L'escroquerie fait de plus en plus parler d'elle et met dans l'embarras les grandes banques françaises. Mise en lumière par la retentissante « affaire Sfam », la fraude aux prélèvements bancaires a de quoi faire bondir ses victimes. Ainsi, pendant des années, l'ex-courtier en assurances Sfam (Indexia), mis en liquidation en avril, a prélevé indûment, souvent à leur insu, et en rafale, des milliers de particuliers sur leurs comptes bancaires pour des frais d'assurances accompagnant l'achat d'un appareil multimédia en boutique. Mais alors que ces clients résilient en bonne et due forme ces contrats, beaucoup constatent avec effroi que les prélèvements se poursuivent. Pis, des particuliers qui n'ont jamais communiqué leur numéro de compte (l'IBAN ou International Bank Account Number devenu obligatoire depuis l'instauration du paiement SEPA en 2014) voient aussi leurs économies aspirées par ces prélèvements non autorisés.
« C'est à se demander comment ils (la Sfam) ont obtenu nos données bancaires... », s'interroge l'une des victimes de ces prélèvements. « Comment accède-t-elle aussi facilement aux coordonnées Iban ? Où se trouve la protection des données ? », s'indigne également Brigitte Chapus, qui, en l'espace d'une semaine, (a) constaté en avril quatre prélèvements sur son compte « dont deux qui ont eu lieu après ma demande d'opposition à ma banque (Axa) en raison du délai de trois jours ». Surtout, cette ancienne assistante sociale l'assure : « Je n'ai acheté aucun appareil ces derniers mois » (citant les noms des anciens distributeurs partenaires de la Sfam Ndlr). Elle n'a d'ailleurs pas encore été remboursée des 200 euros prélevés, la banque lui ayant indiqué avoir d'abord autorisé l'opération « par voie électronique » avant de lui préciser : « Nous avons deux mois pour vous rembourser ». « J'attends en juin mon remboursement, si je n'ai rien, je porte plainte contre la Sfam et contre Axa », tempête-t-elle.
L'exaspération de ces particuliers contraste avec le silence des principales banques françaises sur cette pratique. BNP Paribas, Société Générale, Crédit Agricole, groupe BPCE, la Banque Postale... contactées par La Tribune, aucune n'a donné suite. Quant au service du gouvernement Cybermalveillance.gouv, au vu de la gravité de l'affaire qui sera jugée dans quelques mois, il indique « ne pas (pouvoir) s'exprimer sur ce sujet pour le moment. »
La fraude aux prélèvements VS la carte bancaire
Seule la Banque de France accepte d'ouvrir la boîte de Pandore sur cette fraude qu'elle définit comme « l'usurpation par un créancier frauduleux d'un identifiant créancier SEPA valide pour émettre à son profit des ordres de prélèvement sans mandat ». Mais aux yeux de l'institution, elle est « loin d'être celle qui fait le plus de dégâts, en termes de montants captés », affirme Julien Lasalle, le secrétaire de l'Observatoire de la sécurité des moyens de paiements. Sa part est même « marginale », sur « des montants modestes », et, au final, « peu répandue », assure-t-il à La Tribune. Du reste, l'Observatoire de la banque centrale voit davantage de dangers dans la fraude en vogue, celle où l'escroc se fait passer pour un conseiller bancaire au téléphone.
Si les chiffres prouvent cette tendance, au premier semestre 2023, date des derniers relevés de la Banque, il y a pourtant eu un frémissement. Alors qu'elle n'était que de 0,6% de la valeur totale de la fraude en 2022, un an plus tard, la part de la fraude au prélèvement est passée à 2%. Le montant a alors atteint 12,5 millions d'euros. Une goutte d'eau en comparaison des 256,5 millions d'euros de la fraude à la carte bancaire, mais une évolution quand même.
« Avant, les mandats de prélèvements étaient systématiquement transmis à la banque. Aujourd'hui, le mandat est uniquement géré par le créancier. La banque n'en a pas connaissance. Cela génère une vulnérabilité à la fraude par rapport à l'ancien prélèvement national », concède Julien Lasalle. Dans le détail, ces opérations ont été opérées à 44% via des faux mandats et des falsifications, et à 48% via des détournements d'Iban ou "vishing", au premier semestre 2023, selon l'institution.
Les obligations des banques
Toutefois, on est loin du pillage ressenti par les victimes de prélèvements bancaires abusifs. Et selon l'institution, les banques françaises jouent le jeu. « Quand il y a un nouveau créancier qui se présente auquel vous n'avez jamais payé auparavant, au titre des systèmes anti fraudes, vous êtes prévenus par SMS ou e-mail par la banque. Elles le font quand il y a une opération atypique, ou à risque. L'alerte est peut-être devenue moins courante car ces fraudes sont plus rares mais elles existent. Ce n'est pas une obligation, c'est une bonne pratique », explique Julien Lasalle. Quid des clients qui ont découvert a posteriori des prélèvements en rafale ? « Chaque banque à son approche en la matière, avec des seuils qui peuvent être différents », oppose-t-il.
Mais l'institution l'assure : « En cas de fraude contestée par le titulaire du compte dans les 13 mois qui suivent le débit, la banque est tenue de recréditer celui-ci en vertu du droit au remboursement qui s'applique. Par ailleurs, en cas de contestation dans les huit premières semaines, la banque est tenue de rembourser immédiatement, et ce même en cas d'existence d'un mandat valide. »
Reste que la fraude au prélèvement pose question. D'autant que le moyen de paiement depuis la généralisation du mandat SEPA dans toute l'Union européenne est en plein essor, et sur de petits montants. Au premier semestre 2023, les flux de paiement par prélèvement ont caracolé à 58 milliards d'euros, soit presque autant que le paiement par carte (60 milliards). Le paiement par virement conserve aussi largement sa place de moyen de paiement le plus utilisé en montant puisqu'il représente près de 90% du montant total échangé.
