On parle beaucoup ces derniers temps de phishing des données bancaires, ou hameçonnage, qui consiste pour des escrocs à aller à la pêche aux données permettant l’accès aux comptes bancaires de leurs victimes. Si, pendant longtemps, les techniques utilisées par les fraudeurs étaient assez grossières, leurs messages criblés de fautes d’orthographe, aujourd’hui, les escrocs se professionnalisent et mettent en œuvre des méthodes toujours plus sophistiquées pour prendre dans leurs filets des victimes toujours plus nombreuses. Et les banques rechignent à accepter leur part de responsabilité.
Les chiffres de Febelfin en attestent: déjà, en 2019, la Fédération belge des banques annonçait une augmentation des cas de fraude à la banque en ligne, atteignant les 12.432 cas d’hameçonnage pour un total de 7.504.979 euros. En mars dernier, ce sont quelque 67.000 transactions frauduleuses par hameçonnage que Febelfin a portées à la connaissance du public. Détectées sur l’année 2020, ces fraudes ont représenté un montant d’environ 34 millions d’euros.
La Fédération belge des banques entame son communiqué de presse en relevant que les cas de fraude ont considérablement augmenté dans le monde entier et déclare que les banques belges déploient d’énormes efforts pour prévenir les fraudes de ce type (investissements dans la sécurité des services bancaires en ligne et mobile, suivi intensif des opérations, actions de sensibilisation). Elle y mentionne aussi le fait que malgré l’ingéniosité des fraudeurs, le phishing est simple à éviter si l’on fait preuve de suffisamment de vigilance et de prudence.
Il suffirait de suivre les conseils prodigués, notamment sur le site safeonweb.be, pour être en sécurité, ce qui est sans doute assez éloigné de la vérité. Comme le remarquaient Danielle Bovy et Isabelle Nauwelaerts, dans un article paru dans le n°272 de Budget & Droits (septembre/octobre 2020), «aujourd’hui, les auteurs (de messages frauduleux) écrivent très bien, les opérateurs téléphoniques parlent impeccablement et les sites contrefaits sont très bien imités. Chaque année, de nouvelles techniques apparaissent: les fraudeurs s’adaptent aux nouvelles technologies et aux habitudes des gens. Ils cherchent sans cesse des failles dans leur vigilance[1]». Une manière de se décharger de sa responsabilité, alors même que les hackers sont toujours plus ingénieux.
Des cas de fraude, de plus en plus nombreux
L’ombudswoman du secteur bancaire, Françoise Sweert[2], n’a pas manqué de mettre en avant dans ses rapports d’activité 2019 et 2020 la forte augmentation de ces cas d’hameçonnage, largement représentés dans les plaintes qui lui sont adressées chaque année.
En 2020, sur les 1.567 dossiers recevables (soit 31% en plus par rapport en 2019), 87,58% concernaient des banques et, plus spécifiquement, des plaintes relatives à des paiements et comptes de paiement (pour 57,2%, soit 896 dossiers). Dans 486 dossiers relatifs à des paiements et comptes de paiement, soit plus de la moitié, «Ombudsfin a dû se prononcer sur la contestation de transactions frauduleuses. Comme en 2019, la fraude (dossiers impliquant l’utilisation d’une carte de paiement et dossiers impliquant une fraude sur internet) a donc été le principal motif de plaintes. Tandis qu’il y a une diminution de deux dossiers de fraude utilisant la carte physique (de 95 dossiers en 2019 à 93 dossiers en 2020), il y a une augmentation de 172 dossiers de fraude par internet (221 dossiers en 2019; 393 dossiers en 2020)[3]». Dans ce même rapport d’activité 2020, Ombudsfin détaille plusieurs types de fraude[4] (fraude via 2ememain.be, phishingmail ou SMS, invitation à sécuriser ses avoirs par téléphone, invitation à placer son argent sur un prétendu compte à sécurité renforcée).
On y constate également que seul un tiers des plaintes de phishing considérées fondées par elle ont pu être résolues, les banques ne suivant pas toujours l’avis de l’Ombudsfin, considérant ne pas être légalement tenues d’intervenir dans les dommages résultant d’opérations de paiement non autorisées (voir encadré sur la responsabilité des banques).
Et en dehors du phishing?
Il ressort d’un certain nombre de documents et articles de presse qu’au-delà de la participation, le plus souvent involontaire, des consommateurs à des manœuvres frauduleuses, la sécurité des comptes bancaires n’est pas garantie comme elle le devrait, alors même que les banques poussent toujours plus leurs clients à utiliser des systèmes de paiement et de gestion de leurs comptes en banque entièrement numérisés.
