Fraudes cyber : l’incurie du système bancaire mainstream

Si l’on met de côté les moyens violents de chiper le bas de laine de son prochain (le genre qui requiert un pistolet sur la tempe, ou des électrodes et une batterie de voiture), les malfaisants des temps modernes utilisent un stratagème communément appelé « fraude au président ». Il consiste à faire de l’ingénierie sociale souvent de haute voltige pour se faire virer sur un compte aux îles Caïman des sommes à sept chiffres et plus, en jouant sur l’urgence, la manipulation de Martine à la compta, pressée de bien faire et surtout de dépanner celui qu’au téléphone elle prend pour le Big Boss. Toutes les boîtes du CAC 40, sans aucune exception, me suis-je laissé dire, se sont fait plumer, à différents degrés.

Dans un arrêt récent, la Cour de cassation a condamné la banque d’une entreprise victime de fraude au président au motif de manquement au devoir de vigilance. En substance, la comptable de l’entreprise avait réalisé un virement de plusieurs millions d’euros (chiffre jamais atteint par la société en question) vers un compte offshore (virement extranational que l’entreprise ne pratiquait jamais). Dit autrement, le juge a considéré qu’une telle anomalie dans les pratiques usuelles de l’entreprise aurait dû sauter aux yeux de la banque.

La fraude au président se décline en plusieurs versions, outre celle décrite ci-dessus : arnaque au changement de RIB d’un salarié, arnaque au changement de RIB d’un fournisseur, et récemment une version qui laisse pantois sur l’incurie des banques : la réutilisation ad nauseam d’un RIB récupéré soit de façon tout à fait légale (affaire Hubside, en cours de jugement et qui risque de prendre du temps avant sa conclusion), soit de façon frauduleuse (fuite de données chez Free, c’est tout chaud). En d’autres termes, si un gugusse parvient à mettre la main sur votre RIB, il lui suffit d’émettre un avis de prélèvement auprès de votre banque pour tranquillement se servir sur votre compte. Tout cela sur des milliers de clients à la fois, et en plus en partageant lesdits RIB avec sa nébuleuse de sociétés toutes plus fantoches les unes que les autres pour réitérer le même stratagème – on parle de montants finaux à huit chiffres tout de même. Apparemment, il semble beaucoup plus facile pour le gugusse en question de lancer des prélèvements que pour les clients de les arrêter – sans même parler de récupérer leurs sous.

À lire aussi : Revue d’actualité cyber un tantinet décalée

J’aimerais juste que l’on m’explique un truc. Quand je paye sur Internet, je dois générer une CB virtuelle à usage unique (et pour ce faire m’authentifier en MFA sur mon interface bancaire). Au moment de payer, je reçois une seconde confirmation sur un terminal (au préalable enregistré par une manip assez lourde) qui me réclame encore une validation passant par une MFA. Quand je crée un bénéficiaire externe (opération sensible) pour réaliser un virement de banque à banque, même topo : c’est lourdingue, mais c’est sécurisant. Et pour un prélèvement venant d’une boîte même pas forcément française, c’est la fête à Bibi ? Nada ? Aucune vérification ? Quoi qu’elles en disent, les banques sont richissimes et elles sont incapables de sécuriser un minimum les opérations sensibles. Alors, mon petit, jamais pensé à mettre en place des white lists de prélèvements ?

Ma première lecture de l’arrêt susnommé était (je vous la livre sans fioritures) : pourquoi condamner la banque pour ne pas avoir fait une vérification que l’entreprise aurait pu faire elle-même ?

Ma seconde lecture est : maintenant les banquiers vont devoir faire leur job, qui est légèrement de protéger nos sous, histoire que le pays ne soit pas la vache à lait de tous les escrocs de la Terre. La Cour leur a juste dit (avec les formes) que le temps où les banquiers pouvaient bosser comme des gougnafiers était en train de se terminer.

Pour information, chez certaines néobanques comme Revolut, s’opposer à un prélèvement prend deux secondes, d’un simple clic sur votre smartphone pour annuler l’opération, comme quoi rien de plus facile. Et si l’on arrête de filer nos RIB et que tout passe par des CB virtuelles (ou des RIB virtuels, ce qui fonctionne aussi) résiliables à tout moment, ça le fait aussi.

Quand il s’agit de pondre des montages financiers pour constituer des ETF et autres formes de placements plus ou moins complexes (j’adore les produits dits « structurés », un bel enfumage au demeurant), là, les banquiers savent trouver des moyens, mais quand il s’agit de protéger nos bas de laine, curieusement un peu moins. La seule façon que les banques arrêtent d’accepter l’usage de CB physiques pour les achats à distance (il paraît que certaines banques ne proposent même pas les CB virtuelles à usage unique, on croit rêver en 2024), les virements manifestement anormaux, les prélèvements à gogo et toute autre opération qui aurait dû disparaître du paysage depuis au moins dix ans, c’est la prune. De préférence maousse.

Cédric pas content.

1. https://www.courdecassation.fr/en/decision/66fce2738d6ea26f688da3d3

2. https://www.frandroid.com/produits-android/2361388_affaire-indexia-hubside-la-revanche-des-consommateurs-a-coup-dindemnites