Quels risques pose une fuite de données bancaires ?

Quels risques pose une fuite de données bancaires ?

$$$

Avatar de l'auteur

Mathilde Saliou

Publié dansSciences et espace

01/02/2023
28
Quels risques pose une fuite de données bancaires ?

Les risques financiers existent pour les propriétaires des comptes bancaires mais ils sont vraiment problématiques seulement en cas d'usurpation d'identité. Sinon, c'est le plus souvent pour la banque que ça pose problème... ce qui ne signifie pas qu'il faut les traiter avec légèreté.

En novembre, l’agence d’intérim Adecco était victime d’un piratage. Parmi les données fuitées, des séries d’information contenant noms, prénoms, adresses e-mails et coordonnées bancaires.  Rapidement, des centaines d’intérimaires se sont vus prélever frauduleusement 49,85 euros sur leurs comptes bancaires.

Piratage Adecco : des données personnelles et bancaires (IBAN) dans la nature

Mais si c’est l’IBAN seul qui s’échappe dans la nature ? Ou les seules informations de la carte bancaire ? Quels sont les risques, exactement, que provoque une potentielle fuite d’informations bancaires ? Pour l’avocate Hélène Lebon, il faut bien voir que ce type de données est « mieux protégé, techniquement et légalement, que beaucoup d’autres. Elles sont mieux protégées que des données de santé par exemple ».

Par essence, les banques sont habituées à veiller sur des éléments sensibles : protéger les fonds de leurs clients est le cœur de leur activité. Le problème, continue l’avocate, est « qu’on ne s’en rend pas forcément compte, mais nos données bancaires se retrouvent dans énormément d’endroits. Dès que l’on accepte le prélèvement automatique pour des factures d’électricité ou de gaz, on leur soumet nos IBAN. On les envoie aussi à nos employeurs, à différentes entreprises et prestataires, aux impôts, à la CAF, etc… » 

Or, il est impossible de s’assurer de la sécurité de tous ces interlocuteurs. Pour pallier cette fragilité, la loi se fait très protectrice de l’usager, indique Hélène Lebon. Le code monétaire et financier, par exemple, « laisse un très long délai au client pour contester un paiement à distance ». Selon l’article L133-4 du code en question, l’usager a treize mois pour signaler à son prestataire de paiement l’existence d’une opération non autorisée. Sauf suspicion de réclamation indue, celui-ci est alors sommé de rembourser le montant débité.

Des risques qui varient avec le type de données

Experte en cybersécurité et co-fondatrice des Arsouyes, Corinne Henin pointe que les implications varient selon le type de données qui se retrouve dans la nature. Avec un IBAN seul, par exemple, l’attaquant n’ira pas loin. Avec des données de carte bancaire sans code de sécurité, pareil, « mais même avec le code de sécurité, ce sera de plus en plus compliqué à exploiter vu que la sécurisation à double facteur s’est généralisée ». 

Avec la directive européenne sur les services de paiement (DSP2), dont l'entrée en vigueur a été finalisée en 2019, l’Union européenne a en effet demandé aux banques et aux FinTech de sécuriser les paiements à distance avec une double authentification. « C’est le SMS ou la demande de vous connecter à votre espace client sur votre téléphone quand vous êtes sur votre ordinateur, ou encore le boîtier externe que vous pouvez utiliser si vous n’avez pas de téléphone », illustre-t-elle.

Si malgré tout, un assaillant parvient à récupérer suffisamment de vos données pour effectuer un virement ou un paiement qui l’arrange, alors oui, les risques les plus évidents sont la fraude et le vol. « Les premiers textes relatifs aux utilisations frauduleuses de moyens de paiement remontent au début des années 2000, explique Hélène Lebon, c’est très ancien et culturel. On voit bien quelques jurisprudences passer, pour lesquels les clients ont été vraiment trop négligents, et pour lesquels la banque n’a pas eu à payer, mais c’est vraiment l’exception ».

Les banques, vecteurs de sensibilisation à la cybersécurité

Aux lois françaises se sont ajoutées les obligations européennes, notamment sur les questions de cybersécurité. Les directives Network and Information Security (NIS puis NIS 2), par exemple, ont obligé les plus grandes banques (opérateurs d’importance vitale) puis un bien plus large nombre d’entreprises à s’équiper face à la menace cyber. 

