Passer au contenu

Fuites de données : oui, votre IBAN peut être utilisé par des hackers pour faire des achats

Après la cyberattaque de Free et le vol des données sensibles, dont les IBAN des clients, le risque de voir son compte bancaire se vider à votre insu existe. Chez 01net.com, nous avons voulu savoir si l’utilisation de l’IBAN d’un autre, pour payer quelque chose, sans le consentement du propriétaire du compte, est possible. Le résultat de notre enquête risque de vous étonner, voire vous effrayer.

Il y a du nouveau dans « l’affaire des IBAN » : de quoi mettre à jour ce jeudi 21 novembre notre enquête initialement publiée le 18 novembre. 

C’est l’angoisse des 19 millions de clients Free touchés par la fuite de données, dont certains ont vu leurs IBANs finir dans la nature : voir sur leurs comptes bancaires des sommes prélevées qu’ils n’ont jamais validées.

« En théorie, il est impossible d’effectuer des achats avec le seul IBAN », martèle Arnaud Delomel, avocat spécialisé en droit du crédit et de la consommation que nous avons interrogé. Impossible, vraiment ?

Sur 01net.com, nous avons voulu tester cet impossible. Pour ce faire, nous, alias Stéphanie et Geoffroy, nous sommes glissés dans la peau d’un escroc qui aurait en sa possession des IBAN de clients Free dérobés pendant la cyberattaque. D’un commun accord, nous nous sommes échangés nos IBAN respectifs pour voir si nous réussirions, chacun de notre côté, à régler un achat, avec ce seul document. L’idée : réaliser un paiement, via un prélèvement SEPA, à l’insu de l’autre – enfin, « à l’insu de son plein gré ». Et le résultat de notre expérimentation en a surpris plus d’un, nous compris.

Une procédure plus légère pour les prélèvements SEPA que pour les paiements en ligne

Si l’IBAN ou le RIB ne sont pas en soi des moyens de paiement, ils permettent de mettre en place des prélèvements SEPA. Ce sont eux que vous initiez pour tous les paiements répétitifs comme vos forfaits mobile ou internet, vos abonnements à des plateformes de streaming, votre salle de sport, ou encore le paiement de vos impôts.

Un prélèvement SEPA est censé vous faire gagner du temps : en remplissant un mandat de prélèvement (avec votre numéro d’IBAN), vous autorisez un créancier (celui qui est payé comme Netflix ou le Fisc) à débiter régulièrement le compte d’un payeur (vous) sur des sommes plus ou moins prédéfinies (le forfait souscrit, le montant de vos impôts) pour une période donnée : autant d’opérations que vous n’aurez pas à effectuer individuellement.

Et contrairement aux virements ou aux paiements en ligne qui nécessitent moult validations de votre part, vous vous êtes peut-être déjà aperçus qu’en cas de prélèvement, la procédure était beaucoup plus légère.

Il suffit en effet de remplir un formulaire souvent en ligne (un mandat de prélèvement) avec votre IBAN pour voir quelques semaines plus tard votre compte être débité d’un abonnement ou de paiements échelonnés des impôts. À quel point ce mandat est-il protégé ? Pour le savoir, nous décidons de nous lancer dans notre expérimentation, en choisissant deux sites qui acceptaient le paiement par prélèvement.

Episode 1 : Oui, votre IBAN peut être utilisé à votre insu pour régler des achats en ligne (Geoffroy)

Pour effectuer un achat en ligne en le payant avec l’IBAN de ma collègue, je choisis de jeter mon dévolu sur Amazon. Le marchand en ligne est une place de marché très utilisée en France, et il propose une option permettant de payer ses achats via un prélèvement sur compte bancaire.

Je me rends donc dans les paramètres de mon compte Amazon, au sein de la section consacrée aux moyens de paiement pour y ajouter le compte bancaire de ma collègue comme nouvelle méthode de paiement.

