Fuites de données : les hackers de Free peuvent-ils utiliser votre IBAN pour régler leurs achats ?

C’est l’angoisse des 19 millions de clients Free touchés par la fuite de données, dont certains ont vu leurs IBANs finir dans la nature : voir sur leurs comptes bancaires des sommes prélevées qu’ils n’ont jamais validées.

« En théorie, il est impossible d’effectuer des achats avec le seul IBAN », martèle Arnaud Delomel, avocat spécialisé en droit du crédit et de la consommation que nous avons interrogé. Impossible, vraiment ?

Sur 01net.com, nous avons voulu tester cet impossible. Pour ce faire, nous, alias Stéphanie et Geoffroy, nous sommes glissés dans la peau d’un escroc qui aurait en sa possession des IBAN de clients Free dérobés pendant la cyberattaque. D’un commun accord, nous nous sommes échangés nos IBAN respectifs pour voir si nous réussirions, chacun de notre côté, à régler un achat, avec ce seul document. L’idée : réaliser un paiement, via un prélèvement SEPA, à l’insu de l’autre – enfin, « à l’insu de son plein gré ». Et le résultat de notre expérimentation en a surpris plus d’un, nous compris.

Une procédure plus légère pour les prélèvements SEPA que pour les paiements en ligne

Si l’IBAN ou le RIB ne sont pas en soi des moyens de paiement, ils permettent de mettre en place des prélèvements SEPA. Ce sont eux que vous initiez pour tous les paiements répétitifs comme vos forfaits mobile ou internet, vos abonnements à des plateformes de streaming, votre salle de sport, ou encore le paiements des vos impôts.

Un prélèvement SEPA est censé vous faire gagner du temps : en remplissant un mandat de prélèvement (avec votre numéro d’IBAN), vous autorisez un créancier (celui qui est payé comme Netflix ou le Fisc) à débiter régulièrement le compte d’un payeur (vous) sur des sommes plus ou moins prédéfinies (le forfait souscrit, le montant de vos impôts) pour une période donnée : autant d’opérations que vous n’aurez pas à effectuer individuellement.

Et contrairement aux virements ou aux paiements en ligne qui nécessitent moult validations de votre part, vous vous êtes peut-être déjà aperçus qu’en cas de prélèvement, la procédure était beaucoup plus légère.

Il suffit en effet de remplir un formulaire souvent en ligne (un mandat de prélèvement) avec votre IBAN pour voir quelques semaines plus tard votre compte être débité d’un abonnement ou de paiements échelonnés des impôts. À quel point ce mandat est-il protégé ? Pour le savoir, nous décidons de nous lancer dans notre expérimentation, en choisissant deux sites qui acceptaient le paiement par prélèvement.

Episode 1 : Oui, votre IBAN peut être utilisé à votre insu pour régler des achats en ligne (Geoffroy)

Pour effectuer un achat en ligne en le payant avec l’IBAN de ma collègue, je choisis de jeter mon dévolu sur Amazon. Le marchand en ligne est une place de marché très utilisée en France, et il propose une option permettant de payer ses achats via un prélèvement sur compte bancaire.

Je me rends donc dans les paramètres de mon compte Amazon, au sein de la section consacrée aux moyens de paiement pour y ajouter le compte bancaire de ma collègue comme nouvelle méthode de paiement.

Je m’exécute en sélectionnant cette option, saisis l’IBAN du compte de ma collègue, renseigne son nom dans la case titulaire du compte. Un clic plus tard, l’ajout de son compte courant est validé. Les achats réalisés depuis mon compte Amazon peuvent à présent être réglés directement par prélèvement bancaire sur le compte de ma collègue. Un jeu d’enfant.

Reste désormais à vérifier si l’achat d’un objet sera validé avec ce nouveau moyen de paiement. Car généralement, à l’ajout d’une nouvelle carte bancaire comme moyen de paiement sur Amazon, les banques obligent l’utilisateur à vérifier son identité. Cette vérification est habituellement faite via une authentification biométrique depuis l’application mobile de la banque lors du premier achat.

Je décide donc de faire l’acquisition d’un magnifique stylo Bic quatre couleurs à 1,59 euro que je ferai livrer à mon domicile, et que je paierai avec un virement SEPA, prélevé sur le compte de ma collègue. Aucune vérification ne me sera demandée, ni à moi, ni à ma collègue Stéphanie, propriétaire du compte qui sera débité.

Ma commande est validée, et expédiée dans la foulée. Moins de 24 heures plus tard, je la reçois à mon domicile. Après quelques jours de patience, nous vérifions si le montant de ma commande a bien été débité de son compte. Sans surprise, c’est bien le cas.

 

Episode 2 : Oui, l’IBAN d’un tiers peut être utilisé pour souscrire un abonnement téléphonique (Stéphanie)

J’ai choisi pour ma part de souscrire un abonnement à bas prix chez un opérateur télécom. J’opte pour une formule à 1,99 euro 2 Go par mois chez B&You de Bouygues Telecom. Nouvelle cliente, je crée un nouveau compte en donnant mon vrai nom, mon adresse email professionnelle et mon adresse postale. À noter qu’à aucun moment de la procédure, il ne m’a été demandé de pièce d’identité.