Le règlement DORA (Digital Operational Resilience Act), adopté le 28 novembre par le Conseil de l’Union européenne, sera aussi « important pour la sécurisation des données sensibles des internautes, dans la mesure où il concerne directement la résilience informatique des acteurs financiers ». Sur ses quatre piliers (p.12), l’un est spécifiquement dédié à la gestion du risque que posent les tiers. Son application est prévue pour le 17 janvier 2025 au plus tard.

Bref, continue l’avocate, « les textes sont faits de telle manière que c’est très généralement la banque qui subira le plus le poids de ce risque ». C’est la raison pour laquelle les établissements deviennent le principal vulgarisateur en matière de cybersécurité.

Ces messages qui vous alertent sur des tentatives de phishing ? Ces communications qui vous rappellent que jamais votre banque ne vous demandera vos identifiants de connexion ? Autant de tentatives de vous rendre alerte aux potentielles attaques. « C’est aussi à des fins de sécurité que certains établissements renvoient un mail signalant une connexion à l’espace personnel lorsque celle-ci est faite depuis un lieu inhabituel », illustre Corinne Henin.  

L’usurpation d’identité, le problème le plus complexe à gérer pour un particulier

Le plus gros risque, celui avec lequel le particulier pourrait avoir de vraies difficultés, dépasse la question de la fuite des données bancaires : il s’agit de l’usurpation d’identité. Si l’assaillant a votre identité et votre adresse physique en plus de vos informations bancaires, alors il peut ouvrir des comptes auprès de services par abonnement, contracter des crédits auprès de services en ligne… « Et là, si les huissiers arrivent, ça peut devenir très dur », admet Hélène Lebon. 

Dans certains cas, la victime de la fraude pourra « tenter de faire valoir que les paiements et les transactions effectuées concernent des zones géographiques différentes de son lieu de domicile », souligne Corine Hennin. Surtout, parmi les obligations des banques, il y a celle d’effectuer un certain nombre de vérifications sur l’identité de la personne, « ils sont équipés d’outils de repérage de la fraude documentaires, aussi » pointe Hélène Lebon. 

Mais pour se prémunir d’une éventuelle usurpation, rien de mieux que de « mettre de la double authentification partout où c’est possible. Et de ne pas tomber dans les arnaques. » Car le dernier risque que pointe l’avocate n’est même plus du ressort des banques : il est de l’ordre de la manipulation de la personne elle-même. 

« Dans les cas d’arnaque aux sentiments, les fraudeurs se débrouillent pour que la personne paie avec des cartes prépayées, achetées au bureau de tabac. » D’autres exemples consistent à vendre une prestation avec un faux contrat. La victime paie, de bonne foi, avec ses vraies informations bancaires, mais ne reçoit jamais le service ensuite. « Impossible de revenir en arrière, dans ces cas-là ». 

De concert avec Corinne Hénin, elle recommande donc de sensibiliser, encore et toujours, aussi bien aux bases de la cybersécurité qu’aux formes que peut prend la délinquance numérique.

28
Avatar de l'auteur

Écrit par Mathilde Saliou

Tiens, en parlant de ça :

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 Hard 10

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Preprint not PR-print

17:31 IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

LoL Micro$oft

16:33 Soft 23

Sommaire de l'article

Introduction

Des risques qui varient avec le type de données

Les banques, vecteurs de sensibilisation à la cybersécurité

L’usurpation d’identité, le problème le plus complexe à gérer pour un particulier

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 10

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 23
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 17
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 18
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 8
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 15

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Fairphone 5 démonté par iFixit

Sans surprise, le Fairphone 5 obtient 10/10 chez iFixit

Hard 7

WhatsApp vocaux à vue/écoute unique

WhatsApp permet d’envoyer des vocaux à écoute unique

Soft 11

Logo de Google sur un ordinateur portable

Google propose un correctif aux disparitions mystérieuses sur Drive

Soft 22

Puce AMD Instinct

IA : AMD annonce la disponibilité des accélérateurs Instinct MI300A et MI300X

Hard 0

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Cloud : 1,2 milliard d’euros pour un Projet important d’intérêt européen commun

Web 13

Sonde OSIRIS-REx de la NASA lors du retour de la capsule des échantillons sur Terre

Échantillons d’OSIRIS-REx : la NASA a frôlé la catastrophe

Science 11

CPU AMD Ryzen avec NPU pour l’IA

Ryzen 8040 : AMD lance de nouveaux CPU mobiles (Zen 4, RDNA 3, NPU)

