5 millions de personnes ont vu leurs coordonnées bancaires être dérobées.
C'est la grande inquiétude du moment. 5 millions de clients Free ont vu leurs données personnelles volées par un hacker : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d'offre souscrite, date de souscription, abonnement actif ou non) sont tombés entre les mains du malfrat. Une mine d'or déjà revendue et qui se balade dans la nature numérique...
Mais que peuvent vraiment faire les hackers avec un IBAN ? Nous avons essayé de nous mettre à leur place en interrogeant un expert du domaine : Jean-Jacques Latour, directeur de l'expertise cybersécurité chez Cybermalveillance.gouv.fr, l'instance officielle qui lutte contre ce type d'arnaques. Il décrypte les conséquences de cet acte et confirme que ceux qui disposent de ces données peuvent mener des opérations visant à soutirer de l'argent, sans le consentement du détenteur du compte. Le risque de se faire dérober des dizaines ou centaines d'euros est donc bien réel.
A l'aide d'un IBAN, le hackeur peut facilement mettre en place un prélèvement frauduleux, explique notre expert. C'est d'ailleurs l'utilité première de détenir un IBAN. Si "cela ne se fait pas comme ça", "tous les organismes ne sont pas toujours regardants", précise Jean-Jacques Latour. Il suffit que le malfrat connaisse un site sur lequel l'autorisation du mandat de prélèvement se fasse sans validation par SMS ou via l'application de sa banque et le tour est joué.
Dès lors, la victime verra apparaître sur son compte des débits dont elle n'est pas à l'origine. Mais il faut être attentif ! Le hacker ne va pas forcément retirer 100, 200 ou 500 euros d'un coup. "Ces prélèvements peuvent être des petites sommes : quelques euros ou dizaines d'euros, qui peuvent devenir récurrentes", prévient Jean-Jacques Latour. Des ponctions de 1€, 5€, 10€… sont courantes. Gare donc à ne pas les confondre avec l'achat d'une baguette ou d'un abonnement quelconque.
D'autant que les libellés ne sont évidemment pas clairs et les hackers jouent sciemment sur la confusion : le nom d'une grande entreprise avec une seule lettre de différence ou un intitulé abscons sont habituels. Des abonnements à des services de "presse" ou encore pour bénéficier de "promotions" font partie des prélèvements frauduleux régulièrement remarqués par ce responsable de l'organisme de l'Etat.
"L'avantage" de ces formes de prélèvements, c'est qu'elles sont facilement et rapidement arrêtables. Une simple opposition depuis son espace personnel ou en appelant son conseiller suffit. Vous disposez de 13 mois pour contester une ponction indue si elle provient de l'Union européenne, l'Islande, la Norvège ou du Liechtenstein. Le délai est de 70 jours si cela provient d'un autre pays du Globe. Dans tous les cas, la banque vous remboursera. Dès lors, le hacker est bloqué... pour ce prélèvement. Mais il peut librement recommencer.
L'autre inquiétude concerne la contraction d'un crédit à la consommation. Un hacker, amateur ou professionnel peut-il en souscrire un en usurpant votre identité bancaire ? Il est plus difficile - voire impossible - pour un hacker de le faire uniquement avec un IBAN. "Il faut fournir un RIB et des justificatifs d'identité", détaille Jean-Jacques Latour. Surtout, si l'opération parvient tout de même à aboutir, "vous vous retrouvez dans une situation de prélèvement que vous n'avez pas autorisé et qui peut donc être stoppé immédiatement", rassure ce fin connaisseur du domaine. D'autant que (très) rares sont les banques qui acceptent qu'un crédit à la consommation soit versé sur un compte (celui du hacker) et remboursé par un autre.
Attention toutefois : la vigilance doit évidement être de mise, mais il ne faut pas croire que si aucun prélèvement frauduleux n'est arrivé dans les semaines à venir, cela signifie que vous êtes hors de danger. L'IBAN étant valable tant que votre compte courant est ouvert, l'escroc peut agir à tout moment, même dans plusieurs mois.