Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Fuite d’IBAN : quels sont les risques, comment se protéger

SEPA drôle

Fuite d’IBAN : quels sont les risques, comment se protéger

Après RED by SFR en septembre, c’est au tour de Free de laisser fuiter sur le Net des IBAN de ses clients. Le risque d’un prélèvement frauduleux est réel et doit donc être pris au sérieux. Il faut vérifier ses comptes attentivement, mais vous pouvez aussi agir de manière proactive avec la mise en place de listes.

Le 28 octobre à 17h28

Première question, c’est quoi un IBAN ? C’est l’International Bank Account Number, c’est-à-dire « l’identifiant international de votre compte bancaire auprès d’une institution financière dans un pays donné », rappelle la Banque de France.

C’est quoi un IBAN ?

L’IBAN commence par le code pays (FR pour France, DE pour Allemagne…) et il comprend au maximum 34 caractères alphanumériques. On y retrouve aussi le numéro de compte national (BBAN pour « Basic Bank Account Number ») et une clé de contrôle..

En France, un IBAN dispose de 27 caractères et commence donc par FR. « Il est suivi d’une clé de contrôle, puis du BBAN qui est composé du code banque, du code guichet, du numéro de compte et de la clé RIB du compte français, tels qu’inscrits sur le relevé d’identité bancaire (RIB) ». Un RIB est donc rattaché à votre compte, et on ne peut pas le changer sans changer de compte.

La Banque rappelle que l’IBAN est nécessaire pour un prélèvement ou un virement SEPA, mais aussi pour des transactions internationales. En cas de fuite, quels sont les risques ?

Risque de phishing

Le premier concerne la réutilisation des données personnelles de votre IBAN pour se faire passer pour votre banque et/ou un service auquel vous êtes abonné. Les pirates peuvent alors tenter de vous soutirer davantage d’informations ou un paiement par carte bancaire, prétextant par exemple un problème avec un prélèvement.

Prudence donc si une personne se présente comme un conseiller Free ou SFR dans le cas présent, mais cette prudence doit s’étendre à toutes les personnes qui vous contactent en affirmant appartenir à telle ou telle société. N’oubliez pas non plus le risque de spoofing, qui consiste à afficher un autre numéro que celui de l’appelant.

Risque de prélèvements frauduleux

Le second risque est évidemment un prélèvement frauduleux sur votre compte. La Banque de France affirme que « communiquer son RIB n’est pas risqué en soi », mais elle ajoute bien rapidement que, « comme pour tout document contenant des informations personnelles, il convient de bien identifier la personne à laquelle vous communiquez un RIB. Un escroc pourrait utiliser ces informations de manière malveillante (ex : usurpation d’identité) ».

En théorie, « pour qu’un bénéficiaire prélève votre compte, vous devez l’en autoriser en signant un mandat de prélèvement ». En pratique, la vérification de la signature est plus ou moins stricte… Néanmoins, « si vous constatez un prélèvement non autorisé, il est possible de le contester auprès de votre banque, qui devra remettre votre compte dans l’état où il se serait trouvé avant cette opération », nous y reviendrons.

Les signatures des prélèvements se font généralement de manière électronique. Des pirates peuvent donc utiliser des IBAN récoltés suite à des fuites. Par exemple, lors de la souscription à un forfait Sosh (mais c’est aussi le cas pour bon nombre d’autres services), la signature consiste à recevoir par SMS ou email un code à saisir, puis à cliquer sur autoriser.

Si des personnes malintentionnées pourraient utiliser un IBAN récupéré sur Internet pour s’abonner à des services en ligne, ce n‘est qu’un exemple parmi d’autres. Le risque d’avoir des prélèvements frauduleux est réel et doit être pris au sérieux.

Entre 70 jours et 13 mois pour contester

Pour éviter le drame, il est important de surveiller son compte régulièrement afin de détecter au plus vite des opérations frauduleuses. « Pour contester un prélèvement non autorisé, le délai est de 13 mois après la date du débit », explique Service Public. Mais attention, c’est uniquement le cas en Europe.

« Lorsque l'établissement du bénéficiaire du paiement se situe en dehors de l'Union européenne ou de l'Espace économique européen (EEE) ce délai est ramené à 70 jours. Il peut éventuellement être prolongé par contrat, sans toutefois dépasser 120 jours ». Si le pirate est en dehors de l’Europe, le délai varie entre deux et quatre mois, d’où l’intérêt d’être attentif.

