05 63 92 10 10 |    05 63 91 55 35 |  7 rue Malcousinat 82000 MONTAUBAN |  5 av du 8 mai 1945 82300 CAUSSADE

Article publié dans la revue CCI infos de la Chambre de Commerce et d’Industrie du Tarn et Garonne de février 2017

LES PME-PMI TOUJOURS PLUS CONFRONTÉES AU CYBER RISQUE BANCAIRE
Dans son édition d’avril 2016, la revue de la CCI attirait l’attention des entreprises de Tarn et Garonne sur les risques des cyberattaques et les bons réflexes à adopter.

Toutefois, malgré les précautions prises sur la base de ces recommandations, les professionnels peuvent être amenées à subir des actes frauduleux de type « hameçonnage » autrement appelé « phishing ».

En quoi consiste cette fraude ?

Cette technique de fraude comporte plusieurs étapes depuis la récupération de données confidentielles (mots de passe ou numéros de carte de crédit) jusqu’aux opérations de paiement ou de virements sur des comptes bancaires de complices.

Le cyber délinquant commence par récupérer l’adresse email de la victime sur un site internet commercial par exemple, à laquelle il envoie un message reprenant les logos et papier entête officiel d’une entreprise phishée, une banque par exemple.

Le fraudeur demande à la victime de cliquer sur un lien hypertexte inclus dans le message, l’adresse de ce lien étant rédigée de façon à paraître la plus authentique possible.

En cliquant sur ce lien, la victime est redirigée vers un site frauduleux, présentant toujours une apparence tout à fait conforme à celle habituellement connue de l’entreprise phishée, sur lequel elle est invitée à renseigner des informations personnelles et confidentielles (identifiant, mot de passe…) qui permettront au fraudeur d’accéder à l’espace personnel de la victime et d’obtenir d’autres informations (adresse, numéro de téléphone, date de naissance…).

Le cyber délinquant se rend alors dans un magasin de téléphonie pour faire une demande de changement de carte SIM sur la ligne téléphonique portable de la victime grâce parfois à de faux papier d’identité.

Ce changement de carte SIM permet au fraudeur de recevoir, de l’organisme bancaire, les SMS comportant les numéros de confirmation des opérations bancaires effectuées en ligne.

Le fraudeur se connecte alors à l’espace bancaire de la victime grâce à son identifiant et à son mot de passe ou sur tout autre site de type marchand et il peut alors procéder à toutes les opérations bancaires possibles par internet (paiement en ligne par carte bancaire, virements bancaires…).

Le cyber délinquant valide les opérations grâce au code de sécurité qui lui est adressé par SMS sur son téléphone mobile.

De quels recours dispose alors la victime ?
En sa qualité de dépositaire de fonds, la banque est tenue d’une obligation de résultat vis-à-vis de ses clients concernant la restitution de la chose déposée, au sens de l’article 1937 du Code civil.

L’obligation pour la banque de restituer les fonds détournés résulte de l’article L. 133-18 du Code Monétaire et Financier, aux termes duquel :

« En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

L’article L. 133-23 du Code Monétaire et Financier précise qu’il appartient à l’établissement de crédit de rapporter la preuve que l’opération a bien été autorisée:

« L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. »

La Cour d’Appel d’Aix en Provence, dans un arrêt du 8 octobre 2015, a précisé les contours de la charge de la preuve pesant sur la banque en jugeant que l’utilisation frauduleuse de la carte bancaire par un tiers, avec composition du code confidentiel n’est pas, à elle seule susceptible de constituer la preuve d’une faute du titulaire de la carte.

La banque ne peut donc se retrancher dernière l’utilisation du numéro de compte et du code confidentiel de la victime.

Dans ces conditions, sauf pour la banque de démontrer que la victime n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière, il lui appartiendra de restituer les fonds détournés par le fraudeur à la victime.

Quels sont les mesures prises par les banques pour lutter contre le cyber risque ?

Depuis quelques années, les banques multiplient, sur leurs sites internet, les avertissements sur les messages frauduleux que leurs clients seraient amenés à recevoir.

Parallèlement, elles recherchent et développent des systèmes de protection de leurs sites de banque en ligne.

Enfin, conscientes de la nécessité de renforcer la lutte contre la cybercriminalité notamment pour préserver la confiance de leurs clients, les banques représentées la Fédération bancaire française ont signé un partenariat avec la sous-direction de la lutte contre la cybercriminalité de la Police Judiciaire, en juillet 2016 1.

L’objectif premier de cette collaboration consiste à accélérer la transmission d’informations en cas d’attaque.

Ainsi, une banque victime d’une cyber-attaque ou qui aura détecté un tel risque, pourra transmettre en toute sécurité et confidentialité, les informations afférentes aux services de police pour analyse.

Les services de Police Judiciaire souhaitent de cette façon mieux comprendre les attaques et prendre les mesures adéquates pour en limiter les conséquences dommageables.

Le mieux reste encore de demeurer vigilant et de réagir au plus vite en cas de cyber attaque sur son compte bancaire pour d’une part, interrompre les actes frauduleux et d’autre part, obtenir la restitution des sommes détournées par les cybers délinquants.

1. Source : http://www.fbf.fr/fr/files/ABSC72/Communique-FBF-partenariat-PJ-cybercriminalite-12072016.pdf

2017-03-10T11:59:26+00:00 22 février 2017|