Vous l'avez probablement vu, et vous avez même peut-être été victimes du problème, de nombreuses sociétés ont été piratées récemment, avec de grandes quantités de données dans la nature. Si les sociétés touchées (Boulanger, Ornikar, Truffaut, Free, etc.) tentent de minimiser les problèmes en indiquant que les mots de passe n'ont pas été compromis, un autre problème est souvent lui aussi minimisé : la présence de l'IBAN dans les données.
L'IBAN (International Bank Account Number), équivalent international du RIB français, est composé de 27 chiffres (en France) et contient littéralement votre numéro de compte ainsi que le code qui identifie votre banque1, le BIC. Sur le papier, la fuite d'un IBAN dans la nature peut sembler anodine car une croyance courante indique qu'une personne qui obtient votre IBAN ne peut faire qu'une chose : vous envoyer de l'argent. Dans la pratique, malheureusement, c'est un peu plus compliqué.
Un malandrin qui dispose de nombreuses informations personnelles — comme celles présentes dans les nombreuses fuites de données récentes — peut en effet souscrire des abonnements à votre nom avec votre IBAN sans réelles vérifications. Si en théorie un mandat de prélèvement SEPA (Single Euro Payments Area) doit être rempli et fourni (en version papier ou en version dématérialisée), il s'agit en réalité souvent d'une simple case à cocher. Dans un prélèvement SEPA dit Core, le mandat de prélèvement est conservé par le créancier (par exemple un opérateur de téléphonie mobile) et émis par le débiteur (vous) et le créancier contacte ensuite votre banque pour obtenir son dû, sans réelles vérifications quand il s'agit d'un établissement connu, comme un opérateur de téléphonie mobile (l'exemple le plus courant). Vous l'avez compris, il est assez facile d'usurper votre identité pour récupérer de l'argent avec un simple IBAN.
Free confirme un large vol de données de ses clients 🆕
Vérifiez vos relevés, vous avez 13 mois
Vous n'êtes heureusement pas sans recours. La loi française (avec l'article L133-24 du code monétaire et financier) vous donne 13 mois pour contester un paiement. Si vous découvrez un paiement récurrent que vous n'avez pas mis en place, vous pouvez donc demander un remboursement à votre banque dans ce délai, qui devra vérifier si votre mandat de prélèvement est valable. Le risque principal, lié aux fuites de données, peut venir du fait que les données présentes sur le mandat de prélèvement peuvent être correctes, mais dans la majorité des cas, les banques remboursent normalement les sommes en question en cas de problème.
Le problème principal pour vous va être de détecter les prélèvements indus. En effet, les escrocs peuvent tenter de dissimuler les paiements avec de petites sommes, que certains ignoreront, mais aussi indiquer des informations qui peuvent être crédibles au premier abord. Un prélèvement issu de chez Free ou tout simplement noté « Free » quand vos données ont été récupérées dans une fuite de chez Free peut largement passer inaperçu si vous ne vérifiez pas toutes les lignes de votre relevé. Certains escrocs travaillent aussi avec des partenaires pour facturer de façon récurrente de (fausses) formations dont les indications sur les prélèvements indiquent « Engie », « Assurances », etc., comme le rappelle Mini Machines.
Les escrocs peuvent aussi passer par une solution qui vous coûte de l'argent et qui leur permet d'en récupérer encore plus. L'astuce est simple : ils prennent un abonnement chez un opérateur de téléphonie avec votre IBAN, obtiennent un iPhone (ou un autre smartphone onéreux) et le revendent dans la foulée. Dès que vous allez détecter la fraude, vous allez bloquer les prélèvements et normalement récupérer votre argent, mais l'escroc aura quant à lui obtenu l'argent de la revente. Et dans le même temps, l'acheteur malheureux de l'iPhone obtenu illégalement se retrouvera avec un appareil bloqué, inutilisable.
Gaffe à l'arnaque : échappez aux fausses bonnes affaires grâce à notre série sur le Club iGen
Comme il n'y a malheureusement pas de méthodes pour changer d'IBAN2 étant donné qu'il contient le numéro de votre compte, nous vous conseillons donc de bien vérifier vos relevés de compte, surtout si vous avez été une victime des vols de données récents, et d'être prompts à prévenir votre banque.