Afin de limiter au maximum les fraudes à la carte bancaire, de nouveaux systèmes de sécurisation des paiements ont été mis en place, comme le système 3D Secure – très utilisé en France - pour les achats en ligne. Une chose est certaine : ce type de dispositif limite largement les risques de fraude.
Comment ? Grâce à une procédure d’authentification du porteur de la carte bancaire. Il permet à la banque de s’assurer que c’est bien lui qui effectue le paiement sur internet.
Un code par SMS envoyé par la banque
Concrètement, lorsque vous faites un paiement sur internet avec ce type de système, une fois que vous avez renseigné votre numéro de carte bancaire, sa date de validité et les 3 chiffres du cryptogramme mentionnés au verso, un SMS est envoyé sur votre téléphone portable par votre banque avec un code à usage unique. En entrant ce code sur le site Internet marchand, vous indiquez à votre banque que vous avez bien validé le paiement et donc que vous en êtes bien l’auteur.
Ce système fonctionne avec les cartes « Visa » « MasterCard » et « CB », mais il n’est pas obligatoire. Ce sont les commerçants qui décident de le proposer ou non.
Toutefois, il ne s’agit pas d’un procédé miracle. Des fraudeurs ont trouvé le moyen de le déjouer, dans certains cas. Plusieurs adhérentes de la CLCV en ont fait les frais.
Un mail frauduleux
Pour Lucile, tout a commencé par un phishing, un mail frauduleux imitant l’identité de son opérateur de téléphonie mobile, free. Dans ce message, on lui demande de régulariser sa situation bancaire, faute de quoi sa ligne téléphonique sera coupée. Elle clique sur le lien, se retrouve sur un faux site Internet free et renseigne son numéro de carte bancaire et ses identifiants free. Elle a fait ce qu’on lui demandait, pourtant, sa ligne téléphonique est coupée.
Ce qu’elle ne sait pas encore, c’est que grâce à ce mail frauduleux, les pirates lui ont extorqué ses coordonnées bancaires, mais aussi ses identifiants d’accès à son compte free qu’ils ont utilisés pour commander à son opérateur une nouvelle carte SIM en son nom.
Une nouvelle carte SIM
L’opérateur mobile Free met en effet à disposition de ses clients des bornes libre-service. Jusqu'à peu, il suffisait d’y entrer ses identifiants free et de payer avec une carte bancaire, quelle qu’elle soit, pour obtenir immédiatement une nouvelle carte SIM déjà activée et qui désactivait la précédente.
Une fois que les pirates ont inséré la carte SIM dans leur téléphone portable, ils disposent de la ligne téléphonique de Lucile. Ils peuvent donc recevoir les SMS de la sa banque et valider les paiements des achats (plus de 2000 €) qu’ils effectuent en ligne.
Pour la banque, le code a correctement été envoyé au numéro de téléphone de Lucile. Elle estime donc que l’authentification de notre adhérente a été assurée et refuse de la rembourser. La CLCV l’a aidée à contester ce refus. Elle a depuis obtenu gain de cause auprès de sa banque.
Son cas n’est pas isolé. Christine, autre adhérente de la CLCV, a, elle aussi, répondu à un mail pirate qui lui demandait de confirmer ses identifiants d’accès à son compte free.
Lorsqu’elle a constaté que sa ligne téléphonique ne fonctionnait plus, elle a appelé son opérateur, qui lui a expliqué qu’une nouvelle carte SIM avait été commandée en son nom. Là encore, les pirates ont utilisé ses identifiants free pour commander et récupérer une nouvelle carte SIM et donc, s’approprier sa ligne téléphonique.
Achats frauduleux intégralement remboursés
Mais Christine a aussi constaté que plusieurs achats en ligne – dont elle n’était pas à l’origine – avaient été débités sur son compte bancaire, pour un montant de près de 3000 €.
Or, elle est formelle, elle n’a jamais donné à qui que ce soit ses coordonnées bancaires et elle a toujours sa carte bleue en sa possession. On a une petite idée de la façon dont les pirates s’y sont pris pour les lui subtiliser, mais nous ne la détaillerons pas pour ne pas donner d’idées à d’autres…
Christine a porté plainte. Elle a écrit à son agence bancaire pour réclamer le remboursement des sommes frauduleusement prélevées sur son compte. On lui a opposé un refus.
Elle n’a pas lâché l’affaire. Avec l’aide de la CLCV, elle a rédigé un nouveau courrier, puis adressé, au Pdg de la banque, une lettre de mise en demeure de la rembourser sous quinzaine, à défaut de quoi elle saisirait le tribunal compétent. Dans les jours qui ont suivi, son compte a été recrédité des sommes frauduleusement prélevées, dans leur intégralité.
La banque ne peut se soustraire à ses obligations : en cas de fraude, elle doit prendre en charge les opérations de paiement non autorisées par le titulaire du compte bancaire. Face au refus des banques, il ne faut pas hésiter à insister en leur rappelant leurs obligations et en leur apportant, bien sûr, tous les éléments de nature à prouver sa bonne foi. Système sécurisé ou pas, une fraude reste une fraude et vous avez des droits à faire valoir.
Ces affaires sont l’occasion de rappeler à tout le monde que sur Internet, des règles de prudence sont à respecter : il ne faut jamais répondre à un mail demandant la communication de données sensibles (codes d’accès, codes secrets, coordonnées bancaires), même si ces messages semblent provenir d’interlocuteurs que l’on connaît. Ni ouvrir de pièces jointes ou de liens cliquables, car ces éléments font partie du piège. Un ordinateur doit par ailleurs être équipé de logiciels de sécurité régulièrement utilisés et mis à jour.
Par ailleurs, l'opérateur free a sécurisé davantage les commandes de cartes SIM sur les bornes. Lorsqu'une commande de nouvelle carte SIM y est effectuée, un SMS est envoyé à l'abonné pour l'avertir de cette commande et il est invité à entrer un code pour la valider. Dans ce cas, il peut retirer sa nouvelle carte sur la borne. En revanche, si la carte SIM a été perdue ou volée, il peut passer commande sur la borne, mais la nouvelle carte lui est envoyée à son domicile.
En partenariat avec RTL, retrouvez François Carlier dans l'émission RTL Conso Matin : http://www.rtl.fr/actu/economie/paiement-en-ligne-gare-aux-nouvelles-arnaques-a-la-carte-bancaire-7780802478
