IBAN volé : quels sont les risques si vos coordonnées bancaires fuitent en ligne ?

 
Ce week-end, l’opérateur Free a confirmé avoir été touché par un piratage dont le responsable revendique le vol de plus de 5 millions d’IBAN. Si en théorie, un identifiant bancaire ne suffit pas à effectuer des prélèvements sur un compte, leur vol par un hacker n’est jamais sans conséquences.

SFR, Libération, Boulanger, France Travail, l’AFP… Depuis quelques mois, les cyberattaques semblent se multiplier en France, débouchant souvent sur le vol de données personnelles de millions d’individus. Récemment, c’est une cyberattaque d’ampleur chez Free qui a mis au jour une fois de plus la fragilité de nos systèmes de sécurité, d’autant plus que le hacker aurait siphonné dans les 5 millions d’IBAN.

Mais suite au piratage de Free, plusieurs internautes se sont montrés sceptiques quant aux risques de se faire débiter contre son gré. Ce risque existe-t-il vraiment ? SPOILER ALERT : Oui.

Un IBAN volé ne suffit pas à lui tout seul à provoquer des dégâts sur vos comptes en banque. En revanche, un IBAN volé avec d’autres données personnelles peut entraîner des conséquences désastreuses. C’est déjà arrivé, et les récentes vagues de cyberattaques laissent penser que cela pourrait devenir plus fréquent. Pourtant, il existe des moyens accessibles à tous pour s’en prémunir.

À lire aussi :
Free confirme le piratage : 100 000 IBAN de clients divulgués en ligne

IBAN piraté : quels sont les risques ?

Penser que se faire voler son IBAN n’aura aucun impact, c’est ni plus ni moins ouvrir les portes de son compte en banque aux hackers puisque penser ainsi ne nous fait prendre aucune précaution. On entend souvent parler de vols de données personnelles donnant lieu à des tentatives de phishing. En revanche, les vols d’IBAN sont moins courants et plus problématiques puisqu’ils peuvent engendrer des prélèvements frauduleux.

Avec un IBAN, un hacker peut, par exemple, créer une fausse autorisation de prélèvement. À titre d’exemple, le site Signal-Arnaques avait repéré l’année dernière une vague de prélèvements non autorisés. Les victimes étaient débitées de plusieurs centaines d’euros grâce à de faux mandats SEPA créés grâce à un fichier volé contenant les IBAN de plusieurs clients.

Avec une fausse autorisation de prélèvement, un hacker peut également souscrire un abonnement à un service de son choix… et à vos frais. Cela démontre bien à quel point la fuite de coordonnées bancaires peut être désastreuse. Croisées avec d’autres données personnelles comme l’adresse postale, le numéro de téléphone ou le code BIC, elles donnent le matériel nécessaire aux pirates pour créer de fausses autorisations de prélèvement.

Un IBAN volé peut donner lieu à d’autres types d’arnaque. Celle au faux conseiller bancaire par exemple. Un hacker se faisant passer pour un conseiller peut vous faire valider des informations personnelles (date de naissance, adresse ou IBAN…), d’une part pour vérifier leur exactitude mais aussi pour vous en soutirer d’autres. Or, un vrai conseiller bancaire ne vous demandera jamais de valider des informations sensibles comme votre numéro de compte ou votre IBAN, il n’en a pas besoin.

carte bancaire banque en ligne
Source : Unsplash

Lors du piratage de Free, le hacker éthique SaxX a également rapporté qu’un IBAN peut aussi être utilisé pour détourner un versement devant arriver sur votre compte (votre salaire par exemple).

Dans tous les cas, un réflexe à avoir est de jeter régulièrement un œil à son relevé de compte. Ça prend deux minutes dans la journée. Lorsqu’une transaction anormale figure dans la liste des opérations, il faut alors tout de suite la signaler à sa banque.

Les banques sont-elles obligées de rembourser en cas de fraude ?

Si vous êtes victime d’une fraude, votre banque peut être responsable devant la loi. Ou parce qu’elle n’a pas tenu compte de ses prélèvements sortis de l’ordinaire, ou parce qu’il y a eu des failles de sécurité.

La loi exige des banques la mise en place de l’authentification forte pour accéder à un compte en ligne et pour effectuer des opérations en ligne (article L133-44 du Code monétaire et financier). Cette authentification forte peut prendre la forme d’un SMS avec un code de validation ou du protocole 3-D Secure, un système d’authentification où le débiteur doit rentrer un mot de passe, un code à six chiffres, son code postal, etc… pour valider le paiement.

© Julio Lopez/Pexels

À partir du moment où un débit non autorisé, ou mal exécuté, apparaît sur votre relevé de compte, la victime a 13 mois suivant la date du débit pour le signaler à sa banque (article L133-24 du Code monétaire et financier). Lorsque la fraude est signalée, la banque a l’obligation de vous rembourser jusqu’à la fin du prochain jour ouvrable suivant (soit le lendemain, sauf s’il s’agit d’un dimanche ou d’un jour férié). En cas de retard, des intérêts s’appliquent aux sommes dues (article L133-18 du même Code) :

  • Un intérêt au taux légal majoré de cinq points passé le premier délai d’un jour ouvrable. Ce taux étant actuellement de 8,16 %, ce taux est majoré à 13,16 %.
  • Un intérêt au taux légal majoré de dix points au-delà de 7 jours de retard, soit 18,16 %.
  • Un intérêt au taux légal majoré de quinze points au-delà de 30 jours de retard, soit 23,16 %.

