Alter Échosr
Regard critique · Justice sociale

Technologies

Piratages bancaires 2.0, en forte croissance

On parle beaucoup ces derniers temps de phishing des données bancaires, ou hameçonnage, qui consiste pour des escrocs à aller à la pêche aux données permettant l’accès aux comptes bancaires de leurs victimes. Si, pendant longtemps, les techniques utilisées par les fraudeurs étaient assez grossières, leurs messages criblés de fautes d’orthographe, aujourd’hui, les escrocs se professionnalisent et mettent en œuvre des méthodes toujours plus sophistiquées pour prendre dans leurs filets des victimes toujours plus nombreuses. Et les banques rechignent à accepter leur part de responsabilité.

19-08-2021
© Vince

Un article publié dans les Échos du crédit et de l’endettement n°70, juin 2021.

Les chiffres de Febelfin en attestent: déjà, en 2019, la Fédération belge des banques annonçait une augmentation des cas de fraude à la banque en ligne, atteignant les 12.432 cas d’hameçonnage pour un total de 7.504.979 euros. En mars dernier, ce sont quelque 67.000 transactions frauduleuses par hameçonnage que Febelfin a portées à la connaissance du public. Détectées sur l’année 2020, ces fraudes ont représenté un montant d’environ 34 millions d’euros.

La Fédération belge des banques entame son communiqué de presse en relevant que les cas de fraude ont considérablement augmenté dans le monde entier et déclare que les banques belges déploient d’énormes efforts pour prévenir les fraudes de ce type (investissements dans la sécurité des services bancaires en ligne et mobile, suivi intensif des opérations, actions de sensibilisation). Elle y mentionne aussi le fait que malgré l’ingéniosité des fraudeurs, le phishing est simple à éviter si l’on fait preuve de suffisamment de vigilance et de prudence.

Il suffirait de suivre les conseils prodigués, notamment sur le site safeonweb.be, pour être en sécurité, ce qui est sans doute assez éloigné de la vérité. Comme le remarquaient Danielle Bovy et Isabelle Nauwelaerts, dans un article paru dans le n°272 de Budget & Droits (septembre/octobre 2020, Test-Achats), «aujourd’hui, les auteurs (de messages frauduleux) écrivent très bien, les opérateurs téléphoniques parlent impeccablement et les sites contrefaits sont très bien imités. Chaque année, de nouvelles techniques apparaissent: les fraudeurs s’adaptent aux nouvelles technologies et aux habitudes des gens. Ils cherchent sans cesse des failles dans leur vigilance»1. Une manière de se décharger de sa responsabilité, alors même que les hackers sont toujours plus ingénieux.

Des cas de fraude, de plus en plus nombreux

L’ombudswoman du secteur bancaire, Françoise Sweert2, n’a pas manqué de mettre en avant dans ses rapports d’activité 2019 et 2020 la forte augmentation de ces cas d’hameçonnage, largement représentés dans les plaintes qui lui sont adressées chaque année.

En 2020, sur les 1.567 dossiers recevables (soit 31% en plus par rapport en 2019), 87,58% concernaient des banques et, plus spécifiquement, des plaintes relatives à des paiements et comptes de paiement (pour 57,2%, soit 896 dossiers). Dans 486 dossiers relatifs à des paiements et comptes de paiement, soit plus de la moitié, «Ombudsfin a dû se prononcer sur la contestation de transactions frauduleuses. Comme en 2019, la fraude (dossiers impliquant l’utilisation d’une carte de paiement et dossiers impliquant une fraude sur internet) a donc été le principal motif de plaintes. Tandis qu’il y a une diminution de deux dossiers de fraude utilisant la carte physique (de 95 dossiers en 2019 à 93 dossiers en 2020), il y a une augmentation de 172 dossiers de fraude par internet (221 dossiers en 2019; 393 dossiers en 2020)»3. Dans ce même rapport d’activité 2020, Ombudsfin détaille plusieurs types de fraude4 (fraude via 2ememain.be, phishingmail ou SMS, invitation à sécuriser ses avoirs par téléphone, invitation à placer son argent sur un prétendu compte à sécurité renforcée).

On y constate également que seul un tiers des plaintes de phishing considérées fondées par elle ont pu être résolues, les banques ne suivant pas toujours l’avis de l’Ombudsfin, considérant ne pas être légalement tenues d’intervenir dans les dommages résultant d’opérations de paiement non autorisées.

Et en dehors du phishing?

Il ressort d’un certain nombre de documents et articles de presse qu’au-delà de la participation, le plus souvent involontaire, des consommateurs à des manœuvres frauduleuses, la sécurité des comptes bancaires n’est pas garantie comme elle le devrait, alors même que les banques poussent toujours plus leurs clients à utiliser des systèmes de paiement et de gestion de leurs comptes en banque entièrement numérisés.

