Le piratage bancaire est en train d’exploser en France. Tous nos conseils pour sécuriser vos comptes et cartes de paiement.

banques-etablissements-bancaires-cerino_paysage360

Flame, Mitmo… Ces drôles de noms ne vous disent sans doute rien, mais les virus informatiques qui se cachent derrière ont peut-être déjà infesté votre ordinateur. Et communiqué à leurs créateurs vos codes bancaires… Ne vous croyez pas à l’abri : selon l’Observatoire de la délinquance et des réponses pénales (ONDRP), 650 000 ménages ont subi des débits frauduleux en 2011 (+ 30% sur un an), pour un préjudice moyen de 960 euros. La plupart des victimes n’ont même pas pu compter sur leur banque pour stopper l’hémorragie, l’alerte d’un risque de piratage ne leur ayant été ­signalé que dans 20% des cas…

Avec le boom du commerce sur Internet et l’arrivée du paiement «sans contact» (vous réglerez l’achat d’une baguette avec votre smartphone), on peut hélas parier que la situation va empirer. Mais rassurez-vous : ce dossier fait le point sur les fraudes les plus courantes et livre les parades pour vous en prémunir, des nouveaux services de paiement en ligne aux meilleurs antivirus, en passant par les banques les plus sécurisées. Certes, elles sont tenues de rembourser les sommes dérobées, mais nombre d’entre elles font traîner l’affaire des semaines ou des mois… Et n’hésitent pas à exiger un dépôt de plainte (non obligatoire pourtant), à vous appliquer des pénalités ou à vous facturer des agios en cas de découvert ! Voici la marche à suivre pour vous éviter les ennuis.

Usurpation du numéro de carte sur les sites de commerce en ligne : 350 000 victimes par an

Matériel high-tech, vêtements de marque… Quand il s’agit de faire leurs emplettes sur Internet en utilisant un numéro de carte volé, les pirates se montrent hyper sélectifs : le produit doit pouvoir se revendre vite et cher ! Du coup, l’addition est souvent salée : au moins 300 euros dans 50% des cas, avec des pointes à plus de 3 000 euros. Mais comment font-ils pour se procurer vos données confidentielles, c’est-à-dire le numéro de carte, sa date d’expiration et le cryptogramme situé au verso ? Simple : ils installent un logiciel espion sur votre ordinateur à l’occasion d’un banal téléchargement (documents, vidéo…). Ce mouchard n’est pas vraiment futé : il se contente d’enregistrer les frappes effectuées sur le clavier. Mais il fournira vos codes de paiement au premier achat que vous réaliserez en ligne…

La parade : Il existe un moyen infaillible de stopper ce type de fraude : acheter exclusivement sur des sites munis du logo 3D Secure : pour finaliser la transaction, ce système impose la saisie d’un code envoyé par SMS sur votre ­mobile. Le problème est que 60% des commerçants en ligne n’en sont toujours pas équipés, dont des poids lourds comme Amazon, la Fnac ou PriceMinister (Voyages-sncf vient tout juste de l’adopter). Une autre solution est alors de faire vos achats via l’e-Carte bleue, dispositif virtuel (il n’y a pas de carte délivrée) proposé aujourd’hui par toutes les banques, qui envoie un code unique et crypté à saisir avant chaque transaction. Avantages : ce type de paiement, très fiable, est accepté sur la plupart des sites et ne coûte qu’entre 10 et 15 euros par an. Dernier conseil : chez vous, préférez toujours une connexion filaire au Wi-Fi, dont les données sont beaucoup plus faciles à intercepter, même avec un code de cryptage. Quant aux Wi-Fi publics non sécurisés, que l’on trouve désormais partout (restaurant, hôtels…), ils sont à fuir !

Retrait frauduleux à un distributeur automatique de billets : 85 000 victimes par an

Cette arnaque est en pleine ­expansion (+ 18% de cas déclarés en 2011). Pour réussir leur coup, les escrocs commencent par repérer discrètement le code de votre carte lorsque vous êtes au distributeur (en se plaçant à vos côtés ou, de plus en plus souvent, grâce à une caméra-épingle installée au préalable), puis la récupèrent, soit en vous faisant croire que la machine l’a avalée, alors qu’elle est retenue par une cordelette (technique du «collet marseillais»), soit en vous faisant les poches. Carte en main, ils savent qu’ils ne disposent que de quelques minutes avant que la manœuvre soit éventée. Mais c’est amplement suffisant pour se faire ratisser.

