On vous défend
« Phishing » : gare à la pèche aux données personnelles !
Le « phishing », ou hameçonnage, est une technique prisée par les pirates du net pour obtenir des renseignements personnels. Madame R en a fait les frais.
Le 24 avril 2016, Madame R a reçu un mail à l’entête de son fournisseur FREE, lui annonçant un impayé, et la priant de régulariser sa situation. Pour ce faire, il lui fallait cliquer sur un lien pour, soi-disant, « mettre à jour ses coordonnées bancaires ».
En consultant par la suite son relevé, cette cliente a constaté trois débits de 1.599 €, 200 € et 11 €, dont elle ignorait l’origine. En même temps, elle s’est aperçue que sa ligne mobile avait été coupée.
Elle a signalé l’incident au commissariat de NANTES (« main courante »), puis à l’opérateur FREE.
En effet, les pirates avaient obtenu les coordonnées bancaires de Madame R grâce au mail trompeur à l’entête de FREE : le lien activé par la destinataire la dirigeait vers une page ressemblant en tous points à l’interface de l’opérateur. Les fraudeurs auraient ensuite effectué une demande de nouvelle carte SIM (sans changement de numéro), en se faisant passer pour l’abonnée. Avec ce procédé, des paiements en ligne sont possibles, en validant le règlement avec le code que transmet la banque par texto, sur un téléphone muni de la carte SIM obtenue par les voleurs.
Madame R a dénoncé auprès de FREE ce stratagème dont elle avait été victime, en invitant son opérateur à davantage de vigilance. Mais celui-ci a répondu en se déchargeant de toute responsabilité…
La banque avait remboursé le débit de 11 € sans discuter, en application de l’article L 133-18 du Code monétaire et financier : dès lors que le titulaire d’une carte bancaire dénonce un débit non consenti, alors qu’il est toujours en possession de sa carte, la banque doit rembourser les montants litigieux, sauf si elle démontre que le paiement est régulier, ou une faute du client.
Pour les deux autres paiements, la banque refusait donc de considérer comme frauduleux les paiements validés par un code (« 3D SECURE ») transmis par texto. En effet, ce mode de règlement est considéré comme irrévocable, au même titre que celui effectué avec le code confidentiel du titulaire de la carte bancaire sur un terminal en magasin.
Après de multiples réclamations auprès de FREE, cet opérateur a fini par délivrer non pas une attestation de piratage, mais un courrier expliquant que la coupure de la ligne signalée par la cliente résultait du retrait d’une carte SIM en borne Free Mobile, par une personne disposant de ses identifiants personnels.
Finalement, l’association a décidé de s’adresser directement à la banque CAISSE D’EPARGNE, en joignant le courrier explicatif de FREE, et en invoquant le texte du Code précité. Avec ce courrier, la cliente apportait la preuve que la régularité des paiements n’était qu’apparente, et qu’elle n’avait pas donné elle-même son consentement. Il n’était donc pas nécessaire de produire une quelconque attestation de piratage ou même d’un procès-verbal de dépôt de plainte. La CAISSE D’ÉPARGNE ne pouvait que s’incliner, en raison du caractère impérieux du Code monétaire et financier : faute de consentement, le paiement litigieux est restituable.
Une semaine après l’envoi du courrier RAR par l’association, notre adhérente a vu son compte bancaire crédité de 1.799 €.
Moralité : soyez exigeants avec les banques qui veulent noyer le poisson !
Juillet 2017 | de Marie DROUET DONNY |