Dans une analyse de Financité, produite par Anne Fily, intitulée: «Le cash, un outil de résilience sous-estimé», son auteure relève qu’au-delà des catastrophes naturelles qui pourraient nous priver d’alimentation électrique et les pannes informatiques des systèmes électroniques qui ont déjà paralysé à plusieurs reprises notre pays, «un système entièrement numérique est davantage vulnérable à la fraude et aux cyberattaques». Et de citer les cas de la banque Tesco qui, en novembre 2016, a vu 20.000 des comptes de ses clients concernés par des retraits frauduleux, pour un montant de trois millions d’euros qu’elle a dû rembourser. Idem pour la banque italienne UniCrédit, avec le piratage des données bancaires de 400.000 clients. En 2018, les services en ligne d’ABN-AMRO et ING aux Pays-Bas ont été interrompus pendant un week-end, en raison de cyberattaques. Début 2019, c’est la Metro Bank qui était victime d’une attaque de hackers, interceptant les messages autorisant des paiements.

Autre cas de figure relatée par le site en ligne BFMTV.com: le cas de la néobanque allemande N26, disponible depuis 2016 en Belgique. Exclusivement en ligne et sur mobile, les services de N26 ont été largement démontés par un chercheur en sécurité, Vincent Hauper, lors d’une conférence qui s’est tenue à Hambourg en 2016. Ce chercheur a mis au jour des failles permettant de contourner les dispositifs de sécurité. «Ainsi, l’application mobile chiffrait tous les échanges en https, mais ne vérifiait pas l’identité des serveurs N26. Il était donc possible d’utiliser de faux certificats, d’intercepter le trafic et de réaliser des attaques de type “Man-in-the-middle” (interception d’échanges cryptés entre deux personnes par des tiers) pour par exemple manipuler en temps réel les transactions. Le chercheur explique avoir pu multiplier par dix le montant d’un virement à la volée.»

Depuis ces failles ont été corrigées, mais les hackers ont plus d’un tour dans leur sac.

Pour plus de transparence

Pour Test-Achats (T-A) qui, dans un communiqué de presse datant de mars 2021, réagissait au caractère nébuleux du communiqué de Febelfin sur les chiffres 2020 d’hameçonnage, le nombre de fraudes signalées par ses membres a littéralement explosé et l’on ne peut plus, selon cette organisation, incriminer les consommateurs trop peu prudents ou trop crédules, étant donné la sophistication de plus en plus importante des techniques de fraude. T-A dénonce également le fait que les derniers chiffres communiqués par Febelfin sont assez flous, sans doute pour minimiser l’explosion des cas de fraude, et dont l’augmentation selon Febelfin serait due à un comptage différent des autres années, mais dont on ne sait rien. Et Julie Frère, porte-parole de l’association de consommateurs, de plaider pour que ces chiffres soient «soumis à une instance indépendante, telle que la BNB, pour validation. On ne peut pas se contenter de chiffres provenant d’une fédération professionnelle pour une thématique d’intérêt général». T-A considère ce sujet comme sensible et demande qu’il soit traité dans le cadre de la plateforme de réflexion sur la digitalisation forcée et l’augmentation des frais bancaires, placée sous l’égide de la BNB (National Retail Payements Committee).

Dans son rapport annuel 2019, Françoise Sweert, Ombudsfin désormais à la retraite, constatait déjà dans son avant-propos, intitulé «Stop au phishing des données bancaires»: «La lutte contre la fraude aux paiements en ligne doit prendre une place encore plus grande, tant auprès de la clientèle des banques qu’auprès des banques elles-mêmes. La digitalisation des paiements a fragilisé davantage une portion de la population moins avertie et donc plus sujette à la manipulation en raison d’une méconnaissance des mécanismes de paiement. Ombudsfin encourage le secteur bancaire à renforcer la sécurité des paiements et, notamment, à mettre en place des procédures adéquates pour déceler et intercepter les fraudes dès constatation de celle-ci.»

Également au menu du dernier numéro des Échos du crédit et de l’endettement, un dossier sur l’impact de la crise sur les entreprises et l’économie, ainsi que sur les revenus, la consommation et l’épargne des ménage.

1. B&D n°272, septembre/octobre 2020, p. 44.

2. Dont le mandat s’est terminé en mai dernier, qui a exercé ses fonctions pendant douze ans et huit mois et sera remplacé par Jean Cattazura en juillet 2021.

3. Rapport d’activité 2020, page 22.

4. Voir pages 23 et suivantes du rapport d’activité 2020 d’Ombuds- fin.

En savoir plus

Relire également: «Argent liquide sous pression: l’inclusion financière en danger», Alter Échos n° 487, octobre 2020, Robin Lemoine.

Nathalie Cobbaut

Nathalie Cobbaut

Rédactrice en chef Échos du crédit et de l'endettement

Pssstt, visiteur, visiteuse du site d'Alter Échos !

Nous sommes heureux que vous soyez si nombreux à nous suivre sur le web. Nous avons fait le choix de mettre en accès gratuit une grande partie de nos contenus, notamment ceux en lien avec le Covid-19, pour le partage, pour l'intérêt qu'ils représentent pour la collectivité, et pour répondre à notre mission d'éducation permanente. Mais produire une information critique de qualité a un coût. Soutenez-nous ! Abonnez-vous ! Et parlez-en autour de vous.
Profitez de notre offre découverte 19€ pour 3 mois (accès web aux contenus/archives en ligne + édition papier)