La parade : Privilégiez les distributeurs équipés de caméras de surveillance (il y en a de plus en plus) ou situés à l’intérieur des agences. Et pour déjouer les caméras-épingles, faites l’effort de placer votre main au-dessus du clavier lorsque vous tapez votre code. Mais si vous tombez dans ce genre de traquenard, sachez que votre responsabilité est limitée. Ce n’est qu’en cas de faute ­caractérisée (opposition plus de 48 heures après le vol) que l’argent soutiré ­restera à votre charge. Sinon, la banque a l’obligation de vous rembourser, à l’exception de 150 euros de franchise. «Certaines agences multiplient les paperasseries pour gagner du temps, mais une lettre au directeur suffit généralement à débloquer la situation», assure Serge Maître, de l’Association des usagers des banques (Afub).

Hameçonnage de vos identifiants de carte par envoi de faux e-mails : 20 000 victimes par an

Qui n’a pas failli au moins une fois se faire avoir ? Vous recevez un e-mail frappé du logo de votre banque, de votre mutuelle santé ou d’une administration quelconque (Bercy, Sécurité sociale…), qui vous invite à cliquer sur un lien afin d’actualiser vos coordonnées bancaires. Pour d’obscures raisons de maintenance informatique ou de sécurité (il faut oser !), on vous demande alors de saisir vos identifiants de carte de paiement. Gare ! Si vous acceptez, vous pouvez être sûr que votre compte sera débité dans la journée de multiples achats effectués dans les boutiques Internet. Les pirates spécialisés dans cette technique dite du «hameçonnage» envoient chaque jour des milliers de messages. «Très rentable pour eux : ça ne leur coûte quasiment rien, il y a toujours quelques dizaines de naïfs qui se font piéger», observe Bruno ­Vincent, spécialiste de la sécurité en ligne et directeur du cabinet de conseil Atlantis.

La parade : Pour détecter une tentative de hameçonnage, il suffit d’un peu d’attention et de bon sens. En effet, les messages des pirates, qui opèrent généralement de l’étranger (notamment des pays de l’Europe de l’Est), sont souvent émaillés de fautes de syntaxe ou d’orthographe. «De toute façon, aucune banque ne vous demandera de telles informations par e-mail !», certifie Jean-Marie Dragon, directeur marketing à La Banque postale. Dernière astuce pour déjouer la combine : le site sur lequel on vous renvoie doit normalement être sécurisé. Autrement dit, son adresse doit obligatoirement commencer par «https» (et non pas seulement par «http»). De plus en plus souvent, un dessin de petit cadenas figure au-dessous ou à ses côtés. Si rien n’est conforme, rebroussez vite chemin. Quant à l’e-mail suspect, direction la poubelle (on ne sait jamais, il peut contenir un virus informatique).

Falsification de la piste magnétique figurant au dos de la carte bancaire : 80.000 victimes par an

C’est le coup classique qui pend aujourd’hui au nez de tous les ­vacanciers et cadres en mission à l’étranger : dans de nombreux pays, comme les Etats-Unis ou la Thaïlande, on n’utilise pas le code secret de la carte pour ­effectuer des achats, mais la piste magnétique située au verso. Des petits malins se débrouillent alors pour la copier à l’aide d’appareils installés sur des distributeurs de billets, des automates de station-service ou de péage autoroutier. Certains commerçants opèrent même discrètement sous le comptoir, lorsque vous passez à la caisse. Cinq secondes suffisent. Ensuite, c’est toujours la même histoire : les achats sur Internet ­s’enchaînent. On ne s’aperçoit du délit qu’au retour en France, en épluchant ses comptes ou suite à un appel de sa banque signalant un découvert non autorisé. Car, se sachant à l’abri de la justice française, ces fraudeurs ­étrangers s’en ­donnent à cœur joie : dans 25% des cas, la note ­excède le seuil des 1 000 euros.