Dans une analyse de Financité, produite par Anne Fily, intitulée: «Le cash, un outil de résilience sous-estimé», son auteure relève qu’au-delà des catastrophes naturelles qui pourraient nous priver d’alimentation électrique et les pannes informatiques des systèmes électroniques qui ont déjà paralysé à plusieurs reprises notre pays, «un système entièrement numérique est davantage vulnérable à la fraude et aux cyberattaques». Et de citer les cas de la banque Tesco qui, en novembre 2016, a vu 20.000 des comptes de ses clients concernés par des retraits frauduleux, pour un montant de trois millions d’euros qu’elle a dû rembourser. Idem pour la banque italienne UniCrédit, avec le piratage des données bancaires de 400.000 clients. En 2018, les services en ligne d’ABN-AMRO et ING aux Pays-Bas ont été interrompus pendant un week-end, en raison de cyberattaques. Début 2019, c’est la Metro Bank qui était victime d’une attaque de hackers, interceptant les messages autorisant des paiements.
Autre cas de figure relatée par le site en ligne BFMTV.com: le cas de la néobanque allemande N26, disponible depuis 2016 en Belgique. Exclusivement en ligne et sur mobile, les services de N26 ont été largement démontés par un chercheur en sécurité, Vincent Hauper, lors d’une conférence qui s’est tenue à Hambourg en 2016. Ce chercheur a mis au jour des failles permettant de contourner les dispositifs de sécurité. «Ainsi, l’application mobile chiffrait tous les échanges en https, mais ne vérifiait pas l’identité des serveurs N26. Il était donc possible d’utiliser de faux certificats, d’intercepter le trafic et de réaliser des attaques de type “Man-in-the-middle” (interception d’échanges cryptés entre deux personnes par des tiers) pour par exemple manipuler en temps réel les transactions. Le chercheur explique avoir pu multiplier par dix le montant d’un virement à la volée.»
Depuis ces failles ont été corrigées, mais les hackers ont plus d’un tour dans leur sac.
Pour plus de transparence
Pour Test-Achats (T-A) qui, dans un communiqué de presse datant de mars 2021, réagissait au caractère nébuleux du communiqué de Febelfin sur les chiffres 2020 d’hameçonnage, le nombre de fraudes signalées par ses membres a littéralement explosé et l’on ne peut plus, selon cette organisation, incriminer les consommateurs trop peu prudents ou trop crédules, étant donné la sophistication de plus en plus importante des techniques de fraude. T-A dénonce également le fait que les derniers chiffres communiqués par Febelfin sont assez flous, sans doute pour minimiser l’explosion des cas de fraude, et dont l’augmentation selon Febelfin serait due à un comptage différent des autres années, mais dont on ne sait rien. Et Julie Frère, porte-parole de l’association de consommateurs, de plaider pour que ces chiffres soient «soumis à une instance indépendante, telle que la BNB, pour validation. On ne peut pas se contenter de chiffres provenant d’une fédération professionnelle pour une thématique d’intérêt général». T-A considère ce sujet comme sensible et demande qu’il soit traité dans le cadre de la plateforme de réflexion sur la digitalisation forcée et l’augmentation des frais bancaires, placée sous l’égide de la BNB (National Retail Payements Committee).
Dans son rapport annuel 2019, Françoise Sweert, Ombudsfin désormais à la retraite, constatait déjà dans son avant-propos, intitulé «Stop au phishing des données bancaires»: «La lutte contre la fraude aux paiements en ligne doit prendre une place encore plus grande, tant auprès de la clientèle des banques qu’auprès des banques elles-mêmes. La digitalisation des paiements a fragilisé davantage une portion de la population moins avertie et donc plus sujette à la manipulation en raison d’une méconnaissance des mécanismes de paiement. Ombudsfin encourage le secteur bancaire à renforcer la sécurité des paiements et, notamment, à mettre en place des procédures adéquates pour déceler et intercepter les fraudes dès constatation de celle-ci.»
Nathalie Cobbaut
Quelle responsabilité dans le chef de qui?
Dans son rapport annuel 2019, Ombudsfin a longuement fait le point sur la répartition de la responsabilité en cas d’opérations non autorisées, soit les opérations frauduleuses contestées par les consommateurs. En 2019, sur 316 dossiers concernant de telles opérations, 95 d’entre eux concernaient la contestation d’opérations frauduleuses au moyen d’une carte de paiement volée ou perdue. 221 dossiers portaient sur la contestation d’opérations à distance via internet. Le nombre de dossiers «fraudes internet» est donc croissant et la répartition des responsabilités pour ce type de dossiers semble poser problème: en effet, sur les 591 plaintes qu’elle a traitées au cours de l’année 2019, 86,6% ont été résolues positivement, mais, pour les dossiers de fraude en ligne, l’analyse de l’ombudswoman ne coïncide pas toujours avec celle des institutions financières.