Amazon Paiement Sepa Avec Iban Frauduleux 1
© 01net.com

Je m’exécute en sélectionnant cette option, saisis l’IBAN du compte de ma collègue, renseigne son nom dans la case titulaire du compte. Un clic plus tard, l’ajout de son compte courant est validé. Les achats réalisés depuis mon compte Amazon peuvent à présent être réglés directement par prélèvement bancaire sur le compte de ma collègue. Un jeu d’enfant.

Reste désormais à vérifier si l’achat d’un objet sera validé avec ce nouveau moyen de paiement. Car généralement, à l’ajout d’une nouvelle carte bancaire comme moyen de paiement sur Amazon, les banques obligent l’utilisateur à vérifier son identité. Cette vérification est habituellement faite via une authentification biométrique depuis l’application mobile de la banque lors du premier achat.

Je décide donc de faire l’acquisition d’un magnifique stylo Bic quatre couleurs à 1,59 euro que je ferai livrer à mon domicile, et que je paierai avec un virement SEPA, prélevé sur le compte de ma collègue. Aucune vérification ne me sera demandée, ni à moi, ni à ma collègue Stéphanie, propriétaire du compte qui sera débité.

Amazon Paiement Sepa Avec Iban Frauduleux 9
© 01net.com
Prélèvement Amazon
© 01net.com – l’achat réalisé depuis mon compte Amazon avec l’IBAN de ma collègue a bien été prélevé sur son compte

Ma commande est validée, et expédiée dans la foulée. Moins de 24 heures plus tard, je la reçois à mon domicile. Après quelques jours de patience, nous vérifions si le montant de ma commande a bien été débité de son compte. Sans surprise, c’est bien le cas.

Merci Stéphanie
© 01net.com – Ce magnifique Bic quatre couleurs acheté depuis mon compte Amazon ne m’a rien coûté (merci Stéphanie)

 

Episode 2 : Oui, l’IBAN d’un tiers peut être utilisé pour souscrire un abonnement téléphonique (Stéphanie)

J’ai choisi pour ma part de souscrire un abonnement à bas prix chez un opérateur télécom. J’opte pour une formule à 1,99 euro 2 Go par mois chez B&You de Bouygues Telecom. Nouvelle cliente, je crée un nouveau compte en donnant mon vrai nom, mon adresse email professionnelle et mon adresse postale. À noter qu’à aucun moment de la procédure, il ne m’a été demandé de pièce d’identité.

Je choisis un nouveau numéro, puis la eSIM à 1 euro.

Commande B&you 2go
© 01net.com

À l’étape du paiement, mon IBAN m’est demandé pour les prélèvements : je renseigne scrupuleusement les données de l’IBAN de Geoffroy.

Page Iban Carte Bancaire Bouygues
© 01net.com

Je clique sur valider sans qu’aucune alerte n’apparaisse. De son côté, Geoffroy ne reçoit aucune notification. Je dois ensuite régler en amont l’achat de la eSIM à 1 euro. Cette fois, j’utilise ma propre carte bancaire, et mon propre nom, l’objectif étant uniquement de tester les mesures de sécurité du mandat de prélèvement. La commande est validée.

Commande Validée Bouygues
© 01net.com

Le lendemain, j’active la ligne. Bouygues m’informe que le prélèvement aura lieu le 20 novembre prochain. Pourquoi pas tout de suite ? L’opérateur respecte en fait un délai de paiement prévu par la loi (de 15 jours calendaires), qui peut être raccourci via un contrat ou conditions générales d’utilisation, ce qui n’est pas le cas ici.

Quelques jours plus tard, je me rends dans mon espace personnel. Une notification de Bouygues Telecom m’informe que le mandat de prélèvement n’est pas signé.

Mandat Sepa Non Signé
©01net.com

La procédure va-t-elle être arrêtée ? Mes soupçons se confirment lorsque j’initie la signature du mandat – l’opération consiste à vérifier les données du mandat de prélèvement, où mon nom est inscrit, avec l’IBAN de Geoffroy. Avant de cliquer sur « Signer électroniquement », il est bien indiqué que « pour procéder à la signature électronique de mon mandat de prélèvement, je demande mon code de validation sécurisé, et je le saisis électroniquement ».