La parade : Tâchez de n’utiliser votre carte que pour les paiements effectués auprès de commerçants ayant pignon sur rue (loueurs de voitures, chaînes hôtelières…). Pour le reste, préférez le liquide, les traveller’s cheques (disponibles dans toutes les banques moyennant 1,5 à 3% de commission) ou une carte bancaire prépayée (20 euros par an en moyenne) munie de seulement 200 ou 300 euros. Bon à savoir : comme pour les fraudes réalisées sur le sol français, vous avez treize mois pour contester les débits, et votre banque doit vous indemniser à 100%.

Intrusion sur un compte bancaire en ligne pour effectuer un virement : 45.000 victimes par an

Ces apprentis pirates n’ont pas été vernis ! Parmi les dizaines de comptes qu’ils venaient de forcer (pour se payer des abonnements téléphoniques via un ­prélèvement automatique) se trouvait celui de Nicolas Sarkozy, alors président de la République… La police leur a vite mis la main au collet. Ce n’est pas toujours le cas : en faisant mouliner des logiciels de décryptage de code (ou en achetant des listes toutes prêtes), beaucoup parviennent à pénétrer discrètement dans les comptes, à mettre en place un ou deux gros prélèvements, puis à disparaître dans la nature (7% des fraudes en 2011).

La parade : Changer de code d’accès tous les six mois est devenu un impératif, car toutes les banques sont loin d’offrir un niveau de protection suffisant. Exemples : BNP Paribas oblige à changer de mot de passe toutes les 100 connexions, mais le Crédit mutuel n’impose rien. Et si LCL et Boursorama Banque fournissent un historique des connexions (permettant de ­repérer les éventuelles intrusions), cette fonction est ­introuvable chez leurs concurrents. Un bon point concernant les virements qui, contrairement aux prélèvements automatiques, ne sont pas toujours limités à 3 000 ou 4 000 euros par ­semaine : partout, l’ajout d’un compte externe est désormais sécurisé par l’envoi d’un SMS de validation.

 

Piratage des codes d’accès aux porte-monnaie électroniques : 3.000 victimes par an

Kwixo, Google Wallet ou Skrill : depuis deux ans, on ne compte plus les clones de PayPal, ce service permettant d’enregistrer une fois pour toutes ses coordonnées de carte bancaire, puis de payer en ligne avec un simple identifiant et un mot de passe. Ces coffres-forts virtuels ne sont néanmoins pas inviolables. Comme pour les codes d’accès des sites bancaires (lire plus haut), des robots informatiques sont capables de tester une à
une toutes les combinaisons possibles. Récemment, le compte PayPal d’un client a ainsi été débité de 1 200 euros.

La parade : Contrairement aux codes des sites bancaires, souvent limités à six chiffres, les possibilités sont ici plus étendues. Profitez-en : mélangez chiffres, lettres, ponctuations, minuscules et majuscules. «Aller au-delà de huit caractères réduit aussi considérablement le piratage», ajoute Christophe Nepveux, du service Kwixo. Et sachez qu’en cas de pépin vous bénéficiez de ­solides garanties : chez PayPal, par exemple, tout débit litigieux est remboursé à condition de le signaler dans les soixante jours.

Logiciels espions installés sur les téléphones mobiles : 2.500 victimes par an

Quel succès le smartphone ! Plus de 40% des Français en ont un. Hélas, n’ayant aucun antivirus préinstallé, ces appareils figurent au rang des appareils les plus vulnérables aux fraudes. Entourloupe classique : on vous incite à télécharger une application sympa et gratuite, en réalité un programme malveillant qui enregistrera vos codes ­d’accès dès que vous vous connecterez à votre compte ­bancaire (ou vos identifiants de carte de paiement quand vous effectuerez un achat en ligne). «Gare, en particulier, aux mobiles fonctionnant sous Android, de Google, dont les magasins d’applications sont nettement moins contrôlés que ceux de l’iPhone d’Apple», prévient Bruno Vincent.

La parade : Sachant que plus de 1 300 virus ont déjà été identifiés (smartphones et tablettes confondus), et que leur nombre croît de manière exponentielle depuis un an, téléchargez sans tarder un antivirus. Parmi les meilleurs produits du moment : Sophos Mobile Security, AVG et Avira.

Charlotte Simoni
© Capital

 

LAISSER UN COMMENTAIRE

Poster votre commentaire!
Entrer votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.