Je choisis un nouveau numéro, puis la eSIM à 1 euro.

À l’étape du paiement, mon IBAN m’est demandé pour les prélèvements : je renseigne scrupuleusement les données de l’IBAN de Geoffroy.

Je clique sur valider sans qu’aucune alerte n’apparaisse. De son côté, Geoffroy ne reçoit aucune notification. Je dois ensuite régler en amont l’achat de la eSIM à 1 euro. Cette fois, j’utilise ma propre carte bancaire, et mon propre nom, l’objectif étant uniquement de tester les mesures de sécurité du mandat de prélèvement. La commande est validée.

Le lendemain, j’active la ligne. Bouygues m’informe que le prélèvement aura lieu le 20 novembre prochain. Pourquoi pas tout de suite ? L’opérateur respecte en fait un délai de paiement prévu par la loi (de 15 jours calendaires), qui peut être raccourci via un contrat ou conditions générales d’utilisation, ce qui n’est pas le cas ici.

Quelques jours plus tard, je me rends dans mon espace personnel. Une notification de Bouygues Telecom m’informe que le mandat de prélèvement n’est pas signé.

La procédure va-t-elle être arrêtée ? Mes soupçons se confirment lorsque j’initie la signature du mandat – l’opération consiste à vérifier les données du mandat de prélèvement où mon nom est inscrit, avec l’IBAN de Geoffroy. Avant de cliquer sur « Signer électroniquement », il est bien indiqué que « pour procéder à la signature électronique de mon mandat de prélèvement, je demande mon code de validation sécurisé, et je le saisis électroniquement ».

Je clique et… la signature est validée. Aucun code de validation ne me sera demandé. La confirmation de la signature de mon mandat m’est ensuite envoyée par SMS sur mon smartphone.

Le mandat de prélèvement est donc validé, mais contrairement à l’expérience de Geoffroy, le prélèvement n’a pas encore eu lieu, à l’heure de la publication de cet article. Il aura lieu le 20 novembre prochain.

Quelles conséquences de ces expérimentations made in 01net ?

Ces deux prélèvements auraient pu être réalisés par n’importe quel escroc en possession de l’un des 5 millions d’IBAN ayant été dérobés récemment à Free. Pour notre expérience, nous avons utilisé nos comptes personnels ou nos vrais noms, avec un moyen de paiement identifié à un autre nom. Mais rien n’empêcherait un malfrat de créer plusieurs comptes Amazon usurpant l’identité des clients de Free afin d’utiliser les IBAN correspondants. Il n’aurait ensuite qu’à faire livrer ses commandes frauduleuses dans des lockers Amazon pour passer totalement inaperçu et recevoir gratuitement des produits vendus sur la plate-forme.

Rien n’empêcherait non plus un escroc de profiter d’un abonnement téléphonique, sous un faux nom (puisqu’aucune pièce d’identité ne nous a été demandée), voire de réaliser d’autres achats, jusqu’à ce que le propriétaire de l’IBAN conteste les prélèvements effectués auprès de sa banque.

« En l’espèce, c’est exactement ce qui peut arriver aux victimes de Free : être ponctionné de sommes assez petites pour passer inaperçues pendant plusieurs mois, puisque si nous sommes prélevés d’un montant important, nous le contesterons immédiatement, et la banque devra nous rembourser », explique Arnaud Delomel, avocat qui défend régulièrement des victimes d’escroquerie financière au cabinet Delomel.

Mais outre cette vigilance qu’il faut avoir en vérifiant chaque semaine nos comptes, qu’est-ce qui a péché dans nos deux expériences ? Comment se fait-il que nos deux opérations aient été toutes deux validées sans la moindre difficulté ?

Pour les banques, c’est au créancier de vérifier le mandat de prélèvement

Après nos deux expériences, nous nous sommes d’abord tournés vers nos banques respectives. Si le CIC n’avait pas répondu à nos sollicitations, à l’heure de la publication de cet article, le Crédit Agricole nous a rappelé qu’elle n’était pas tenue de contrôler la bonne signature du mandat de prélèvement SEPA, car elle n’était pas destinataire de ce document (signé par Geoffroy avec l’IBAN de Stéphanie), qui reste entre les mains du seul créancier (ici, Amazon). Dans le cadre d’un paiement par prélèvement, « il appartient au créancier qui reçoit le mandat de prélèvement de vérifier la correspondance entre l’IBAN et le titulaire ». En d’autres termes, les contrôles doivent être effectués par le créancier (Amazon et Bouygues dans notre expérience), selon l’établissement bancaire.

Un point confirmé par la Banque de France, que nous avons contactée. L’institution financière nous explique que « dans le cas du virement, l’initiateur de l’opération est le payeur (vous), qui est donc présent au moment de la transaction et qui peut donc s’authentifier. Mais dans le cas du prélèvement, la logique est inversée puisque c’est le bénéficiaire (l’opérateur télécom, la place de marché, NDLR) qui initie l’opération en “l’absence” du payeur ». Si d’un côté, le consentement est donné via « la signature préalable d’un mandat entre les deux parties en dehors du système bancaire », de l’autre, le payeur (donc vous) bénéficie de plusieurs contreparties qui vont venir le protéger.