Hard 2

Commentaires (28)


AdrienZ Abonné
Le 01/02/2023 à 18h22

Merci pour cette synthèse reprenant des éléments réglementaires actuels, sur un sujet d’actualité…


bansan Abonné
Le 01/02/2023 à 21h30

Pour avoir été victime d’une usurpation d’identité suite à la communication d’un dossier pour une location d’appartement, ils ont été jusqu’à aller dans ma ville d’origine pour essayer d’acheter des voitures. Bien sûr, à posteriori, il était évident que l’appartement était faux. Mais parfois, la raison est défaillante :/
Je suis toujours étonné de ne jamais entendre parler des risques sur la communication d’un dossier de location alors qu’il y a absolument tout ce qu’il faut pour faire une usurpation d’identité et des arnaques aux banques. Dans mon cas, on m’a reproché plus de 120000€. Heureusement qu’un vendeur de voiture avait gardé une photocopie de la fausse carte d’identité où ma tête avait été changée sinon j’aurai eu bien des problèmes…
Ça ne m’a valu que d’être fiché à la banque de France pendant 5 ans comme “usurpation d’identité” et d’avoir des difficultés pour obtenir un crédit (être fiché, peu importe la raison, équivaut à avoir la plus mauvaise note à son dossier de crédit)


Oby-Moine Abonné
Le 01/02/2023 à 21h53

A chaque fois que je partage une copie de ma carte d’identité/passeports j’écris de maniere manuscrite au milieu de cette copie la date et le destinataire. Ça me permet de repérer les fuites, ou de décourager un peu les usurpations 😬
Et pour le moment je n’ai pas eu de refus de la parts des banques/agence location et autres contrats.


Soriatane Abonné
Le 01/02/2023 à 22h00

(reply:2118133:Oby-Moine)
C’est une bonne idée.
Je la note



fdorin Abonné
Le 01/02/2023 à 23h01

(reply:2118133:Oby-Moine)




C’est aussi ce que je fais. Je rajoute aussi une date de validité.



Non seulement, cela permet de repérer la source d’une fuite, mais en plus, cela permet d’engager la responsabilité de celui qui accepte la pièce. Si j’ai SOFINCO qui accepte une pièce d’identité marquée pour usage exclusif de SFR et “périmée” depuis 2 ans, perso, je n’hésiterai pas à attaquer le conseiller pour faute professionnelle lourde :D


the_Grim_Reaper Abonné
Le 02/02/2023 à 05h23

Juste pour info, le sms n’est plus, seul, un moyen de double authentification pour les banques :fumer:



sinon, l’ingénierie sociale est très à la mode depuis quelques temps, et beaucoup de monde se fait avoir et valide la double authentification sans se poser trop de question.
Là les banques elles ont logiquement plus de mal à rembourser les fraudes, puisque le client n’a pas été vigilant comme il aurait dû.


barlav Abonné
Le 02/02/2023 à 05h27

le SMS c’est un nombre a re-rentrer dans l’appli.
Je vois pas comment tu peux valider un sms.
:chinois:


the_Grim_Reaper Abonné
Le 02/02/2023 à 05h32

barlav

le SMS c’est un nombre a re-rentrer dans l’appli. Je vois pas comment tu peux valider un sms. :chinois:

Le sms peut être détourné depuis des années, la ressaisie de ce code n’est donc plus considérée comme fiable utilisée seule pour une opération bancaire. Un facteur supplémentaire connu « uniquement » du titulaire du compte est demandé.


Soriatane Abonné
Le 02/02/2023 à 06h15

À quand un article sur les obligations légales de double authentification pour le secteur banquaire?
J’ai parfois l’impression que les banques ne proposent qu’une seule solution alors que la directive européenne est plus permissive.


SebGF Abonné
Le 02/02/2023 à 06h19

(reply:2118133:Oby-Moine)




Ah je n’avais jamais pensé à ça, bonne idée aussi (+ la date de fin proposée par fdorin).



Pour ma part je ne transfère ces documents que via partage temporaire sur mon kDrive avec mot de passe envoyé par un autre moyen de communication mais effectivement on est pas à l’abris d’une usurpation du document.