« La banque doit vous rembourser la somme débitée au plus tard à la fin du premier jour ouvrable suivant la réception de votre demande. Si des frais bancaires vous ont été prélevés, ils devront vous être remboursés », ajoute le Service Public. Ce dernier propose aussi un modèle de lettre pour contester une opération.

Petite précision : ce que nous venons d’expliquer est valable en cas de prélèvement non autorisé. Si vous l’avez autorisé, les risques ne sont pas les mêmes : « Vous devez faire votre demande de contestation dans un délai de 8 semaines après la date du débit. Dans ce cas, la banque vous rembourse dans les 10 jours ouvrables suivant la réception de votre demande. Si des frais bancaires vous ont été prélevés, ils devront vous être remboursés ».

Mettre en place des listes noires ou blanches

Suivant les banques, il est possible de mettre en place des protections pour encadrer les créanciers autorisés à prélever ou non sur votre compte. La Banque Postale dresse une liste :

  • La liste noire permet de bloquer tout prélèvement SEPA provenant d'un (ou plusieurs) créancier(s) sur votre compte.
  • La liste blanche permet de n'autoriser que les prélèvements SEPA initiés par un ou plusieurs créanciers préalablement identifiés par le client.
  • Le filtre permet de limiter les prélèvements selon les critères suivants (critères cumulables) :
    • montant maximum par prélèvement,
    • nombre maximum de prélèvements sur une période définie.
  • Le blocage permet de bloquer tout prélèvement sur votre compte (quel que soit le créancier).

Dans le cadre d’un dossier sur le prélèvement SEPA, l’UFC-Que Choisir donne une lettre type à envoyer à votre banque pour « empêcher le passage de prélèvements non-désirés ». Nos confrères ajoutent que « votre banquier a l’obligation d’accepter vos demandes de blocage de tout prélèvement, à l’exception d’entreprises identifiées par vous (liste blanche) ».

Les banques permettent de voir la liste des autorisations de prélèvement accordées dans votre espace client, pensez à faire un tour sur votre compte pour vérifier que tout est en ordre.

Commentaires (49)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Merci ! Ca répond à toutes les questions que je me posait suite à la fuite Free.
Pour ceux qui se poseraient la question, au CM-CIC, la liste des préleveurs autorisés se trouve dans le menu Situation / Mandats de prélèvements. La liste blanche est activable par compte sous l'option Créanciers autorisés et la liste noire sous Créanciers interdits. L'activation est relativement simple à faire 100% en ligne.
votre avatar
Merci pour les infos.
Chez moi c'est sous Opérations -> Mandats de prélèvements
votre avatar
Après l'article Free en fuite, encore bravo pour le sous titre ici !

La pêche le Lundi à la rédac !

:incline::yes::bravo:
votre avatar
Je ne savais pas que la banque postale permettait le fonctionnement par liste!
Il me semblait que ce n'était pas le cas! :keskidit:
votre avatar
Pour ma part, je viens de chercher sur mon espace de gestion La Banque postale et je n'ai pas trouvé cette possibilité de "listes".
On ne peut intervenir que prélèvement par prélèvement.
Si quelqu'un trouve, je suis (aussi) preneur.
votre avatar
Pas trouvé non plus.

Les banques ont l’obligation d’accepter les listes blanches, mais ça ne veut pas dire qu’elles ont très envie de développer une interface pour ça.

Donc, 2 solutions :
1. Prendre rendez-vous avec sa conseillère ou son conseiller, (et encore, je ne suis pas sûr que ça soit le plus efficace), ou,
2. Envoyer la liste par courrier recommandé avec accusé de réception
votre avatar
Je pense que tout se passe par la poste...
:francais:

Blague à part, je ne pense pas qu'il y ait d'option sur le compte donc doit falloir voir son conseillé et après pour gérer la liste ça doit être bien la merde.
votre avatar
Il faut payer à la banque postale d’après les conditions tarifaires :
*Frais pour liste noire sur prélèvement(1) ................ 12,80 €
Frais pour liste blanche sur prélèvement(1)(2) ........ 12,80 €
Frais pour filtre sur prélèvement (montant,
périodicité ou les deux)(3) ............................................ 12,80 €
(1) Par créancier ajouté. (2) Perception de frais plafonnée à 2 créanciers ajoutés par mois.
(3) Par ajout/modification de filtre*
votre avatar
Pardon???
Ce foutage de gueule...

