Arnaques bancaires : le bon vieux temps de Charles Ponzi

Si j’ose dire, c’était – presque – le bon temps, au sens où vous ne pouviez jamais perdre que ce que vous aviez misé. Quand on appâte le chaland avec des placements à rendements fabuleux (15 %, 18 % voire plus quand la bourse peine à dépasser les 6 % sur le long terme inflation déduite), ledit chaland ne doit finalement s’en prendre qu’à lui même et à sa propre cupidité. Sauf que là on assiste depuis 2 ou 3 ans à un changement de paradigme qui devrait inquiéter sérieusement les autorités de tous les pays « riches », ce qui ne semble pas être spécialement le cas.

Récemment en effet, le journaliste Thibaut Martinez-Delcayrou a fait paraître « Les caméléons : enquête sur l’arnaque aux faux conseillers bancaires », enquête journalistique portant sur une arnaque dont il a été lui-même victime, et qui a tout de même touché entre autres le juge Bruguière, Dominique Strauss-Khan, des avocats, des cadres, des chefs d’entreprise, bref des gens qui à priori ne font pas partie de la moitié la plus crédule ou la plus bernable de la population.

Le mécanisme est à peu près stable : un individu se faisant passer pour un employé de votre banque (ou de son service fraude) vous contacte au motif que des virements frauduleux sont en train d’être passés sur vos comptes et pour les stopper il faut communiquer un code que vous recevez par SMS – ledit code servant en fait à valider la transaction. Le journaliste affirme s’être fait vider son compte courant de la sorte, et que certains se sont même fait dépouillés de la bagatelle de 200 000 euros par ce mécanisme, et tous les codes de l’arnaque y sont : appel en urgence, en dehors des heures ouvrables de votre agence, bruits artificiels de salle de marché en fond sonore, discours technique et assurance verbale de l’interlocuteur, etc.

A ce stade, il y a plusieurs points qui me surprennent, je me dois de vous en faire part. Je fais référence, dans la suite, aux mécanismes de sécurité mis en place par certaines banques. Bien entendu je n’ai pas réalisé de benchmark, ce ne sont que les exemples que je connais.

Le premier point, c’est que pour ce qui est de certaines banques justement (et de la mienne entre autres), pour exfiltrer des sous il faut :

- créer un bénéficiaire de virement externe ; cette création, si elle est faite par un individu qui a réussi à vous chiper vos ID/MDP sur l’interface Web, génère une alerte SMS + mail dans les minutes qui suivent ; petit détail : quand il s’agit de RIB hors France, c’est encore plus contraignant (les RIB de certains pays hors UE sont carrément interdits).

- attendre le délai de carence pour que ce RIB externe soit utilisable, minimum 48h ;

- passer des virements qui vont générer une demande de validation sur un terminal de confiance, smartphone ou tablette préalablement appareillés à votre compte au travers d’un mécanisme qui est assez lourd et qui exigent un ID différent de celui de votre site Web (dit autrement, avec l’ID/MDP Web impossible d’installer l’App sur le smartphone) ;

- précision : une banque « sérieuse » n’envoie plus de jeton MFA par SMS, mais par l’appli sur smartphone préalablement enregistrée ;

- être bloqué par les montants maximums journaliers, hebdomadaires ou mensuels (3 seuils différents) dont la modification ne peut être réalisée que sur un terminal de confiance.

(je vous passe les détails pour le paiement par CB en ligne, mais chaque étape – création d’une CB à usage unique et paiement – est également en MFA).

Pour certaines banques d’ailleurs, toutes ces opérations de création de RIB et de virement sont en MFA (en plus des autres limitations sur le délai de carence et les montants maximums). A ce stade, il reste la bonne vieille méthode de pistolet sur la tempe, mais à distance et à l’échelle industrielle c’est plus compliqué pour les arnaqueurs.

Le premier point qui me surprend est qu’il semblerait que pas mal de banques n’aient pas mis en place ce niveau de protection : à celles-la je leur dit « dans votre face l’article 133-18 du Code Monétaire et Financier qui vous oblige à rembourser le Client ».

Le deuxième point qui m’interpelle, c’est que lorsque les banquiers en auront marre de se faire tondre à rembourser leurs clients « inattentifs » et auront mis en place ce même niveau de protection (et c’est certainement pour cela que les juge tranchent systématiquement en faveur du consommateur et ils ont bien raison), il restera toujours des crétins de la lune pour valider 3 fois les alertes MFA qui arrivent sur leur smartphone, valider un RIB hors UE, valider un virement de 15kEUR vers un RIB étranger : ceux-là n’auront plus que leurs yeux pour pleurer. Et il y en aura, et là perdus les soussous pour de bon.

Le dernier point qui m’interpelle – et qui devrait aussi vous alerter – c’est que j’ai pris le temps d’aller faire un petit tour sur la page du site web de ma banque consacré aux conseils anti-arnaques. Et là ça pique : la liste des arnaques possibles est longue comme un jour sans partie de Mario Kart. Fraude au faux conseiller, phishing par mail ou sms, chantage et demandes de rançon (le fameux mail de la Préfecture de Police prétendant engager des poursuites), escroquerie « Coucou papa/maman », fraude à la remise de chèque, escroquerie au placement miracle, utilisation de votre compte comme mule financière, faux crédit, sim swap, fraude au président, fraude au faux coursier, fraude au faux RIB, fraude à la CB, fraude au coursier CB, fraude au paiement sans contact : cela n’en finit pas et même en étant de la partie cyber (RSSI, expert technique, etc.) faut suivre, alors je vous laisse imaginer Mme Tronchu dans son pavillon de province.

Le prochain paradigme sera de passer en full zero trust pour utiliser son propre argent, et je n’ose imaginer les difficultés ergonomiques juste pour aller payer une baguette de pain en sans-contact. Par pitié, laissez-nous le cash disponible au moins pour les petits achats !

Ah le bon temps de Charles Ponzi !

(1) En fait elle existait avant lui, mais il est le premier à l’avoir autant utilisé à une telle échelle