Près de 300 millions de dollars détournés par des pirates informatiques. L’affaire révélée la semaine dernière dénonce l’insécurité totale des transactions financières. Mais les particuliers détenteurs de cartes bancaires sont bien plus vulnérables.

La piraterie, opérée entre 2013 et 2014, est seulement connue aujourd’hui par le grand public grâce aux révélations du cabinet Kaspersky. On peut s’étonner du long silence de la centaine de banques détroussées. Curieusement dans ce genre d’affaires, les banquiers ne crient jamais "au voleur !", sans doute pour ne pas avouer que leurs systèmes déroulent un tapis rouge sous les pieds des escrocs et les invitent à se servir jusque dans le portefeuille de leurs clients.

Le rapport 2014 de l’Observatoire de la délinquance dévoile le chiffre record des fraudes à la carte bancaire en France. Plus de 469 millions d’euros ont été subtilisés sur les comptes de particuliers en une seule année, soit +43% depuis 2010. Un "holp up" fantastique que les banques préfèrent tairent, continuant à proclamer que leur système n’a jamais été aussi sûr. Il a pourtant pénalisé 718.000 usagers qui, pour la plupart, découvraient le vol eux-mêmes sur leur relevé bancaire. Sur 60 millions de cartes en circulation, cela signifie un taux de 1,2% pour l’année écoulée, soit pour les cinq ans à venir, la probabilité de 1 sur 15 d’être la prochaine victime. Devant l’ampleur du phénomène, difficile d’invoquer "la faute à pas de chance !".

A lire aussi - Arnaque sur Internet : un site sur trois serait un faux site

Sur le total des fraudes, 34% découlent du vol ou de la perte de l’objet matériel, et 64% résultent d’un numéro de carte usurpée, c’est-à-dire sans que l’intéressé ne se doute qu’un individu est en train de le voler. En outre, ces 469 millions d’euros représentent seulement les sommes que les banques ont consenties à restituer. Pour le reste, ce sont les détenteurs de cartes qui subissent la totalité du préjudice, ce chiffre-là reste inconnu…

"Face à l’explosion des fraudes, les banques refusent d’admettre leur faute", déclare Serge Maître président de l’AFUB (Association Française des usagers des Banques). Elles distribuent un produit non fiable, puis prétendent se soustraire de toute responsabilité sur l’objet défectueux qu’elles nous ont imposé.

Les banques n'assument pas le risque qu'elles font courrir

Les usagers ont la naïveté de croire que le banquier sera spontanément à leurs côtés dans cette épreuve. Mais ils endurent souvent un chemin de croix semé de suspicions. Si le compte a été débité avec le code confidentiel, la banque invoque l’imprudence de l’utilisateur ou l’hypothèse que le code fut communiqué à un proche qui a utilisé la carte à son insu. Si la fraude résulte d’achats par Internet, le banquier admet le caractère frauduleux des opérations à l’étranger, mais rechigne à rembourser les achats effectués en France en exigeant de l’usager qu’il apporte la preuve de son innocence sur chacun des achats contestés. "La loi est limpide, affirme Serge Maître. En cas de contestation suspecte, la charge de la preuve incombe à l’établissement bancaire qui doit démontrer la négligence ou la fausse déclaration de son client."

La mauvaise volonté des banques à rembourser les opérations frauduleuses est proportionnelle à son empressement pour facturer des frais et des intérêts abusifs, notamment lorsqu’un compte siphonné se retrouve à découvert. Un comportement en infraction avec l’ordonnance du 15 juillet 2009 que les banques ignorent volontairement. Pourtant, l’article L 133-18 est sans équivoque : "En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu."

A lire aussi - Alerte aux escroqueries aux fausses assurances-vie

L’adverbe “immédiatement“ n’autorise donc que quelques jours de délai technique pour rétablir le compte de son client au niveau qui précédait la fraude signalée. Et l’article 133-24 accorde un délai de 13 mois à l’usager pour s’apercevoir qu’il a été abusé, délai limité à 70 jours pour les opérations hors Union Européenne.

Qui supporte vraiment le coût de la fraude ?

Dans les faits, la mauvaise volonté bancaire rallonge à 3 mois le délai de remboursement des opérations frauduleuses et des frais découlant imputés au client, s’assurant ainsi une trésorerie douteuse sur le dos des victimes. Ceci pour un cas simple et non entaché de suspicion. Mais dans certaines situations, la banque imposera des vérifications, demandes de justificatifs et échanges de lettres recommandées avant de se plier aux obligations de la loi. Ces contentieux interminables représentent la deuxième cause des appels au secours des victimes auprès de l’AFUB, soit une moyenne de 24 courriers et mail par jour. Autant de mesquineries laissant croire que ces millions, subtilisés chaque année par les escrocs, seraient supportés par le système bancaire. Il n’en est rien !