Ce dernier va :

• recevoir « une notification préalable du créancier au débiteur en amont de l’exécution du prélèvement (au moins 14 jours calendaires avant la date d’échéance du prélèvement, sauf accord contractuel différent) » ;
• bénéficier « d’un droit au remboursement inconditionnel pendant 8 semaines après l’exécution du prélèvement » – inconditionnel car il n’a pas à le justifier ;
• ce droit au remboursement court jusqu’à 13 mois après le débit, « en cas de prélèvement non autorisé (mandat inexistant, révoqué ou caduc) ».

En d’autres termes, en matière de prélèvement SEPA, les barrières sont en amont moins importantes que lors d’un paiement en ligne, mais le client peut contester facilement l’opération et se faire rembourser, s’il respecte le délai d’un an et un mois.

Pour autant, ces barrières existent bel et bien : le créancier est censé vérifier qu’il n’y a aucune irrégularité – que la personne qui remplit le mandat est bien le titulaire du compte bancaire qui sera prélevé, par exemple. Un point qui ne semble pas avoir été suivi dans nos deux expérimentations.

Qu’en pensent Amazon et Bouygues ?

Contacté plus d’une semaine avant la publication de cet article, Bouygues n’a pas donné suite à nos demandes. De son côté, un porte-parole d’Amazon nous a expliqué tout mettre en œuvre pour sécuriser les paiements par prélèvement automatiques sur sa plateforme. Pour le géant de l’e-commerce, « la sécurité est une priorité absolue (…) ».

« (…) Nous investissons des ressources importantes pour garantir une expérience d’achat sûre et fiable. Nous nous appuyons sur des équipes dédiées et avons investi dans des systèmes de gestion des risques de pointe pour protéger les clients en détectant et en bloquant les transactions suspectes. Cela comprend des modèles d’apprentissage automatique qui analysent des milliers de points de données et des millions de données de transaction uniques afin de prévoir les fraudes et d’identifier les risques ».

Que retenir de cette expérience ?

Lorsque nous avons expliqué à des experts du secteur bancaire la facilité déconcertante avec laquelle nous avons réussi à payer avec l’IBAN d’un autre, la réponse a toujours été la même : tous nous ont expliqué que c’était impossible. Face à cette situation, ces derniers recommandent en aval de vérifier très régulièrement ses comptes bancaires, et de contester les opérations dont nous ne sommes pas à l’origine, y compris pour de toutes petites sommes. « Cela doit faire partie de notre quotidien : un peu plus de vigilance, un contrôle une fois par semaine de ses comptes bancaires, ça ne mange pas de pain, ça prend cinq minutes avec son téléphone », estime Maître Delomel.

Faut-il davantage de protection en amont, pour les mandats de prélèvements et pour les prélèvements, en particulier dans ce contexte de fuites incessantes de données personnelles et d’IBAN ? La question, si on y répond par la positive, devra se régler à Bruxelles, puisque le prélèvement SEPA est un standard européen – ce qui gage qu’il faudra de nombreuses années pour modifier la situation actuelle.

En attendant, la Banque de France a tenu à rappeler que ce type de fraude bancaire restait très minoritaire en 2023. Selon l’Observatoire de la sécurité des moyens de paiement (OSMP), « l’utilisation frauduleuse de l’IBAN d’un tiers pour payer un produit ou service par prélèvement concernait 1 % des montants de fraude remontés par les établissements bancaires français de l’OSMP sur le prélèvement ». Au total, cela représenterait seulement 317 000 euros sur les 22 millions d’euros que représente la fraude au prélèvement – « soit un montant très faible par rapport aux autres fraudes et arnaques financières ».

Dans cette catégorie générale, la très grande majorité des cas (98 %) concerne plutôt des « créanciers fraudeurs », selon le rapport de l’OSMP de 2023. Ces derniers émettent de faux ordres de prélèvements, en exploitant par exemple des listes d’IBAN obtenus suite à des fuites de données, à l’image d’un individu qui vous facturerait des services que vous n’avez pas demandés, sommes qui passeraient de votre compte bancaire au sien.

Mais là aussi, ces fraudeurs finissent par être repérés – certes a posteriori – par les établissements bancaires en cas « de taux de rejets de prélèvements importants ou anormaux vis-à-vis d’un créancier donné, en raison des contestations des payeurs ». La banque de ces derniers peut alors agir en les mettant sous surveillance et en leur interdisant ce moyen de paiement… voir en radiant leur numéro du créancier dans le référentiel de Banque de France des Identifiants Créanciers SEPA (ICS), ce qui reviendrait à mettre définitivement fin à leurs prélèvements frauduleux.

Le message à retenir est donc celui-ci : vous pouvez être frauduleusement prélevé, mais vous serez remboursé après coup si vous contestez ces prélèvements… Pas sûr que cela suffise à rassurer totalement les 19 millions de victimes de la fuite de Free… et toutes les autres.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.