Mandat de prélèvement Bouygues
© 01net.com

Je clique et… la signature est validée. Aucun code de validation ne me sera demandé. La confirmation de la signature de mon mandat m’est ensuite envoyée par SMS sur mon smartphone.

Le mandat de prélèvement est donc validé, mais contrairement à l’expérience de Geoffroy, le prélèvement n’a pas encore eu lieu, à l’heure de la publication de cet article. Il aura lieu le 20 novembre prochain.

Et c’est justement à la veille de cette date butoire que les choses s’accélèrent. Le 19 novembre dans la soirée, je reçois un email des services Fraudes de Bouygues qui m’indique que mes données bancaires ne semblent pas correctes. On me demande de « mettre à jour mes coordonnées bancaires » afin de « régulariser la situation rapidement et de rétablir (les) services ».

Le lendemain dans la matinée, j’appelle le service Fraudes de l’opérateur. Je me présente et explique notre démarche d’enquête journalistique, en soulignant que nous aimerions savoir comment Bouygues contrôle en interne les mandats de prélèvements. La conseillère ne répond pas à ma question, mais m’assure qu’on reviendra vers moi « dans les plus brefs délais ». Dans la foulée, j’envoie un email à ce service, avec en copie la communication de Bouygues – prévenue depuis le 8 novembre – pour garder une trace écrite. Je leur explique à nouveau notre expérimentation, et leur demande comment les contrôles des mandats de prélèvement sont effectués chez Bouygues. De son côté, Geoffroy est bien prélevé de 2,05 euros le 20 novembre dans la soirée, bien que Bouygues ait connaissance de notre test depuis le 8 novembre… et malgré les échanges avec le service Fraudes.

Mais surprise, ce jeudi 21 novembre, nous recevons enfin une réponse du service communication de Bouygues (voir ci-dessous). Autre nouveauté apparue ce jeudi : dans mon espace personnel, on m’indique que le montant prélevé sera remboursé sans d’autres détails, selon un nouvel élément apparu dans l’onglet Paiements.

Bouygues Telecom IBAN
© 01net.com

Quelles conséquences de ces expérimentations made in 01net ?

Ces deux prélèvements auraient pu être réalisés par n’importe quel escroc en possession de l’un des 5 millions d’IBAN ayant été dérobés récemment à Free. Pour notre expérience, nous avons utilisé nos comptes personnels ou nos vrais noms, avec un moyen de paiement identifié à un autre nom. Mais rien n’empêcherait un malfrat de créer plusieurs comptes Amazon usurpant l’identité des clients de Free afin d’utiliser les IBAN correspondants. Il n’aurait ensuite qu’à faire livrer ses commandes frauduleuses dans des lockers Amazon pour passer totalement inaperçu et recevoir gratuitement des produits vendus sur la plate-forme.

Rien n’empêcherait non plus un escroc de profiter d’un abonnement téléphonique, sous un faux nom (puisqu’aucune pièce d’identité ne nous a été demandée), voire de réaliser d’autres achats, jusqu’à ce que le propriétaire de l’IBAN conteste les prélèvements effectués auprès de sa banque.

« En l’espèce, c’est exactement ce qui peut arriver aux victimes de Free : être ponctionné de sommes assez petites pour passer inaperçues pendant plusieurs mois, puisque si nous sommes prélevés d’un montant important, nous le contesterons immédiatement, et la banque devra nous rembourser », explique Arnaud Delomel, avocat qui défend régulièrement des victimes d’escroquerie financière au cabinet Delomel.

Mais outre cette vigilance qu’il faut avoir en vérifiant chaque semaine nos comptes, qu’est-ce qui a péché dans nos deux expériences ? Comment se fait-il que nos deux opérations aient été toutes deux validées sans la moindre difficulté ?