Le 14 juin dernier, le journal Het Laatste Nieuws, repris par la Libre, rendait compte d’une condamnation de la KBC en justice à rembourser des clients victimes de phishing pour un montant de 32.000 euros. Malgré des précisions législatives des contours de la responsabilité de chacun, les banques semblent vouloir contourner les règles, en imputant la négligence aux clients et refusent bien souvent de s’en remettre aux conclusions de l’ombudswoman des banques.
C’est pourquoi Françoise Sweert a réalisé un long focus juridique sur la répartition de la responsabilité en cas d’opérations de paiement non autorisées. Nous en reprenons certains extraits et vous renvoyons vers ce rapport annuel pour l’ensemble des considérations[5].
Opérations autorisées ou non?
Françoise Sweert rappelle d’abord que «selon le Code de droit économique, une opération de paiement n’est considérée comme autorisée que si le payeur a donné son consentement à l’exécution de l’ordre de paiement (art. VII.32 CDE). Sans le consentement (libre) du payeur, une opération de paiement est considérée comme non autorisée[6]». Ensuite l’ombusdwoman aborde la question de la charge de la preuve: si l’utilisateur d’un service de paiement nie avoir autorisé une opération de paiement ou affirme qu’elle n’a pas été correctement effectuée, le prestataire de services, qui refuse de voir sa responsabilité engagée, doit prouver que l’opération a été authentifiée, dûment enregistrée, dûment comptabilisée et n’a pas été affectée par une défaillance technique ou autre du service fourni. Le seul fait qu’un instrument de paiement ait été utilisé et enregistré par le prestataire de services ne forme pas automatiquement la preuve nécessaire que l’utilisateur aurait autorisé l’opération, aurait contrevenu à une ou plusieurs obligations qui lui incombent par négligence ou de manière intentionnelle.
Même si le prestataire de services de paiement a fourni les preuves susdites, l’utilisateur conserve le droit de rapporter de manière vraisemblable qu’il n’était pas conscient de l’opération qui a été autorisée. «Ombudsfin est d’avis que, par le fait qu’un plaignant soit la victime d’un certain type de fraude et qu’il soit en mesure de décrire en détail le mode opératoire du fraudeur, qu’il dépose une plainte auprès de la police et qu’il soumette une plainte à ce sujet à Ombudsfin, le plaignant, souvent sur la base de faits établis, rend vraisemblable le fait qu’il s’agit d’une opération non autorisée[7].»
Autres difficultés
En plus de cette question de l’autorisation ou non des opérations contestées, il semble que certains organismes bancaires assimilent l’autorisation à l’authentification. Après avoir fourni les preuves de l’authentification, ces derniers considèrent qu’il y a eu autorisation et donc qu’elles ne sont plus tenues de créditer provisoirement le compte et de faire une analyse plus approfondie du dossier. Pour Ombudsfin, les institutions financières se raccrochent à leurs propres conditions générales, alors que ces dernières contiennent des dispositions contraires à la loi et par conséquent nulles et non avenues.
Parmi les fraudes rapportées par Françoise Sweert, celle relative au téléchargement frauduleux d’une application de la banque par un fraudeur sur son propre téléphone mobile, liée à l’abonnement internet d’une victime, en ayant intercepté le numéro de carte, le numéro de Digipass et les codes générés avec le Digipass, après que la victime les a communiqués, consciemment ou non à l’auteur de la fraude. Une fois l’application mobile installée, le fraudeur choisit lui-même un code d’accès. Ombudsfin doute que, pour les opérations de paiement effectuées par le fraudeur, une fois l’application installée, il soit satisfait aux conditions d’authentification forte, pourtant désormais la norme pour presque toutes les opérations en ligne. Par ailleurs, Ombudsfin estime que l’installation d’une application mobile ne devrait pas se faire aussi facilement que la confirmation d’une opération de paiement. La banque devrait s’assurer que c’est bien son client qui demande l’activation de l’application.
N. Cobbaut
[1] B&D n°272, septembre/octobre 2020, p. 44.
[2] Dont le mandat s’est terminé en mai dernier, qui a exercé ses fonctions pendant douze ans et huit mois et sera remplacé par Jean Cattazura en juillet 2021.
[3] Rapport d’activité 2020, page 22.
[4] Voir pages 23 et suivantes du rapport d’activité 2020 d’Ombudsfin.
[5] Le rapport annuel 2019 est téléchargeable sur le site de l’Ombudsfin: https://www.ombudsfin.be/sites/default/files/RA-Ombudsfin%202019_0.pdf.
[6] Rapport annuel 2019 Ombudsfin, p. 17.
[7] RA 2019 Ombudsfin, p. 18.