Face à l’ampleur des arnaques en ligne, les banques renâclent à rembourser leurs clients. Beaucoup font fi de la loi et de la possibilité de pirater les dispositifs de sécurité…
Comment fonctionne l’authentification forte ?
La quasi-totalité des opérations de paiement (par virement et par carte bancaire) est aujourd’hui soumise à un processus de validation dite « par authentification forte ». Celle-ci fonctionne en deux étapes : dans un premier temps, le client doit renseigner ses données d’accès à ses comptes en ligne (identifiant et mot de passe). Ensuite, le plus souvent, il reçoit sur son téléphone mobile un code transmis par SMS afin de confirmer la transaction.
Mais que dit la banque ?
Dans une majorité de cas aujourd’hui, si l’authentification forte a été mise en œuvre au moment de la validation d’un achat, les établissements financiers en déduisent que le titulaire du compte a forcément agi de lui-même, soit en rentrant ses codes sur l’interface de paiement, soit en les transmettant à un tiers – et tant pis si c’est malgré lui ! De ces faits, les banques rejettent la faute sur leurs clients.
Et que dit la loi ?
Les banques appliquent l’authentification renforcée comme les y oblige la directive européenne, mais les États membres de l’Union n’ont pas abrogé les dispositions en vigueur dans leur pays. Ainsi, en France, c’est l’article L. 133-23 du Code monétaire et financier qui détaille le partage de responsabilité entre les établissements et leurs clients en cas de fraude. Et il indique clairement que les banques doivent « fournir des éléments afin de prouver la fraude ou la négligence grave commise par les utilisateurs de services de paiement ».
Mais comment se déroulent ces fraudes ?
La position des banques revient à affirmer que l’authentification renforcée est inviolable ; or aucun des spécialistes en sécurité ne valide cette affirmation. Certes, dans de nombreux cas, c’est la manipulation par du phishing qui conduit les clients à fournir leurs codes. Mais il existe également, aujourd’hui, des techniques criminelles qui n’impliquent aucune intervention de la part de la victime.
Pour mieux comprendre comment les fraudeurs opèrent, rappelons en quoi consiste l’authentification forte. Elle tient en deux étapes : la première vise à l’identification via les données bancaires, la seconde à la validation du paiement. Donc pour escroquer, les malfaiteurs doivent récupérer les informations relatives au compte client puis intercepter le code de validation envoyé par SMS sur son téléphone.
Voici les méthodes qu’ils emploient :
L’un des moyens utilisés pour voler des données bancaires (identifiants et mots de passe) est l’attaque d’un site d’un e-commerçant par l’exploitation d’une faille informatique. Les pirates parviennent à insérer un virus sur les pages de paiement du site d’e-commerce. Il copie ainsi les données bancaires d’un client au moment où ce dernier effectue sa transaction.
Des milliers de consommateurs ont eu leurs données bancaires ainsi « aspirées ».
On trouve aujourd’hui sur le darkweb les données de dizaines de milliers de cartes bancaires en attente d’être vendues pour quelques dollars pour ensuite être exploitées dans des attaques potentielles.
Identifiants et mots de passe peuvent également avoir été dérobés directement au titulaire du compte bancaire. Son ordinateur aura été infecté par un spyware (« logiciel espion ») ou malware (« logiciel malveillant »), qui s’y est installé sans se faire détecter. Il provient d’une pièce jointe, du téléchargement d’un logiciel infecté, de la consultation d’un site contaminé… Une fois en place sur le PC du particulier, il capte les données et les renvoie vers les pirates.
Une fois qu’ils ont les données du client en main, les pirates doivent encore se procurer le fameux SMS envoyé en cas d’initiation d’un paiement ou d’un virement – celui-ci est d’ailleurs souvent déclenché des semaines, voire des mois après le vol des identifiants. Ici sont utilisés les techniques de SIM swapping et l’interception de SMS. Dans le premier cas donc le SIM swapping, l’escroc se fait passer pour le titulaire original d’une ligne auprès d’un opérateur de téléphonie, et prétexte que son smartphone a été perdu ou volé afin de récupérer une nouvelle carte SIM. Avec celle-ci, il reçoit tous les appels et messages destinés à sa victime. Europol a interpellé cette année 26 personnes, en Espagne et en Roumanie, qui s’étaient spécialisées dans cette méthode de fraude. Elles avaient dérobé près de 3,5 millions d’euros ! La deuxième technique est l’interception de SMS qui consiste à intercepter le texto comportant le code de validation envoyé au client. Mais là, c’est plus complexe, mais pas impossible.