Pour les banques, c’est au créancier de vérifier le mandat de prélèvement

Après nos deux expériences, nous nous sommes d’abord tournés vers nos banques respectives. Si le CIC n’avait pas répondu à nos sollicitations, à l’heure de la publication de cet article, le Crédit Agricole nous a rappelé qu’elle n’était pas tenue de contrôler la bonne signature du mandat de prélèvement SEPA, car elle n’était pas destinataire de ce document (signé par Geoffroy avec l’IBAN de Stéphanie), qui reste entre les mains du seul créancier (ici, Amazon). Dans le cadre d’un paiement par prélèvement, « il appartient au créancier qui reçoit le mandat de prélèvement de vérifier la correspondance entre l’IBAN et le titulaire ». En d’autres termes, les contrôles doivent être effectués par le créancier (Amazon et Bouygues dans notre expérience), selon l’établissement bancaire.

Un point confirmé par la Banque de France, que nous avons contactée. L’institution financière nous explique que « dans le cas du virement, l’initiateur de l’opération est le payeur (vous), qui est donc présent au moment de la transaction et qui peut donc s’authentifier. Mais dans le cas du prélèvement, la logique est inversée puisque c’est le bénéficiaire (l’opérateur télécom, la place de marché, NDLR) qui initie l’opération en “l’absence” du payeur ». Si d’un côté, le consentement est donné via « la signature préalable d’un mandat entre les deux parties en dehors du système bancaire », de l’autre, le payeur (donc vous) bénéficie de plusieurs contreparties qui vont venir le protéger.

Ce dernier va :

  • recevoir « une notification préalable du créancier au débiteur en amont de l’exécution du prélèvement (au moins 14 jours calendaires avant la date d’échéance du prélèvement, sauf accord contractuel différent) » ;
  • bénéficier « d’un droit au remboursement inconditionnel pendant 8 semaines après l’exécution du prélèvement » – inconditionnel car il n’a pas à le justifier ;
  • ce droit au remboursement court jusqu’à 13 mois après le débit, « en cas de prélèvement non autorisé (mandat inexistant, révoqué ou caduc) ».

En d’autres termes, en matière de prélèvement SEPA, les barrières sont en amont moins importantes que lors d’un paiement en ligne, mais le client peut contester facilement l’opération et se faire rembourser, s’il respecte le délai d’un an et un mois.

Pour autant, ces barrières existent bel et bien : le créancier est censé vérifier qu’il n’y a aucune irrégularité – que la personne qui remplit le mandat est bien le titulaire du compte bancaire qui sera prélevé, par exemple. Un point qui ne semble pas avoir été suivi dans nos deux expérimentations.

Qu’en pensent Amazon et Bouygues ?

Contacté le 8 novembre, Bouygues n’avait pas donné suite à nos demandes jusqu’à… ce jeudi 21 octobre, et après un aller-retour avec leur service Fraudes (voir encadré Episode 2). L’opérateur déclare qu’il « souhaite offrir à ses clients une expérience fluide et fiable. Pour cela, de nombreux outils permettent d’effectuer des contrôles automatiques et également manuels afin de sécuriser les transactions, en particulier celles liées au paiement. Ce système est basé sur de très nombreux critères, évolue en permanence afin de s’adapter aux innovations technologiques, à l’ingéniosité de fraude organisée, et afin bien sûr de protéger les clients d’opérations dont ils pourraient être victimes ».

De son côté, un porte-parole d’Amazon nous a expliqué tout mettre en œuvre pour sécuriser les paiements par prélèvement automatiques sur sa plateforme. Pour le géant de l’e-commerce, « la sécurité est une priorité absolue (…) ».

« (…) Nous investissons des ressources importantes pour garantir une expérience d’achat sûre et fiable. Nous nous appuyons sur des équipes dédiées et avons investi dans des systèmes de gestion des risques de pointe pour protéger les clients en détectant et en bloquant les transactions suspectes. Cela comprend des modèles d’apprentissage automatique qui analysent des milliers de points de données et des millions de données de transaction uniques afin de prévoir les fraudes et d’identifier les risques ».

Que retenir de cette expérience ?

