« Bonjour, nous rencontrons des difficultés avec votre facturation. Il est possible que vous deviez mettre à jour vos données de paiement. » Récemment, nombre d’abonnés Netflix, plateforme spécialisée dans la diffusion de films et de séries, ont reçu un e-mail à en-tête de l’entreprise les invitant à cliquer sur un lien pour renseigner leurs données bancaires. Or la chaîne californienne n’a pas envoyé ce courriel… Cette attaque avec du phishing est l’une des dernières recensées. La technique, ici : le pirate se fait passer pour une société ou un organisme connu (Orange, le Trésor public…) et vous envoie un message. Ce dernier s’avère alarmiste (« Votre compte va expirer », « On est en train de pirater vos données », etc.) ou, au contraire, allègue un prétendu remboursement ou gain dans le but d’obtenir de votre part vos coordonnées de carte bancaire.

Comment se protéger

Ne donnez jamais vos numéros de carte bancaire en réponse à un e-mail, quel qu’il soit. Les organismes officiels vous demanderont toujours de vous connecter par les moyens habituels (notamment en tapant l’adresse de leur site dans la barre du navigateur), et non en cliquant sur un lien du message. Sinon, vous risquez d’atterrir sur un site miroir qui récupérera frauduleusement vos données bancaires. Si vous avez été piraté, vous devez faire immédiatement opposition, le phishing constituant l’une des rares situations où les banques peuvent refuser de rembourser. En effet, si la loi les oblige à recréditer immédiatement les opérations de paiement non autorisées dès lors que celles-ci ont été signalées, il y a une exception : la négligence grave du particulier. Or, selon la Cour de cassation, répondre à un e-mail d’hameçonnage peut en être une… Encore faut-il que l’établissement bancaire en apporte la preuve, ce qui est, en pratique, loin d’être toujours le cas.

2. ENVOYER UN LOGICIEL ESPION PAR E-MAIL

Les experts en informatique le répètent à longueur de temps : si vous n’êtes pas assuré de la provenance d’un message, ne l’ouvrez pas ! Et téléchargez encore moins ses pièces jointes. Pas seulement parce qu’il peut s’agir d’un phishing. Si votre adresse mail a été piratée, vous risquez aussi d’être la cible de courriels contenant des logiciels malveillants, dits malwares : virus, vers, chevaux de Troie… Ces derniers s’installent sur l’ordinateur quand vous cliquez sur une pièce jointe, puis ils collectent des informations et les renvoient au pirate. Certains de ces programmes, appelés keyloggers, capturent par exemple des mots de passe en enregistrant les touches pressées sur le clavier. C’est ainsi que vous « livrez », sans même vous en rendre compte, les données d’un RIB que vous aviez transféré sur votre ordinateur ou les numéros de votre carte bancaire utilisée lors d’un paiement en ligne sur un site.

Comment se protéger

N’ouvrez jamais les messages douteux. Indice : les e-mails frauduleux sont souvent adressés de façon impersonnelle (« Monsieur, Madame ») et continuent de contenir des fautes d’orthographe. Parallèlement, vous devez absolument protéger votre ordinateur en effectuant les mises à jour des logiciels proposées par les éditeurs et en téléchargeant un antivirus. Enfin, ne stockez ni mots de passe ni données personnelles sur votre ordinateur. Si, un jour, vous recevez un code de validation pour un achat que vous n’avez pas effectué, contactez immédiatement votre banque ; il est probable qu’un escroc soit en train de vider votre compte. On constate en effet qu’aujourd’hui, les pirates parviennent non seulement à récupérer les adresses mail et les données des cartes, mais aussi à obtenir les numéros de validation des achats. Ils peuvent, par exemple, se faire passer pour votre établissement bancaire et vous réclamer un code envoyé par SMS. Autre technique très utilisée : la duplication de la carte SIM du téléphone mobile. Le pirate qui possède vos coordonnées bancaires et votre adresse mail s’adresse à votre opérateur (SFR, Orange, Free…) pour en obtenir un double et se faire envoyer les codes de validation. Si, subitement, vous n’avez plus de réseau sur votre smartphone, appelez tout de suite votre agence pour la prévenir et, éventuellement, rejeter les prochaines transactions.

3. INTERCEPTER UNE COMMUNICATION

Des pirates un peu chevronnés réussiront à capter des communications sur Internet et en profiteront pour saisir, au passage, les données bancaires échangées (identifiants, mots de passe, numéros de carte…). Lorsque vous communiquez sur le Web, la connexion est relativement protégée par votre identifiant et votre mot de passe, et par le fait que la navigation est ensuite cryptée. Il n’en va pas de même avec les wifi gratuits, dits « ouverts » (sans mot de passe), accessibles dans un nombre croissant de lieux publics (parcs, gares, aéroports…). Sur ces réseaux, point de communication codée ; les hackers peuvent intercepter les flux et s’emparer de vos données personnelles.