Merci pour l'information
votre avatar
Précision pour les listes blanches il faut fournir l'ICS (Identifiant Créancier SEPA )

Information pas toujours facilement accessible.
votre avatar
Je propose de lister dans les commentaires, comment on active la liste blanche ou noire dans l'interface de sa banque.

Des lecteurs partants??
votre avatar
Je suis partant, j’ai regardé sur le site de ma banque (Crédit coopératif) mais je n’ai trouvé que la possibilité de bloquer un mandat de prélèvement.
votre avatar
Suis chez Fortuneo, je leur ai demandé si une liste blanche était possible.
Sur le site, tu ne peux voir que les prélèvements passés, mais tu ne peux pas les "inactiver", seulement faire une demande de rejet.
votre avatar
Chez fortuneo, c'est "rejeter ou clôturer", j'imagine qu'en clôturant, ça supprime définitivement le mandat.
votre avatar
→ "Clôturer" te dit : "*Pour clôturer un mandat de prélèvement auprès d’un créancier (par exemple mettre fin au prélèvement de votre opérateur téléphonique sur votre compte Fortuneo), nous vous invitons à prendre contact directement avec l’organisme concerné pour lui faire part de votre souhait.
L’arrêt des prélèvements sur votre compte dépendra alors du délai de traitement de l’organisme préleveur pour clôturer le mandat de prélèvement.*" — donc ne sert à rien, on dirait.

→ "Rejeter" te donne l'option de rejeter un prélèvement, si < de huit semaines, en donnant un motif. Donc en principe utile, pour être remboursé. Mais ça n'indique pas si le même préleveur peut toujours initier un nouveau paiement dans le futur...

Bref, une liste blanche serait pratique.
votre avatar
Pour une liste blanche, utilisez ce lien, et le transmettre à Fortuneo via le service client. Pour un ajout / retrait, ça se passe via le service client aussi, rubrique "compte bancaire" → "prélèvement".

Toutes les opérations disponibles pour un prélèvement sont disponibles / décrites ici.
votre avatar
Deuxième lien vers la documentation officielle. Merci.
C'est un processus bien lourde passer par le service client.
votre avatar
Oui. super lourd le process. On va espérer qu'ils mettent en place une page web et qu'ils rajoutent cette option dans leur app mobile dans le futur…
votre avatar
Il leur aura fallu 12 jours, mais voilà, la liste blanche est en place.
votre avatar
CE grand Est. Il fut possible de gérer soi même sa liste blanche/noire depuis la page internet qui permet de gérer son compte, MAIS PAS avec leur application... On se demande pourquoi. Ca a maintenant changé (ou va changer sous peu, flemme de rechercher): la liste blanche n'est gérable uniquement que via son conseiller !
La liste blanche, au moins, doit être disponible pour tout particulier:
https://www.quechoisir.org/actualite-prelevement-sepa-les-banques-ne-peuvent-pas-refuser-votre-liste-blanche-n5707/
On y trouve d'ailleurs "À la différence de l’ancien système, les banques n’ont plus l’obligation d’obtenir l’autorisation du client pour passer un prélèvement. C’est désormais le destinataire du prélèvement qui formule lui-même la demande auprès de l’établissement. C’est aussi lui qui conserve le mandat de prélèvement signé par le titulaire du compte débité. Conséquence pratique : n’importe qui disposant du numéro IBAN d’un particulier peut y prélever de l’argent, sans aucun contrôle de la banque."
votre avatar
pour banque pop:
modop officiel
votre avatar
Merci.
Pour l'instant, tu es seul avec une documentation officielle sur cette question!!
votre avatar
Pour HelloBank:
Accueil -> Paiments -> Gérer mes prélèvements -> Autorisation de prélèvement -> Ajouter un émetteur
Avec possibilité de saisie manuelle de l'ICS

Pour la Caisse d'épargne, il n'existe pas cette possibilité. Il faut passer par le conseiller (et certains ne sont pas au courant de cette fonctionnalité).
votre avatar
Super article, merci 👍 !
votre avatar
A priori il n'y a pas ce genre d'options au crédit agricole...
votre avatar
Au CA tu peux suspendre le mandat , et ça fonctionne bien ( mais pas de liste)
votre avatar
Merci pour cet article :inpactitude:
votre avatar
Pas trouvé de liste blanche non plus chez bourso bank
On peut juste bloquer des mandats de prélèvement
votre avatar
Via LHV

https://clients.boursobank.com/mon-offre/aide-en-ligne/securite/fraude-comprendre-reagir/question/l-operateur-free-victime-d-une-cyberattaque-que-dois-je-faire-si-je-suis-client-free-et-boursobank-30137583

