n’a aucune idée de la manière dont les pirates ont réussi à intercepter ses informations confidentielles. En général, ces fraudes ne portent pas à conséquence pour les victimes : la législation, en France et plus généralement dans l’Union européenne, est en effet très protectrice des usagers. Les banques sont tenues de rembourser le montant des préjudices subis, sauf dans le cas où elles parviennent à prouver la malhonnêteté ou la négligence du client. Face à l’essor du phénomène, elles sont toutefois de plus en plus nombreuses à tenter le coup, comme l’illustrent quelques affaires judiciaires récentes. La justice donne en général raison aux clients face aux banques, autant s’éviter ce type de désagrément en prenant les devants. Dans ce contexte, la Fédération bancaire française a bien compris l’intérêt qu’il y avait à éduquer les Français à l’utilisation de la banque numérique, afin de prévenir les piratages. Depuis le début de l’année 2015, l’association représentative du patronat bancaire publie, via son site internet pédagogique « Les clés de la banque », une série de « guides sécurité ». Après les ordres de virement des entreprises, les achats en ligne et le chèque, le dernier en date, courant mai, est consacré à la banque à distance et liste une série de réflexes « sécurité » permettant de prévenir le piratage. Réflexe n°1 : consulter régulièrement le site de sa banque et l’état de ses comptes Toutes les enseignes disposent désormais de pages dédiées à la sécurité sur leurs sites. On y retrouve généralement un certain nombre de conseils préventifs, mais aussi des alertes sur des menaces précises, notamment sur les campagnes en cours de phishing, cette technique qui permet aux pirates de récupérer des informations confidentielles grâce à de faux e-mails de banques. Autre nécessité : consulter souvent l’état de son compte, à la recherche d’éventuelles anomalies. La FBF conseille de le faire au moins une fois par semaine. Réflexe n°2 : bien choisir son mot de passe ou ses codes, et les garder secrets. Au moment de choisir son mot de passe ou son code d’accès à l’espace en ligne de sa banque, il y a quelques règles à respecter. Ce mot de passe, d’abord, doit être spécifique : il faut à tout prix éviter d’utiliser le même pour plusieurs services (banque, mail, réseaux sociaux, etc.). Il doit aussi être le plus complexe possible, en mélangeant par exemple chiffres, lettres et signes de ponctuation. Hélas, toutes les enseignes n’acceptent pas ce type de mot de passe, se contentant d’un code à 4 ou 6 chiffres. Dans ce cas, il faut absolument éviter d’utiliser une suite trop facile à retrouver, comme sa date de naissance ou celle de ses enfants. Les pirates sont en effet souvent capables de retrouver ce type d’information, notamment en surveillant les réseaux sociaux. Autre évidence : il ne faut jamais divulguer ses codes d’accès bancaires à un tiers, y compris à ses proches. Il ne faut pas non plus les inscrire en clair, que ce soit sur papier ou dans une note stockée sur son ordinateur ou son smartphone. Eviter aussi au maximum d’utiliser l’ordinateur ou la tablette d’un tiers pour se connecter, et veiller si on le fait à désactiver l’option permettant au navigateur internet d’enregistrer les mots de passe. Enfin, la FBF conseille de modifier régulièrement ces mots de passe. Pour s’y retrouver, il existe heureusement des applications qui permettent de générer automatiquement des mots de passes complexes et de les stocker. Réflexe n°3 : ne jamais se connecter à partir d’un mail ou d’un SMS Nous avons déjà évoqué la technique du phishing, qui consiste à orienter un internaute vers un faux site de banque depuis un faux e-mail. En la matière, les pirates sont de plus en plus compétents, et il est parfois très difficile de distinguer les faux e-mails des vrais envoyés habituellement par les banques. A une subtilité près : pour attirer l’internaute vers le faux site, les pirates lui demandent généralement de cliquer sur un lien, alors que les banques, elles, n’ajoutent plus de liens dans leurs e-mails. Il existe donc une solution radicale pour éviter de tomber dans le panneau : ne jamais cliquer sur un lien présent dans un e-mail de banque, ou de tout service sensible (impôts, assureurs, etc.). La FBF rappelle aussi que « l’accroche peut aussi se faire par téléphone ou par SMS ». Vigilance donc à la réception d’un SMS ou d’un coup de fil de sa banque : même dans ce cas, il ne faut jamais divulguer aucun code secret, ni rappeler le numéro de téléphone qui vous est proposé. Réflexe n°4 : prévenir sa banque en cas de doute ou d’anomalie C’est primordial : en cas de doute sur un e-mail ou un SMS reçu, ou en cas d’anomalie détectée sur son compte, il faut contacter immédiatement et directement sa banque, par téléphone. Un client se sachant victime d’un piratage et ne l’ayant pas signalé peut en effet être accusé de négligence, et voir sa banque lui refuser le remboursement du préjudice subi. Réflexe n°5 : sécuriser ses terminaux numériques Dernière manière de prévenir les piratages : installer sur son ordinateur, son téléphone ou sa tablette des logiciels anti-virus. Là encore, il n’y a que l’embarras du choix, de nombreux éditeurs proposant ce type de logiciels. Il est également très fortement conseillé de protéger l’accès à ses terminaux par des mots de passe, qui compliqueront leur usage en cas de vol ou de perte. Enfin, la FBF conseille de sécuriser sa connexion internet en vérifiant la présence d’un « https » devant l’adresse du site de la banque, en n’activant la fonction bluetooth que si nécessaire et en évitant de se connecter depuis un réseau wifi public.