Comment se protéger

Évitez d’effectuer des achats en vous connectant à un wifi gratuit. Sinon, pensez à télécharger au préalable (par exemple, si vous anticipez un voyage à l’étranger) un Virtual Private Network (VPN) sur l’ordinateur. Ce programme masque les communications et les rend beaucoup plus difficiles à décrypter, un peu comme si elles passaient à l’intérieur d’un tunnel.

4. INFILTRER LE WEBMARCHAND OU LA BANQUE

« Je me suis fait pirater mon compte Cdiscount avec mon adresse mail et mon mot de passe. Puis l’usurpateur a effectué 17 commandes (pour 2 480 €) en environ 30 minutes avec ma carte de crédit enregistrée sur ce site soi-­disant sécurisé. Je m’en suis rendu compte le lendemain matin à 5 heures, car j’avais reçu par e-mail toutes les confirmations de commande. Huit d’entre elles m’ont été débitées », confie Stéphane, qui a depuis déposé une demande de remboursement à sa banque, la BNP. Des hackers se sont effectivement introduits dans la base de données du e-commerçant Cdiscount, récupérant ainsi les identifiants, mots de passe et numéros bancaires de centaines de ses clients. La liste des sites qui auraient subi de telles attaques ne cesse de s’allonger dans le monde : British Airways, Cuir Center, Coinmama… Des banques, notamment au Bangladesh, auraient également été touchées. En France, aucune offensive contre des serveurs bancaires n’a, pour l’heure, été ­répertoriée.

Comment se protéger

Ne vous servez jamais de la fonction « enregistrement des données bancaires pour une utilisation ultérieure » sur les sites marchands. Dans la mesure du possible, réalisez les transactions avec des e-cartes bleues ou une carte bancaire à cryptogramme dynamique (changeant). Si vous apprenez que l’une des plateformes sur lesquelles vous avez effectué des achats a été piratée, modifiez le plus rapidement possible votre identifiant et votre mot de passe.

5. PIRATER LE SMARTPHONE

Selon le ministère de l’Intérieur, « des cybercriminels se spécialisent dans les attaques de téléphones mobiles, qu’ils savent souvent bien moins sécurisés que des ordinateurs de bureau ». Infiltration de logiciels espions et phishing sévissent ici. L’une des dernières fraudes à la carte bancaire contre laquelle Que Choisir a mis en garde ses lecteurs concernait des SMS émanant soi-disant des services des douanes. Le message (en fait, un hameçonnage) invitait les destinataires à payer la TVA pour recevoir leur colis.

Comment se protéger

Ne confiez jamais vos données bancaires après avoir reçu un SMS ou un e-mail les demandant. Installez un antivirus sur votre smartphone et ne téléchargez pas d’applications, notamment gratuites, depuis des stores autres que Google Play et Apple Store (sites sécurisés d’achat d’applis). Elles peuvent être vecteurs de logiciels malveillants.

6. PIÉGER LE DISTRIBUTEUR AUTOMATIQUE DE BILLETS

Enfin, les méthodes traditionnelles – comme l’escroc copiant les chiffres aperçus sur votre carte – ont toujours cours, confirment les gendarmes de Perceval, qui centralisent les signalements de détournement de données bancaires. Plus développé, le skimming (« clonage ») consiste à copier des cartes via un distributeur, un terminal de paiement (TPE) ou un automate sur lequel le pirate a fixé un lecteur de bande magnétique invisible. Numéros et dates d’expiration se retrouvent alors enregistrés sur des cartes vierges servant à effectuer des retraits dans des pays n’utilisant pas de puce (tels les États-Unis). Certains escrocs parviennent aussi, grâce à une caméra, à capturer votre code confidentiel lorsque vous retirez de l’argent.

Comment se protéger

Les techniques du skimming s’étant perfectionnées, il est devenu quasiment impossible pour un particulier de détecter l’installation d’un lecteur de bande magnétique dans un distributeur de billets. La seule précaution (toute relative) à prendre est de masquer votre code lorsque vous le tapez… et de consulter régulièrement vos comptes pour dénoncer le plus vite possible des paiements frauduleux. Contre le vol physique des données, pensez à cacher votre cryptogramme avec une pastille collante et ne quittez pas des yeux votre carte au moment de payer.