Cri coi à la Banque postale : quatre mises en examen 9 novembre
Escroquerie à la Banque postale: quatre personnes mises en examen
Quatre personnes soupçonnées de détournements au préjudice de comptes de la Banque postale, pour au moins 150.000 euros, ont été déférées vendredi devant un juge de Bordeaux en vue de leur mise en examen pour « escroquerie en bande organisée ».
- KJ avec AFP
- Publié le 08/11/2014 | 15:21, mis à jour le 08/11/2014 | 15:21
Jeudi, six hommes et deux femmes, soupçonnés de détournements au préjudice de plusieurs comptes de la Banque postale, avaient été placés en garde à vue à Toulouse et Angers dans le cadre d’une enquête menée depuis plusieurs mois par la division financière du service régional de police judiciaire (SRPJ) de Midi-Pyrénées.
Outre le chef d’escroquerie en bande organisée, les quatre suspects déférés à Bordeaux à l’issue de leur garde à vue devaient être mis en examen pour « association de malfaiteurs en vue de commettre des délits punis de 10 ans de prison » et « blanchiment en bande organisée ».
Le préjudice est pour l’heure évalué à 150.000 euros. « C’est un montant provisoire qui devra être affiné lors d’investigations supplémentaires », a précisé le parquet.
Selon les premiers éléments de l’enquête, le mode opératoire consistait à récupérer des coordonnées bancaires et téléphoniques par +phishing+, puis à bloquer la carte SIM de la victime afin d’en récupérer un duplicata auprès de l’opérateur. Il ne restait alors plus aux escrocs qu’à obtenir par le biais de cette carte SIM des codes temporaires permettant la réalisation d’opérations de virements bancaires au profit de complices.
Piratage de la Banque postale : alerte aux malwares sur les smartphones !
Les virements frauduleux réalisés auprès de l’établissement bancaire montrent les limites des systèmes d’authentification forte basés sur un code envoyé sur un smartphone.
Depuis quelques jours, une petite dizaine de personnes est en garde vue à Toulouse pour avoir piraté des comptes de la Banque postale en effectuant des virements frauduleux. Montant du préjudice : plus de 800.000 euros. Mais quel était le mode opératoire de ces pirates ? En effet, pour effectuer des virements bancaires frauduleux, les criminels doivent, au préalable, s’enregistrer comme destinataire. Or, cette opération est protégée par un système dénommée « Certicode », un protocole d’authentification forte : lorsqu’un utilisateur veut rajouter une adresse bancaire, il reçoit un code de validation par SMS qu’il doit renseigner au niveau de l’application web. A priori, l’obstacle à surmonter est donc assez élevé. Existerait-il une faille dans l’application bancaire ?
Interrogé par 01net, la filiale de La Poste a affirmé que leurs outils étaient hors de cause, infirmant ainsi ce que l’on pouvait lire dans la plupart des articles de presse d’hier. Les pirates se seraient appuyés d’une part sur du phishing pour récupérer les identifiants, et d’autre part sur des malwares mobiles pour intercepter les codes de validation sur les smartphones. A ce titre, le service de communication de la Banque postale nous a communiqué une série de bons conseils aux utilisateurs. Par exemple : « ne répondez jamais aux emails qui pourraient vous être adressés au nom de la Banque postale » ou « installez un antivirus sur votre smartphone ». L’établissement bancaire souligne, par ailleurs, que toutes les victimes ont été remboursées.
D’autres solutions existent
Quoi qu’il en soit, même s’il n’y a pas de réelle faille dans le système de sécurité de la Banque postale, ce piratage démontre les limites des systèmes de sécurité avec code de validation par smartphone. Etant donné que les terminaux mobiles sont de plus en plus en ligne de mire des pirates, on ne peut plus les considérer comme un second facteur d’authentification fiable. L’avenir des systèmes tels que Certicode semble donc compromis à terme. D’ailleurs, certaines banques ont d’ores et déjà sauté le pas, en proposant des moyens alternatifs. Crédit Mutuel et CIC demandent, en plus du code dynamique envoyé par SMS, un code à piocher dans une grille imprimé sur papier. A la Banque populaire, le code dynamique est généré par une clé cryptographique au format clé USB.