Lorsque nous avons expliqué à des experts du secteur bancaire la facilité déconcertante avec laquelle nous avons réussi à payer avec l’IBAN d’un autre, la réponse a toujours été la même : tous nous ont expliqué que c’était impossible. Face à cette situation, ces derniers recommandent en aval de vérifier très régulièrement ses comptes bancaires, et de contester les opérations dont nous ne sommes pas à l’origine, y compris pour de toutes petites sommes. « Cela doit faire partie de notre quotidien : un peu plus de vigilance, un contrôle une fois par semaine de ses comptes bancaires, ça ne mange pas de pain, ça prend cinq minutes avec son téléphone », estime Maître Delomel.

Faut-il davantage de protection en amont, pour les mandats de prélèvements et pour les prélèvements, en particulier dans ce contexte de fuites incessantes de données personnelles et d’IBAN ? La question, si on y répond par la positive, devra se régler à Bruxelles, puisque le prélèvement SEPA est un standard européen – ce qui gage qu’il faudra de nombreuses années pour modifier la situation actuelle.

En attendant, la Banque de France a tenu à rappeler que ce type de fraude bancaire restait très minoritaire en 2023. Selon l’Observatoire de la sécurité des moyens de paiement (OSMP), « l’utilisation frauduleuse de l’IBAN d’un tiers pour payer un produit ou service par prélèvement concernait 1 % des montants de fraude remontés par les établissements bancaires français de l’OSMP sur le prélèvement ». Au total, cela représenterait seulement 317 000 euros sur les 22 millions d’euros que représente la fraude au prélèvement – « soit un montant très faible par rapport aux autres fraudes et arnaques financières ».

Dans cette catégorie générale, la très grande majorité des cas (98 %) concerne plutôt des « créanciers fraudeurs », selon le rapport de l’OSMP de 2023. Ces derniers émettent de faux ordres de prélèvements, en exploitant par exemple des listes d’IBAN obtenus suite à des fuites de données, à l’image d’un individu qui vous facturerait des services que vous n’avez pas demandés, sommes qui passeraient de votre compte bancaire au sien.

Mais là aussi, ces fraudeurs finissent par être repérés – certes a posteriori – par les établissements bancaires en cas « de taux de rejets de prélèvements importants ou anormaux vis-à-vis d’un créancier donné, en raison des contestations des payeurs ». La banque de ces derniers peut alors agir en les mettant sous surveillance et en leur interdisant ce moyen de paiement… voir en radiant leur numéro du créancier dans le référentiel de Banque de France des Identifiants Créanciers SEPA (ICS), ce qui reviendrait à mettre définitivement fin à leurs prélèvements frauduleux.

Le message à retenir est donc celui-ci : vous pouvez être frauduleusement prélevé, mais vous serez remboursé après coup si vous contestez ces prélèvements… Pas sûr que cela suffise à rassurer totalement les 19 millions de victimes de la fuite de Free… et toutes les autres.

Note de la rédaction : cet article publié le 18 novembre a été modifié ce jeudi 21 novembre après un échange avec le service Fraudes de Bouygues, et une réponse officielle de l’opérateur reçue ce jeudi. Dans l’encadré “épisode 2”, les trois derniers paragraphes ont été ajoutés. Dans la partie “Qu’en pensent Bouygues et Amazon”, le premier paragraphe a été modifié pour ajouter la réaction de Bouygues. 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Stéphanie Bascou - Geoffroy Ondet
Votre opinion
  1. Bravo pour cette enquête remarquable et exemplaire. Apparemment, nos banquiers respectifs sont largement pris en défaut :si une banque n’est pas à moitié aussi sophistiquée et intelligente qu’un hacker, cela n’est vraiment pas rassurant. Les listes blanches de SEPA par exemple devraient être autorisées pour prévenir ce genre d’arnaques: il semble que ce n’est pas le cas partout. À suivre.