Un fichier du fisc
L'appât n'en devient donc que plus attrayant pour les usurpateurs qui n'ont plus qu'à remplir un faux mandat de prélèvement et d'effectuer deux procédés : primo obtenir un « ICS », (l'Identifiant Créancier SEPA), soit le numéro de référence unique qui identifie chaque émetteur de prélèvement), et, deuxio, récupérer l'IBAN du particulier pour remplir un faux mandat. Où trouvent-ils cette précieuse information ?
« Il n'y a pas de fichier des Iban des porteurs français, à l'exception du fichier des comptes bancaires (FICOBA) tenu par l'administration fiscale pour des finalités précises (contrôles fiscaux, lutte contre la fraude aux prestations sociales, enquêtes de police...). L'accès à cette base est restreint et strictement encadré par la réglementation, elle n'a pas vocation à être utilisée par les acteurs du marché des paiements », détaille Julien Lasalle.
Selon lui, la probabilité de subtiliser un IBAN est plus forte via un SMS, ou du phishing, ou bien « des mandats de facture, des contrats d'assurance ». « Il traîne partout dans la nature, dans les bases de données des entreprises », reconnaît-il.
Les ventes d'Iban sur le Darknet
Que deviennent les IBAN qui ont été volés ? « La revente de ces données est tout à fait possible. Il faut une mule (complice qui prend le risque) et qui fait la transaction. Ils opèrent grâce à une hiérarchie de gens, cela se passe en bande organisée » La donnée est en plus bon marché : « Pour des dizaines à quelques centaines de dollars vous récupérez des IBAN ou des numéros de cartes bleues ». Mais « en volume, ce sont les cartes bleues qui se vendent le plus sur le Darknet », avance Arnaud Lemaire, expert en cybersécurité pour la société F5.
« Le prix varie considérablement en fonction du volume d'achat et de la précision de l'information », nuance à La Tribune Frédéric Ocana, « hacker éthique » et expert en cybersécurité.
Autre hypothèse, celle du piratage des données contenues sur le fichier ICS, qui est, lui, stocké informatiquement sur une blockchain par la Banque de France. Mais selon ce spécialiste du Darknet, « cela n'empêche pas la compromission de ces données (par exemple, le "poisoning" des informations). Il apparaît alors un risque d'utilisation frauduleuse de ces informations pour mettre en place des prélèvements bancaires, même avec seulement un IBAN de client (sans son accord) dès qu'il est ajouté au fichier ».
Les partenaires de la Sfam
Dans le cas de la Sfam, dont les prélèvements ont été opérés sous diverses intitulés, les experts cybersécurité envisagent d'autres scénarios : « Une entreprise peut utiliser les IBAN de ses clients pour des transactions internes, par exemple entre différentes filiales d'un même groupe ou avec des partenaires commerciaux. Cette pratique est généralement couverte par les conditions générales d'utilisation (CGU) de l'entreprise que l'utilisateur a signées », avance Frédéric Ocana.
Cette hypothèse est plus « probable », selon cet expert, que celle de l'achat sur le Darknet « étant donné le volume et le ciblage (il faut pouvoir trouver 400 clients dans un fichier du Darknet).» Mais d'ajouter : « Il ne faut toutefois pas négliger la possibilité que l'acquisition de ces données ait été effectuée de manière agressive, que ce soit physiquement ou en ligne.»
Et de compléter : « une société comme la Sfam / Indexia utiliserait plutôt les fichiers clients de partenaires par accords commerciaux ».
Pour rappel, en janvier puis en janvier 2024, la Sfam s'est par deux fois retrouvée sous le coup d'amendes de la Cnil. Dans le premier cas parce que « la société (Foriou) procédait, jusqu'en 2021, à des campagnes de démarchage par téléphone à partir de fichiers de prospects achetés auprès de deux partenaires principaux ». Dans le second pour « traitement transfrontalier » des données clients, enfreignant le RGPD européen.
Comment s'en prévenir ?
Face à de telles pratiques, comment s'en prémunir ? « On est très désarmé, en dehors du remboursement des banques suite aux prélèvements, on a très peu de moyen de s'en protéger », estime Arnaud Lemaire.
« Interdisez l'accès en créant des liste noire ou liste blanche pour recenser tous les créanciers que vous autorisez ou refusez sur votre compte. Ces dispositifs sont très efficaces, mais il faut alors penser à déclarer tout nouveau créancier pour éviter de provoquer des rejets d'opérations légitimes qui pourraient donner lieu à des frais ou des pénalités », estime de son côté Julien Lasalle.
Ou bien encore : « créer des comptes dédiés pour ces transactions, en y laissant uniquement les sommes nécessaires », selon Frédéric Ocana.
Une solution technologique est même envisageable selon Julien Lasalle : « On pourrait promouvoir des systèmes de tokenisation, c'est-à-dire avec une donnée à usage unique. Ainsi, la donnée du prélèvement n'est pas utilisable par quelqu'un d'autre, elle n'existe que pour elle-même. C'est le cas déjà avec par exemple la carte de paiement sur Apple Pay, le numéro de la carte n'est pas conservé. Mais cela reste assez compliqué à mettre en place ». Et de conclure : « le prélèvement reste assez sûr et les règles mises en place pour la protection des consommateurs sont exigeantes. Cela reste là où le client est le mieux protégé. Faut -il aller plus loin ? Il y a peut-être avant d'autres priorités sur les fraudes aux virements instantanés et les cartes, notamment les fraudes par manipulation. »
Sujets les + commentés