Une banque peut refuser de rembourser son client si, et seulement si elle prouve qu’il y a eu une négligence grave de sa part, un manquement à son devoir de vigilance ou s’il est lui-même à l’origine de la fraude (article L133-19 du Code monétaire et financier).

Quels outils pour se protéger des fraudes ?

Dans la vie de tous les jours, il y a ces gestes à adopter pour protéger ses données et réduire au strict minimum le risque de piratage :

  • Mettez à jour tous vos systèmes : les mises à jour des OS de vos appareils comblent les failles de sécurité. Il faut impérativement les faire quand c’est possible, sur smartphone, tablette et ordinateur.
  • Utilisez un gestionnaire de mots de passe : l’une des erreurs les plus courantes est d’utiliser le même mot de passe pour tous ses comptes. Un gestionnaire de mots de passe permet d’en créer d’assez complexes pour chaque compte et de les sauvegarder.
  • Activez l’authentification à deux facteurs (2FA) : c’est une couche de sécurité supplémentaire qui prend la forme d’une deuxième étape d’authentification simple et rapide par mail ou SMS.
  • Soyez vigilants, tout le temps : il existe quelques petits réflexes à automatiser : ne jamais cliquer sur un lien suspect dans un mail ou un SMS, vérifier les connexions suspectes sur les boîtes mail et réseaux sociaux et jeter quotidiennement un œil à son compte en banque pour s’assurer qu’il n’y ait pas de transactions suspectes. C’est d’autant plus important après une fuite de ce genre, car des personnes malveillantes pourraient utiliser les données de la fuite pour se faire passer pour votre opérateur.
  • Ne laissez pass traîner des données sensibles n’importe où : qu’il s’agisse de vos mots de passe ou de vos RIB, veillez à ne jamais laisser un bout de papier traîner n’importe où au risque qu’il ne se retrouve entre de mauvaises mains. Ne les laissez pas non plus dans un document Word ou dans un échange de mails au cas où votre PC se ferait hacker.
google chrome android
Gestionnaire de mots de passe sous Android

Mieux vaut prévenir que guérir, surtout s’agissant d’un RIB puisque la seule manière d’en changer, c’est de créer un nouveau compte bancaire.

Les pouvoirs publics mettent également à disposition plusieurs sites et outils relatifs à la protection des données et accessibles à tous. Le site cybermalveillance.gouv.fr sert à sensibiliser chacun à la cybersécurité et à venir en aide aux victimes de fraude en ligne. Il y a aussi celui de la CNIL pour trouver des trucs et astuces afin de protéger ses données personnelles et faire valoir ses droits.

Enfin, si vous êtes victime d’une arnaque sur internet, la plateforme THESEE permet de déposer une plainte en ligne. La plateforme Perceval permet quant à elle de signaler les fraudes à la carte bancaire sur internet.

À lire aussi :
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !

Des cyberattaques plus sophistiquées, et plus simples à réaliser

On ne répétera jamais assez que les conséquences d’une cyberattaque, aussi minime soit-elle, ne sont jamais à sous-estimer. Avec seulement votre IBAN, un escroc ne peut pas faire grand-chose. Mais s’il a récupéré d’autres données personnelles sur vous lors de précédents piratages, il peut être suffisamment armé pour s’en prendre à vos ressources.

Depuis plusieurs années, les cybercriminels utilisent des techniques toujours plus variées et sophistiquées afin de s’adapter aux derniers protocoles de sécurité. Dans son dernier rapport sur la cybercriminalité, le ministère de l’Intérieur et des Outre-Mer pointe une professionnalisation des cybercriminels ainsi qu’une industrialisation des cyberattaques. Surtout, toutes les couches de la population sont concernées par cette menace : 47 % des victimes des arnaques en ligne ont moins de 44 ans.

Source : Max Bender – Unsplash

Le ministère alerte également sur une démocratisation de la cybercriminalité, dans le sens où ses services et outils deviennent plus accessibles aux jeunes hackers ayant peu de moyens :

Ces derniers peuvent mener des cyberattaques grâce à des guides et des outils de plus en plus simples d’utilisation. L’année 2023 a ainsi été marquée par le phénomène des rançongiciels disponibles clé en main (Ransomware-as-a-Service ou RaaS). […] D’autre part, des services autrefois disponibles sur le darkweb sont désormais aussi proposés via les réseaux sociaux.

Rapport annuel sur la cybercriminalité 2024, p.43

Ces jeunes hackers qui délaissent les forums spécialisés pour les réseaux sociaux, nous l’avons récemment observé lors du dernier piratage de SFR. Ces pirates, « très jeunes et pas encore rompus au code de la cybercriminalité » selon SaxX, ne se privaient pas de vanter leurs méfaits et recruter d’autres hackers en herbe sur un canal public de la messagerie Telegram.

À lire aussi :
Le Flipper Zero, gadgets préférés des hackers, devient encore plus puissant


Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.