Liste blanche des pays pour les SEPA, un début..
votre avatar
Je ne retrouve la mention "liste blanche" dans la page que tu as donnée.
votre avatar
Dans les options avancés des mandats.
votre avatar
Liste blanche/liste noire dispo à la caisse d'épargne mais apparemment il n'est pas possible de le faire soit même depuis l'interface de l'application, uniquement par RDV avec un conseiller
votre avatar
Bon à savoir merci.
votre avatar
Si vous avez un soucis, attention avec les "conseillers" bancaires ils vont vous pousser vers une opposition , il NE FAUT JAMAIS faire opposition. (l’opposition concerne un ou plusieurs prélèvement ponctuels, c'est payant, et n’annule pas l’autorisation de paiement -si elle avait été donné- !)

Il faut simplement refuser ou annuler le prélèvement comme indiqué dans le 3ème paragraphe. C'est indiqué dans les mandats de prélèvement en tout petit : l'autorisation peut être enlevée à tout moment, jusqu'à 13mois en rétroactif. (c-à-d 1 an de prélèvements est re-crédité sur votre compte)
L'astuce marche aussi si vous avez signé un mandat SEPA, par contre vous vous trouvez instantanément en impayé depuis un an chez le créancier, donc il vaut mieux être sûr de son coup :)
votre avatar
Les oppositions sont rarement payantes de nos jours, il me semblait même qu'elles avaient été rendues obligatoirement gratuites pour compenser le fait que les banques acceptent par défaut tous les prélèvements vu qu'elles ne reçoivent plus les mandats. Mais ne retrouvant pas l'information, je n'en suis plus sûr, et ça n'empêche pas de demander plutôt l'annulation car les oppositions sont toujours limitées dans le temps.

Et annuler un mandat SEPA n'est pas rétroactif. On peut effectivement récupérer les 8 dernières semaines de prélèvements, mais c'est une demande distincte, l'un n'entraîne pas l'autre et on peut faire l'un sans l'autre. Et on choisit quels prélèvements se faire rembourser, c'est pas tout ou rien.

Et on ne peut pas remonter jusqu'à 13 mois si le mandat est valablement signé, seulement s'il ne l'est pas ou s'il n'existe pas.
votre avatar
Comment savoir si le mandat est valablement signé lorsque c'est une signature "électronique", c'est à dire juste le nom du titulaire du compte non manuscrite ?
votre avatar
Il existe plein de types de "signatures électroniques", on donne ce nom à ce qu'on veut, mais très peu ont une valeur légale. Il y a par exemple, en Europe, la signature électronique qualifiée du règlement eIDAS qui a une valeur légale identique à une signature manuscrite. Une telle procédure ne doit alors pas pouvoir être falsifiée ni d'un côté ni de l'autre et être conservée des 2 côtés, soit par l'utilisation de mécanismes cryptographiques (type clé publique/privée des 2 côtés), soit par l'intermédiaire d'un tiers de confiance agréé qui valide l'identité des 2 parties et stocke la signature. Sinon ça n'a pas d'intérêt.

Mais la "signature électronique" random qu'on trouve à tous les coins de site, avec par exemple envoi de code à taper, n'a aucune valeur de preuve légale. En fait elle sert surtout à un organisme honnête d'aider à s'assurer sur le moment que son client qui valide est bien celui qu'il prétend être, mais ensuite c'est juste stockée comme accepté dans le système d'information de l'organisme avec plus ou moins de détails sur ce qui s'est (soi-disant) passé. Ainsi, rien n'empêche un organisme malhonnête de fabriquer de faux de ces "signatures" dans son propre système d'information.

A ma connaissance il n'existe pas de moyen standardisé pour la signature des mandats de prélèvements, chacun fait donc comme il le veut, et dit ce qu'il veut. Ainsi je ne vois pas d'obstacle à contester la validité d'une "signature" qui n'a pas de valeur légale. Maintenant si la banque s'arrête à ça (ce qui est simplement équivalent à dire "je crois ce que me dit le créancier et pas ce que vous me dites vous", rien de plus), et ne veut pas entendre raison, ben il faut aller plus loin et je suis d'accord que c'est casse-pied. Et je suggère de changer de banque une fois tout ceci terminé.
votre avatar
C'est à celui qui dit qu'il y a un mandat signé de le prouver.

Quand ça repose sur l'envoi d'un code par SMS ou mail, c'est une présomption pas forcément forte.