Après par simplicité j’ai une copie de ces documents qui réside dans un container chiffré, il faudrait que je vois pour générer automatiquement dessus un watermark de ce type.


krvm Abonné
Le 02/02/2023 à 10h33

(reply:2118133:Oby-Moine)




Hélas, des pièces d’identité ainsi modifiées m’ont déjà valu deux rejets d’ouverture de compte. Finalement, pour N26 c’est passé avec une copie non modifiée, mais Qonto a demandé que je renvoie par MAIL ma photo de carte d’identité, il ne semblait pas (il y a 6 mois) qu’on puisse le faire par le site web ?!


Soriatane Abonné
Le 02/02/2023 à 12h21

C’était quoi les raisons du refus?
Ils doivent juste vérifier la validité, charge à toi de ne pas écrire sur les chiffres en bas.


Digaboy Abonné
Le 02/02/2023 à 13h30

ça passe pas le robot de vérification



j’ai eu le soucis pour une assurance vie. J’ai expliqué et ça a été validé à la main.
Au final ça a juste pris plus de temps


BlueSquirrel Abonné
Le 02/02/2023 à 22h24

“Les banques, vecteurs de sensibilisation à la cybersécurité”



Lol. Ma banque doit pas être au courant.
Avec le site qui n’a pas A+ sur https://observatory.mozilla.org et le banquier qui a des post-it avec mdp collés à l’écran qu’il tourne vers moi (écran sur lequel je constate que son outil de gestion via navigateur web n’est pas en HTTPS)…
L’éternel clavier virtuel aussi, qui favorise le shoulder surfing.


SebGF Abonné
Le 04/02/2023 à 10h05

Change de banque dans ce cas. Perso j’ai pas constaté ces manquements dans la mienne.


nico_Lrx
Le 03/02/2023 à 07h49

Pourquoi utilisez-vous le terme anglais “phishing” quand il existe des synonymes en français : hameçonnage notamment.


OlivierJ Abonné
Le 03/02/2023 à 09h23

(quote:2118133:Oby-Moine)
A chaque fois que je partage une copie de ma carte d’identité/passeports j’écris de maniere manuscrite au milieu de cette copie la date et le destinataire. Ça me permet de repérer les fuites, ou de décourager un peu les usurpations 😬 Et pour le moment je n’ai pas eu de refus de la parts des banques/agence location et autres contrats.




Super idée, merci !


Patch Abonné
Le 03/02/2023 à 10h02

nico_Lrx a dit:


Pourquoi utilisez-vous le terme anglais “phishing” quand il existe des synonymes en français : hameçonnage notamment.




Pourquoi utilises-tu les commentaires, alors qu’il y a un bouton “signaler une erreur” sous chaque article?


jb07 Abonné
Le 03/02/2023 à 19h40

(reply:2118133:Oby-Moine)




J’ai mis une “water mark” sur ma CNI transmise au Bon Coin, refusée ! J’ai fini par y arriver en mettant une toute petite marque sur la minuscule marge du document…


Xanatos Abonné
Le 04/02/2023 à 22h17

Watermark depuis quelques années avec date transmission et nom destinataire.
J’ai un dossier ou je garde tout les fichiers et tentatives échouées avec codification date_destinataire, j’ai aussi un mémo de là ou j’ai présenté ma CNI et que j’ai vu un scan.




jb07 a dit:


J’ai mis une “water mark” sur ma CNI transmise au Bon Coin, refusée ! J’ai fini par y arriver en mettant une toute petite marque sur la minuscule marge du document…




A chaque fois j’essaie le caviardage méchant tout pixelisé, ça n’a pas marché chez leboncoin, du coup j’ai laissé tombé, pas plus confiance en leboncoin que ça
Pour ouverture de compte banque en ligne le premier caviardage n’est pas passé, je voulais ouvrir compte donc pas de caviardage mais image de 328x234 pixels, c’est passé.
edit: avec watermark naturellement :fumer:


Fabounnet Abonné
Le 05/02/2023 à 06h43

pas con l’usage d’un wattermark sur une copie de la cni, bon y a une IA qui capable de retirer des watermark maintenant.



Concernant les banque et les rib il faudrait de gros changement, car actuellement c’est facile récupérer un rib et faire un prélèvement indue, et l’autorisation de prélèvement est un gros lol
vu que j’ai déjà envoyer un rib sans ce papier, en plus c’est tellement facile de d’en faire un faux



Par exemple les faire à usage unique et pour un seule type de prélèvement/virement, en gros quand genre ce rib est édité avec un code, celui qui va prélever ou virer sur un compte devra l’ajouté en plus.