Il existe une seconde raison pour bannir le smartphone parmi les outils d’authentification. De plus en plus d’utilisateurs font leurs transactions depuis leur terminal mobile. Dans ce cas, les deux facteurs d’authentification – identifiant/mot de passe et code de validation – sont donc réalisés sur le même support, ce qui annule le niveau de sécurité que ce système est censé donner.
a
Piratage de compte bancaire : La Banque Postale condamnée à rembourser une cliente
Par Benoît LÉTY – Publié le jeudi 9 octobre 2014 à 13h58, mis à jour le vendredi 10 octobre 2014 à 09h53
Sur le même sujet
- Fraude sur compte bancaire : le Crédit Mutuel Nord Europe refuse de rembourser certains clients jeudi 9 octobre 2014 à 09h47
- Des livrets A de la Banque Postale « siphonnés » dans deux communes de l’Aude lundi 21 juillet 2014 à 18h37
- Fraude : La Banque Postale émet un avis de prélèvements frauduleux mardi 10 juin 2014 à 12h12
- Fraude sur internet : la Banque Postale et le Crédit Mutuel mis en cause par l’Afub mardi 20 mai 2014 à 17h50
DR
L’Association française des usagers des banques (Afub) a diffusé l’extrait d’une décision du tribunal d’instance de Lyon condamnant La Banque Postale. L’établissement doit indemniser une cliente victime d’une fraude liée à un code à usage unique reçu par SMS.
Les faits remontent à avril 2013. Le concubin d’une cliente de La Banque Postale souhaite se connecter à l’espace en ligne de sa compagne. Après avoir entré identifiant et mot de passe, un message apparaît précisant que l’adresse IP — numéro d’identification attribué à un appareil connecté à internet — n’est pas la même que celle que la cliente utilise couramment. L’homme en question ne se connecte en effet pas depuis l’ordinateur habituellement utilisé par sa compagne. Ce message indique que, pour des « contraintes de sécurité », selon le récit du service juridique de l’Afub, il faut saisir le code de sécurité adressé par un SMS sur le mobile de la cliente.
L’homme saisit le code effectivement reçu sur le téléphone de sa compagne. Sans le savoir, cette opération a permis à des fraudeurs de valider la création d’un compte bénéficiaire frauduleux, selon un procédé qui n’est pas clairement expliqué dans le jugement du tribunal de Lyon. Un virement de 2.950 euros, à destination d’un certain D. Silvian, inconnu du couple de victimes, a ainsi été effectué dans la nuit suivante selon le blog SOS Conso du Monde, qui a obtenu des détails supplémentaires suite à la publication de l’Afub.
La sécurité du code à usage unique mise à mal
A l’époque, La Banque Postale a refusé de rembourser sa cliente. Dans sa décision, datée du 28 août 2014, le tribunal explique que la banque « se borne à soutenir que l’opération de paiement a été réalisée et a été enregistrée conformément à la procédure de sécurisation des transactions convenue ». Elle réfute ainsi toute « déficience, faille ou faiblesse techniques » qui auraient « atteint le système d’identification et de sécurisation utilisé par la banque ».
Le tribunal d’instance de Lyon ne voit dans ce cas précis pas de « négligence grave » de la cliente et refuse en conséquence « d’imputer au titulaire une part de responsabilité dans le préjudice subi ». Le tribunal a ainsi donné raison à la cliente, qui réclamait que l’établissement financier « rembourse immédiatement (…) le montant de l’opération non autorisée ». La Banque Postale a donc été condamnée à verser 3.100 euros, soit le remboursement du virement frauduleux de 2.950 euros auxquels s’ajoutent 150 euros de dommages et intérêts.
L’Afub, qui a assisté la plaignante dans sa démarche, profite de cette décision de justice pour mettre à mal le discours des banques selon lequel « la sécurité du protocole 3D Secure [serait] absolue ». Or les banques s’appuient sur ce protocole, basé sur l’envoi d’un code à usage unique par SMS, pour refuser « le plus souvent d’indemniser leurs clients qui sont victimes de fraudes », argumente l’Afub. Reste à voir si cette décision de justice fera jurisprudence, ou si elle sera contestée en appel.