    1. Chez Hello banque (banque en ligne de BNP PARIBAS) aucun prélèvement ne peut se faire si l’ICS (Identifiant Créancier Sepa) du demandeur n’est pas autorisé dans une liste dédiée à ces opérations. Au début je trouvais ça lourdingue et j’ai subi quelques rejets d’opérations légitimes parce que j’avais omis de donner l’autorisation mais finalement c’est franchement très bien.
      Patrick

    2. Bonjour
      Je fais partie des victimes du piratage free.
      J ai fais ma liste blanche et demander à mon banquier (caisse épargne) de me prévenir et de tout refusé si je nend9nne pas mon accord.
      Et bien fort heureusement car ce week-end j ai bien été victime de tentatives de fraude sur mon compte ! Ma banque a refusé ! Et m a prévenue. Les tentatives ont été sur des sites au départ du pays bas. Et aujourd’hui site Groupon france par paiement en ligne.j ai donc du faire opposition à ma CB ! Mais je vous garantis que mon banquier a bien fais son job et je l en remercie

  2. Bon article, bous avez eu raison de faire ce test. Au moins cela retire un doute pour les abonnés Free. Par contre ce qu’il faut ajouter c’est que nous avons une épée de Damoclès jusqu’à ce que nous changions de compte pour être tranquille ou passions l’arme à gauche. L’ idéal même étant aussi de changer d’adresse mail et de numéro de téléphone. Mais que de galère alors que nous y sommes pour rien. Pas merci Free et encore moins le hacker. Vous nous avez mis dans une belle m…e.

  3. Êtes vous obligé de donner des exemples concrets, c’est déjà suffisamment anxiogène. Je pense que vous devriez seulement vous en tenir à l’information du risque et seulement là.

    1. Ce ne sont pas des exemples concrets, mais bien l’explication que ce qui est normalement impossible est bien possible.
      Ainsi, pas de doute possible, c’est factuel.

    2. L’autruche la tête dans le sable. Je vois pas, je sais pas donc ça n’existe pas, tout va bien.

  4. Bonjour,
    Je lis souvent que l’utilisation de la Liste blanche SEPA règle tout, mais ce service est payant au Crédit-Agricole et semble très complexe à mettre en œuvre.

    1. Ne vous plaignez pas. Chez LCL, pourtant filiale du CA, ils disent que ça n’existe pas…. Une seule solution avec ces banques : changer de banque et fermer le compte dont l’IBAN a fuité.

  5. Merci pour cet article long mais bien traité. Les hypothèses recherches, les essais effectués avec réponses des parties prenantes (banques, commerce en ligne…). Puis on s’élève vers la fraude en général et la réglementation actuelle.
    Bravo aux rédacteurs et leur approche complète.

  6. Mille fois merci. Du grand journalisme ! Encore un article de qualité inestimable.
    Quand je pense que le numéro vert mis en place pour l’occasion par Free, répète inlassablement aux clients qu’on ne peux pas prélever sur leur compte avec un seul numéro d’IBAN. Free se moque de la tête de ses clients. Il aurait même été “juteux” que vous fassiez l’expérience du l’abonnement téléphonique à deux euros avec free lui même. “l’arroseur arrosé” par son incompétence.
    Je ne crois pas à la réponse faites par amazon, c’est probablement une réponse automatique générée par IA, il n’y a rien derrière.
    Quand aux banques et au système SEPA cela prouve que notre système financier est lui aussi en plein avachissement.
    MERCI MLLE FOIS POUR CET ARTICLE EXCEPTIONNEL QU’on ne trouve nul part ailleurs.
    Du grand journalisme
    Merci

  7. Le règlement SEPA prévoit que les titulaires de compte puissent fournir à leur banque une liste de créanciers (avec leur ICS) seuls autorisés à effectuer un prélèvement (une “liste blanche”). Voir règlement européen 260/2012, paragraphe 5.3.d, alinéa iii. Cela permet de sécuriser le compte a priori, sans avoir à refuser les prélèvement frauduleux au cas par cas.

    La BNP par exemple le prévoit dans ses CGV.

    Par contre LCL refuse catégoriquement de le faire et prétend même que c’est impossible… et explique que ça n’arrive presque jamais… mais le fait d’être dans l’illégalité ne les dérange pas.