Cela sécurise le rib, en cas de vole du document, sans code valide impossible d’en rentré de le validé le soucis c’est qu’il faudrait que toutes les banques travail main dans la main il faudrait une obligation de l’état ou voir au niveau européen.



on peut aussi imaginer une alerte “Société/Patronyme machin a utilise votre iban pour la 1er fois pour un montant de xx€ avec une validation oui/non/suspicion de fraude.


Soriatane Abonné
Le 05/02/2023 à 08h40

Pour les prélèvements, tu peux mettre en place une liste blanche et demander l’identifiant de créancier SEPA (ICS) à toutes personne qui veut te prélever.
Ce n’est pas mis en avant par les banques, mais je crois que c’est obligation européenne de le proposer.
Si l’ICS n’est pas dans la liste: pas de prélèvements.



J’ai changée de banques pour avoir ça.



Après cela ne règle pas le problème des malfrats qui arrive à changer ton RIB, le remplacer par le leur pour récupérer tes aides sociales et compagnies.


Soriatane Abonné
Le 05/02/2023 à 09h10

Soriatane a dit:


c’est obligation européenne de le proposer.



L’article 5-3 d du règlement européen no 2602012 du 14 mars 2012 indique que tous les particuliers peuvent adresser à leur établissement bancaire une liste des fournisseurs autorisés à effectuer des prélèvements sur leur compte. La banque ne peut en aucun cas s’opposer au dépôt de cette liste blanche mais aussi d’une liste noire où vous mentionnerez la liste des fournisseurs dont vous refusez le prélèvement !
source: https://www.prelevements-sepa.com/



jb07 Abonné
Le 05/02/2023 à 13h37

Xanatos a dit:


A chaque fois j’essaie le caviardage méchant tout pixelisé, ça n’a pas marché chez leboncoin, du coup j’ai laissé tombé, pas plus confiance en leboncoin que ça




Mon problème avec le Bon Coin, c’est que j’avais deux transactions en cours et ils en ont profité pour bloquer les fonds. Impossible d’être payé sans transmettre une CNI.


Xanatos Abonné
Le 06/02/2023 à 19h27

J’ai plus ou moins eu la même fourberie, avant l’envoi en tant que vendeur, du coup chèque/virement. A côté de ça je ne comprends vraiment pas ceux qui veulent utiliser paypal en tant que vendeurs ; Paypal se rangera toujours du côté des acheteurs.




Fabounnet a dit:


pas con l’usage d’un wattermark sur une copie de la cni, bon y a une IA qui capable de retirer des watermark maintenant.



vous auriez un exemple ?



Concernant les banque et les rib il faudrait de gros changement, car actuellement c’est facile récupérer un rib et faire un prélèvement indue, et l’autorisation de prélèvement est un gros lol vu que j’ai déjà envoyer un rib sans ce papier, en plus c’est tellement facile de d’en faire un faux



pas compris



Par exemple les faire à usage unique et pour un seule type de prélèvement/virement, en gros quand genre ce rib est édité avec un code, celui qui va prélever ou virer sur un compte devra l’ajouté en plus.



oui ça éviterait ordre de prélèvement sepa frauduleux



on peut aussi imaginer une alerte “Société/Patronyme machin a utilise votre iban pour la 1er fois pour un montant de xx€ avec une validation oui/non/suspicion de fraude.




les banques en ligne permettent pas mal d’alertes, mais typiquement le genre de chose qu’on découvre une fois le pied dedans, jamais avant.
A côté de ça ajouter un destinataire, et faire un virement en moins de 30min c’est dangereux mais ça sauve la mise.


Xanatos Abonné
Le 06/02/2023 à 19h31

Soriatane a dit:





Merci pour l’info, je connaissais les listes de bénéficiaires des UI des banques mais pas le ICS.



D’ailleurs les changements de RIB par des malfrats, si c’est comme le détournement de courrier à part une gestion régulière je ne vois pas comment faire.


Soriatane Abonné
Le 06/02/2023 à 19h45

Normalement la CAF & Co doivent contrôler l’identité du bénéficiaire lors du changement du RIB. Ils ont outils pour ça (je crois en lien avec la banque de France)
Dans les faits, ces organismes ne le font pas toujours :-/