Hors les retraits de liquide sur un distributeur automatique, dont l’acceptation du caractère frauduleux constituera une perte sèche pour la banque, toutes les autres opérations (achats par CB, virements, transferts…) sont parfaitement indolores. Dès qu’une victime signale un achat douteux à son agence bancaire, celle-ci se retourne aussitôt contre la banque du titulaire bénéficiaire de l’opération qui remboursera le montant à sa consoeur et qui, à son tour, débitera le compte préalablement crédité. Au final, ce sont les commerçants qui paieront la note !

Malheur à celui qui laisse filer sa marchandise entre les mains d’un individu qui s’est servi d’un moyen de paiement détourné. Ce commerçant n’avait qu’à faire attention, il n’aura aucun recours…

Certains ont essayé en vain de se retourner contre le GIE Carte Bleue, organisme créé par les banques pour la fourniture, le formatage et la sécurisation des cartes bancaires. Hélas le GIE n’est pas l’assureur de la fraude. S’il prélève sa dîme sur les transactions, il dégage sa responsabilité quant aux risques découlant d’un produit de plus en plus vulnérable.

Le 3D Secure, une fausse sécurité

La seule réponse apportée par le réseau bancaire est le système du 3D Secure, procédure imposant une validation bancaire préalable à toute transaction. Une fois reçues les informations figurant sur la carte (numéro, date d’expiration et chiffres de sécurité figurant au dos), le commerçant les transmet à l’organisme financier qui envoi sur le téléphone mobile de son client un code dédié à cette seule opération (quelques fois il s’agit de sa date naissance). L’acheteur inscrit ensuite ce code sur l’écran de fin d’opération, cette ultime étape terminera la transaction…

Ce système disqualifie tout individu qui ne se trouve pas en possession du mobile de sa victime et les commerçants qui l’adoptent n’ont pas à supporter le poids d’une fraude éventuelle puisque, dans ce cas, la responsabilité est transférée à la banque. Pourtant, la barrière du 3D Secure a déjà été brisée. Certains escrocs se sont offert des complices dans les agences, comme l’a constaté Madame M. cliente à la Banque postale. Alors qu’elle naviguait sur le site de sa banque pour consulter son compte, un écran parasite apparut, lui imposant de rentrer des informations confidentielles avant de poursuivre sa navigation. L’écran parasite ne venait pas de la Banque postale, mais comment Madame M. aurait pu distinguer le vrai du faux ? Et par quel moyen l’escroc a pénétré le système au moment précis où cette personne s’est mise en ligne avec sa banque ?

Il y a plus simple, car il suffit de connaître le numéro de téléphone et le nom de l’opérateur mobile en plus des informations figurant sur la carte bancaire. L’escroc se rend dans une boutique SFR, FREE ou autre, en prétendant que sa puce est grillée. Sur place, on demande seulement le numéro de téléphone, et voilà le filou en possession d’une nouvelle puce qui l’emporte sur l’ancienne. Il pourra ensuite tranquillement se servir de la CB (avec la protection 3D Secure) pour son seul profit.

Personne n'est à l'abri

L’insécurité augmente avec la multiplication des escrocs, la diversité de leurs modes opératoires et l’impunité presque totale de leurs méfaits. À cela, Serge Maître ajoute un facteur aggravant en supposant qu’aucun système informatique n’est assez puissant pour exercer une surveillance des millions de transactions effectuées à chaque seconde par carte bancaire. Il existe 100 manières de s’emparer d’un numéro de carte, comme de l’objet matériel lui-même. Depuis le commerçant qui revend les numéros de CB, aux faux distributeurs de billets recouvrant un véritable DAB, et dont la seule fonction est d’avaler la carte des personnes venues chercher du liquide.

Les cartes les plus ciblées sont VISA et MASTER CARD, car plus répandues qu' AMÉRICAN EXPRESS ou les autres réseaux. Par ailleurs, le risque augmente proportionnellement à la fréquence d’utilisation de son possesseur. Plus celui-ci l’expose sur internet, effectue des petits achats chez les commerçants, ou multiplie les petits retraits sur distributeurs, plus il accroît la probabilité d’être la prochaine victime.

Publicité
Face aux banques qui poussent à l’utilisation frénétique des cartes en niant leurs failles, le principe de précaution impose de modifier nos comportements. Cela signifie limiter ses achats en ligne, lorsqu’on n’a pas d’autre option, et aux seuls prestataires ayant pignon sur rue en France. S’obliger à payer en liquide ses petits achats dans les commerces de proximité, et retirer une fois 100 euros plutôt que cinq fois 20 euros sur une même période. Enfin, si votre carte bancaire est étrangement avalée par le DAB, le premier réflexe est de rester près de la machine et d’appeler la police. En général, le voleur se cache non loin de là, attendant votre départ pour récupérer son butin.

En vidéo sur le même thème : Gare aux arnaques des petites annonces sur Internet !