  8. Il est à noter tout de même que les hackeurs ont annoncé que les données volées ne seraient pas utilisées…

      1. J’ai lu que si ont fait une liste blanche des créanciers autorisés à la banque, ils était les seules à pouvoir prélevé sur mon compte bancaire… est-ce aussi du pipo?

  9. Article probant, difficile pour les différents acteurs de simplement répondre que c’est impossible.
    Pourquoi ne pas systématiser la double authentification ou l’authentification forte pour nos IBAN, comme c’est déjà le cas pour de nombreuses transactions ?

    1. Le souci c’est que le mandat est fait du côté du marchand. Du coup, il est sensé être déjà vérifié. Ce qui explique que les banques ne vérifient pas forcément.

      Après, certaines banques, comme la Banque Postale, envoient systématiquement par mail l’info comme quoi une demande de prélèvement arrive. A vous de révoquer éventuellement ce prélèvement.

  10. Alors comment expliquer, d’une part que la banque ne prend aucune mesure, et se contente de ne prodiguer que des “conseils de prudence” et ne propose rien en matière de mesures préventive, après lui avoir indiqué que j’étais concerné par le piratage chez Free, et d’autre part que du côté de chez Free, c’est le silence total depuis le message du 27/10 ? Si votre démonstration est pertinente, il me semble qu’il va falloir arrêter de faire comme si tout allait bien. Le danger est réel, et il est fort probable que l’attention que l’on porte à cette affaire depuis ces derniers jours risque de retomber d’ici quelques semaines ou mois, et que des problèmes surviendrons dans quelques mois ou années, et qu’il sera alors impossible de prouver le lien de causalité. Les recours seront alors vraisemblablement non recevables. Pour ma part, j’attends avec impatience la possibilité de pouvoir me joindre à une action de groupe pour obtenir un dédommagement des responsables de cette fuite.

    1. En réalité la situation est absolument gravissime en effet
      on parle de 5 millions dont une bonne partie ne va évidement pas vérifier tous ces comptes tout le temps et contester dans le délai des 13 mois,
      meme pour ceux qui vérifient un rib ne changeant jamais il va falloir vérifier jusqu’à notre mort ?
      Efin tout comme vous, le discours des “”experts en sécurité”” est pitoyable, heuresement que 01 net à enfin montré le décalage total entre les discours et la réalité ! hé oui le RIB est un MOYEN DE PAIMENT , et en aucun cas un simple moyen de recevoir de l’argent uniquement, en réalité le risque me parrait meme pire qu’avec un vol CB,
      cette aiffaire devrait etre une affaire d’Etat, il devrait y avoir un débat national, il faudrait dès maintenant sécuriser enfin le moyen de paiment SEPA et ceci dès maintenant, mais les réponses officielles sont : dormez tranquille vous serez remboursé ! les banques vont donc assumer et rembourser à tour de bras sans broncher ? ca revient a payer directement les pirates avec notre argent d’abord puis le fond de remboursement des banques ? ca semble déranger absolument personne à part 01net le reste des médias chantent en boucle qu’un rib c’est pas si grave que ça

      1. *par “tout comme vous” il faut comprendre , “je pense comme vous”, votre discours est tout à fait juste !

  11. Les banques sont au courant mais estiment que la fraude est rare et que ce n’est pas la peine de prendre des mesures.
    Je pense qu’Amazon le sait également et ne fait rien pour les mêmes raisons.
    Quand je paye par carte sur Amazon, je n’ai pas d’authentification forte et Amazon me dit voyez avec votre banque qui elle même me dit de voir avec Amazon.
    Je visite mon compte plusieurs fois par semaine afin de traquer les débits incorrects mais RAS pour le moment

  12. Bonjour

    Pour les premiers prélèvement, il s’agit de sommes très minimes…Aurait on eu un vrai prélèvement, avec par exemple 200 € a payer ?
    Cela dit, même les chèques sont relativement assez faciles a filouter, et les signatures ne sont pour ainsi dire jamais vérifiées…!

