Arnaques bancaires : le bon vieux temps de Charles Ponzi

Si j’ose dire, c’était – presque – le bon temps, au sens où vous ne pouviez jamais perdre que ce que vous aviez misé. Quand on appâte le chaland avec des placements à rendements fabuleux (15 %, 18 %, voire plus quand la Bourse peine à dépasser les 6 % sur le long terme, inflation déduite), ledit chaland ne doit finalement s’en prendre qu’à lui-même et à sa propre cupidité. Sauf que là, on assiste depuis deux ou trois ans à un changement de paradigme qui devrait inquiéter sérieusement les autorités de tous les pays « riches », ce qui ne semble pas être spécialement le cas.

Récemment en effet, le journaliste Thibaut Martinez-Delcayrou a fait paraître Les Caméléons : enquête sur l’arnaque aux faux conseillers bancaires, document portant sur une escroquerie dont il a lui-même été victime, et qui a tout de même touché, entre autres, le juge Bruguière, Dominique Strauss-Khan, des avocats, des cadres, des chefs d’entreprise, bref des gens qui a priori ne font pas partie de la moitié la plus crédule ou la plus bernable de la population.

Le mécanisme est à peu près stable : un individu se faisant passer pour un employé de votre banque (ou de son service Fraude) vous contacte au motif que des virements frauduleux sont sur le point d’être passés sur vos comptes. Pour les stopper, il faut communiquer un code que vous recevez par SMS – ledit code servant en fait à valider la transaction. Le journaliste affirme s’être fait dépouiller de la bagatelle de 200 000 euros par ce mécanisme, et tous les codes de l’arnaque y sont : appel en urgence, en dehors des heures ouvrables de votre agence, bruits artificiels de salle de marché en fond sonore, discours technique et assurance verbale de l’interlocuteur, etc.

À ce stade, plusieurs points me surprennent, dont je me dois de vous faire part. Je fais référence, dans la suite de cet article, aux mécanismes de sécurité mis en place par certaines banques. Bien entendu, je n’ai pas réalisé de benchmark : je me contente de citer les exemples que je connais.

Le premier point, c’est que certaines banques justement (et la mienne entre autres) exigent, pour exfiltrer des sous, de :

– créer un bénéficiaire de virement externe ; cette création, si elle est faite par un individu qui a réussi à vous chiper vos ID/MDP sur l’interface Web, génère une alerte SMS + mail dans les minutes qui suivent. Petit détail : quand il s’agit de RIB hors de France, c’est encore plus contraignant (les RIB de certains pays hors UE sont carrément interdits).

– attendre le délai de carence de 48 heures au minimum pour que ce RIB externe soit utilisable ;

– passer des virements qui vont générer une demande de validation sur un terminal de confiance, un smartphone ou une tablette préalablement appairé(e) à votre compte au travers d’un mécanisme assez lourd qui exige un ID différent de celui de votre site Web (dit autrement, avec l’ID/MDP Web, impossible d’installer l’app sur le smartphone) ;

– précision : une banque « sérieuse » n’envoie plus de jetons MFA par SMS, mais par l’appli sur smartphone préalablement enregistrée ;

– être bloqué par les montants maximums journaliers, hebdomadaires ou mensuels (trois seuils différents) dont la modification ne peut être réalisée que sur un terminal de confiance.

(Je vous passe les détails pour le paiement par CB en ligne, mais chaque étape – création d’une CB à usage unique et paiement – est également en MFA.)

Pour certaines banques d’ailleurs, toutes ces opérations de création de RIB et de virement sont en MFA (en plus des autres limitations sur le délai de carence et les montants maximums). À ce stade, il reste la bonne vieille méthode du pistolet sur la tempe, mais à distance et à l’échelle industrielle, c’est plus compliqué pour les arnaqueurs.

Premier point surprenant : il semblerait que pas mal de banques n’aient pas mis en place ce niveau de protection. À celles-là, je dis : « Dans votre face l’article L. 133-18 du Code monétaire et financier qui vous oblige à rembourser le client. »

Le deuxième point qui m’interpelle, c’est que lorsque les banquiers en auront marre de se faire tondre en remboursant leurs clients « inattentifs » et qu’ils auront mis en place ce même niveau de protection (c’est certainement parce qu’ils ne l’ont pas fait que les juges tranchent systématiquement en faveur du consommateur, et ils ont bien raison), il restera toujours des crétins de la lune pour valider trois fois les alertes MFA qui arrivent sur leur smartphone, valider un RIB hors UE, valider un virement de 15 000 euros vers un RIB étranger : ceux-là, il y en aura, n’auront plus que leurs yeux pour pleurer et, là, perdus les sousous pour de bon.

Le dernier point qui m’interpelle – et qui devrait aussi vous alerter –, c’est que j’ai pris le temps d’aller faire un petit tour sur la page du site Web de ma banque consacrée aux conseils anti-arnaques. Et là ça pique : la liste des arnaques possibles est longue comme un jour sans partie de Mario Kart. Fraude au faux conseiller, phishing par mail ou SMS, chantage et demande de rançon (le fameux mail de la préfecture de police prétendant engager des poursuites), escroquerie « Coucou papa/maman », fraude à la remise de chèque, escroquerie au placement miracle, utilisation de votre compte comme mule financière, faux crédit, Sim swap, fraude au président, fraude au faux coursier, fraude au faux RIB, fraude à la CB, fraude au paiement sans contact : l’inventaire n’en finit pas, et même en tant que professionnel de la cyber (RSSI, expert technique, etc.) faut suivre, alors je vous laisse imaginer M^me Tronchu dans son pavillon de province.

Le prochain paradigme sera de passer en Full Zero Trust pour utiliser son propre argent, et je n’ose envisager les difficultés ergonomiques juste pour aller payer une baguette de pain en sans contact. Par pitié, laissez-nous le cash disponible au moins pour les petits achats !

Ah ! le bon temps de Charles Ponzi !