Par Benoît LÉTY
© cbanque.com / BL / Octobre 2014
La Banque Postale condamnée à rembourser un virement frauduleux
le 30 avril 2013 vers 15 heures, Véronique O. se connecte sur le site Internet de la Banque Postale, où elle a son compte. Elle tape son identifiant et son mot de passe. Pour poursuivre sa connexion, dit-elle, elle doit reproduire un code de sécurité qu’elle vient de recevoir par SMS sur son téléphone portable.
Elle découvre alors qu’une somme de 2950 euros sera virée de son compte sur celui d’un certain Dmitry Silvian qu’elle ne connaît pas, au cours de la nuit. Elle appelle immédiatement son agence, pour lui demander de bloquer le virement. Cela n’est pas fait.
Véronique O. dépose une plainte à la gendarmerie, et demande à la banque le remboursement de la somme virée, en invoquant l’article L 133-4 du code monétaire et financier. Celui-ci dispose qu’ »en cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ».
La Banque Postale refuse de rembourser sa cliente. Elle soutient qu’elle « a commis une faute ou négligence grave », lui ayant valu ce préjudice. Elle en en effet recopié sur Internet le code qui a autorisé le virement. Ce code aurait été envoyé « avec la précision qu’il lui permettait de valider l’inscription du bénéficiaire, Dmitry Silvian ».
La Banque Postale se prévaut d’un article de ses conditions générales selon lequel « l’utilisation du code de validation à usage unique constitue la preuve de l’identification du client et de son consentement au traitement de l’opération demandée. En conséquence, toute opération effectuée dans le cadre du présent service est présumée émaner du client. »
Sur le conseil de l’Association française des usagers des banques (Afub), Véronique O. saisit le tribunal d’instance de Lyon. Elle conteste toute faute de sa part, et assure que l’opération s’est faite sans son consentement, à la suite d’un détournement de ses données personnelles.
Le tribunal, qui a statué le 28 août, constate que Véronique O. « n’a jamais eu l’intention d’effectuer un tel virement ». Le fait qu’elle ait tapé le code reçu par SMS, « ayant en fait validé contre sa volonté la création du compte bénéficiaire Dmitry Silvian, ne peut constituer qu’un acte matériel ayant déclenché l’opération frauduleuse sans caractériser pour autant le consentement de Véronique O. au transfert des fonds litigieux ».
En outre, précise le tribunal, selon l’article L 133-23 du code monétaire et financier, il incombe au prestataire de services de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée d’une déficience technique ou autre. L’utilisation de l’instrument de paiement ne suffit pas à prouver que l’opération a été autorisée par le payeur.
Or, en l’espèce, la Banque Postale « se borne à soutenir que l’opération de paiement a été réalisée et enregistrée conformément à la procédure de sécurisation des transactions convenue ». Elle n’explique pas comment le système d’identification et de sécurisation utilisé par la banque a permis « à un tiers de se procurer illégitimement non seulement les identifiant, mot de passe et numéro de téléphone de la demanderesse mais également de se substituer à elle pour la création du compte »bénéficiaire » frauduleux Dmitry Silvian et pour l’organisation du virement qui a été validé non intentionnellement ».
Le tribunal condamne donc la banque à rembourser les 2950 euros et à verser à sa cliente 150 euros de dommages et intérêts, pour « les tracas et la contrariété » que lui a occasionnés la « résistance à sa demande« .
On peut, comme le juge, se demander comment il se fait qu’un système sécurisé permette le détournement de l’identifiant et du mot de passe, l’obtention d’un numéro de téléphone ainsi que la création d’un virement, mais aussi pourquoi l’opération dénoncée à 15h30, pendant que les bureaux sont ouverts, n’est pas bloquée, et pourquoi enfin la Banque Postale n’en poursuit pas le bénéficiaire, dont elle a le nom et le numéro de compte.
[Mise à jour le 6 novembre : Huit personnes ont été interpellées aujourd'hui, et se trouvent en garde à vue à Toulouse et à Angers. Elles sont soupçonnées d'avoir détourné près de 600 000 euros de la Banque postale en profitant d'une faille dans le système Certicode pour mettre en place des virements frauduleux et ponctionner les comptes à l'insu de leurs titulaoires. Certains des individus interpellés étaient surveillés par la Direction générale de la sécurité intérieure pour leurs liens avec l'islamisme radical.]
D’autres articles de Sosconso : Maisons de retraite et clauses abusives
Lire aussi Le Crédit mutuel Nord Europe refuse de rembourser ses clients