  13. Et ça ne vous gêne pas de détailler à ce point les procédures utilisées par ces bandits ?
    Si l’on note une recrudescence de ces arnaques vous aurez à en supporter une part de responsabilité…
    “Apologie” de délit ; attendez-vous à vous faire taper sur les doigts.
    Donner l’alerte c’est bien, mais quand aucune solution n’est donné, c’est c…

  14. AH E.N.F.I.N ! enfin un média qui s’est posé les bonnes questions : les memes bonnes questions que moi meme je me suis posé dès que l’annonce du vol a été faite.
    1) le message officiel est ridicule : surveillez vos compte tout ira bien !! ah oui ? sur les 5 millions de personne concernées ? y compris les ptits vieux en maison de retraite qui ont meme plus accès internet ? y compris le papa ou la maman qui entre faire manger les gosses, courir à gauche à droite ect va se rappeler de chaqu’un de leurs achats faits sur le web ?
    2) le SEPA n’a aucune sécurité A.U.C.U.N.E l’article le montre parfaitement, les banques parlent de moyen de recevoir de l’argent comme si ca ne faisait que ca : MENSONGE éhonté, en réalité c’est un moyen de paiement et c’est meme peut le moins sécurisé de tous.

    3) comme pour beaucoup de chose dans ce pays , personne ne fait rien, c’est au citoyen final de se débrouiller, alors que vu l’ampleur et l’énormité de ce vol il faut clairement mettre dès aujourd’hui une vérification ! c’est le minimum et RIEN n’est fait ! les banques peuvent très bien dès aujourd’hui bloquer tous les paiements sepa et nouveaux mandats de prélèvement par défaut pour tout le monde (sans avoir à réclamer une liste blanche dont très peu de monde connait l’existance) et demander comme pour un paiement cb une double validation par sms, c’est tellement simple à mettre en place, mais non rien est fait : “surveillez vos comptes tout ira bien” et “on peut rien faire avec un rib” sont les seuls message officiels

  15. Bonjour
    il y a quand meme un point de l’article que je ne comprends pas :
    pour préléver sur un RIB il faut un mandat sepa avec un délai de 15jours obligatoire
    comment amazon peut il prévélever le stylo dans les 24H comme décrit dans l’article, sans mandat donc ? et surtout sans délai de 14 jours de latence entre la commande et l’ajout du rib ?? va veut dire que ca laisse meme pas le temps de contester le prélèvement en étant prévenu à l’avance du débit (14 jours avant normalement)

  16. Bravo pour cette enquête concrète !
    Mais pourquoi attendre aujourd’hui et profiter du « FREE bashing » pour enquêter sur les risques de l’IBAN, qui est en place depuis… 10 ans ?
    Cette situation est la conséquence du changement de paradigme intervenu en 2014 lors de la réforme européenne sur les prélèvements (règlement SEPA) : au lieu d’une autorisation de prélèvement confiée à la banque qui contrôlait la validité des prélèvements, on est passé au mandat SEPA, donné par le client à son fournisseur.
    Ça fait donc 10 ans que les pirates agissent, sans avoir attendu FREE !
    La contrepartie à cet assouplissement au profit des banques c’est qu’en cas de fraude, la banque doit rembourser le prélèvement indu.
    Il faut rappeler aussi que ce fameux règlement SEPA prévoit que vous pouvez exiger de votre banque la mise en place de limitations du passage de prélèvements sur votre compte, par exemple avec des listes « blanches ».
    Les banques ont donc l’obligation de proposer cette option. À titre personnel j’ai programmé une liste des mandats autorisés avec ce service proposé gratuitement par ma banque.
    Malheureusement, les conseillers bancaires ne sont souvent pas au courant.
    S’il y a un « coupable » dans cette affaire, c’est plutôt les banques qui ont obtenu la disparition de l’autorisation de prélèvement au profit du mandat SEPA, et qui ne font rien pour vous aider à en réduire les risques. Et qui trainent souvent des pieds pour rembourser les prélèvements indus, alors qu’elles en ont l’obligation.

Les commentaires sont fermés.