Les mails, c'est comme des cartes postales, tout le monde peut les lire. Les SMS, on a vu ici que ça peut aussi se détourner.
Par contre, si le SMS a été envoyé à un numéro qui n'est pas le tien ou le mail à une adresse qui n'est pas la tienne, c'est bien une preuve que tu n'as pas signé.


Inodemus est plus complet que moi juste au-dessus de mon commentaire.
votre avatar
Merci @Inodemus et @Fred42. En fait, mon fils a bien reçu un sms le jour dit avec un code mais il ne l'a jamais communiqué à quiconque. Vous me direz, il aurait pu se dire que c'est bizarre de recevoir un code alors qu'il n'était en train de faire aucune démarche mais que voulez vous, tant qu'on a pas connu une galère, on n'est pas trop méfiant.
Je vais donc insister auprès de la banque pour qu'elle rembourse ces prélèvements non autorisés.
votre avatar
Je ne suis pas français, donc cette histoire de RIB ne me parle peu, même si j'ai des notions. Ce que je ne comprends pas bien, c'est s'il est possible de retrouver un RIB à partir de l'IBAN seul, et donc risquer des prélèvements frauduleux ?
votre avatar
Absolument !
votre avatar
Le RIB c'est juste le document standardisé où se trouve l'IBAN, le code BIC, le nom et l'adresse du titulaire et de la banque. Ca désigne aussi les anciennes références françaises du compte, utilisées avant l'apparition de l'IBAN et qui étaient divisées en plusieurs champs, mais qui même si elles sont toujours sur ce même document, ne sont plus utilisées aujourd'hui, on n'utilise plus que l'IBAN et le BIC.
votre avatar
D'accord, je comprends mieux. Je pensais que le RIB désignait spécifiquement une sorte de numéro "secret" qui permet de prélèvements automatiques à celui qui le possède (+ la signature, mais l'article décrit à quel point la sécurité offerte par ce procédé est discutable).

Je me demande si la problématique se pose également ici, en Suisse, ou nous avons les ordres permanents pour automatiser les paiements du factures récurrentes (électricité, téléphone, Internet, loyer, etc.).
votre avatar
En Suisse, les ordres permanents ou les prélèvements (LSV) passent forcément par ta validation.
C'est toi qui crée l'ordre permanent et qui le paramètre, et pour les prélèvements, c'est également à toi de remplir tout un formulaire pour indiquer que tu donnes l'autorisation à tel ou tel fournisseur de prélever sur ton compte.
De même que le factures électroniques (eBill) reçues directement sur ton eBanking doivent passer par une autorisation que toi seul peut donner pour en faire un paiement automatique (et sur lesquelles tu peux appliquer des conditions de paiement ou non, par ex. "Un montant exact de 54.- une fois par mois" ou "Un montant < 100.- par trimestre").
votre avatar
C'est moi ou les systèmes bancaires décrits sont du siècle dernier ?

En Suisse je n'ai pas l'impression qu'on puisse faire quoi que ce soit à partir d'un IBAN, à part verser de l'argent sur le compte.

De plus, tout prélèvement passe automatiquement par une opération de validation de l'utilisateur.

Et j'ai du mal à réaliser que ce soit encore possible que des banques utilisent le système de liste noire. On est en train de parler du monde bancaire...! Comment peut-on croire que c'est une bonne idée d'autoriser toute personne ayant les bonnes infos de faire un prélèvement SAUF ceux qu'on a explicitement interdit ??? C'est complètement con... (et dangereux) et surtout, ça permet de reporter la responsabilité sur le client final plutôt que la banque, et ça c'est totalement inadmissible de la part d'établissements de ce type.
votre avatar
Ben tu vois c'est rigolo, parce que ce que tu décris avec l'autorisation préalable du titulaire du compte à donner à sa banque, c'est ce qu'on avait au niveau national avant que ce soit étendu en 2014 au niveau européen avec les prélèvements SEPA.

Donc le système "du siècle dernier" comme tu le dis, était comme ce que tu indiques attendre d'un tel service. C'est justement le nouveau système, de ce siècle, qui a perdu en sécurité, sans que je sache trop pourquoi d'ailleurs.
votre avatar
C'est particulier en effet, car cela donne vraiment l'impression d'un retour en arrière. Après, il y a (je l'espère) une bonne raison et probablement des éléments qui m'échappent.
En tout cas, de mon point de vue et sans avoir le contexte qui a amené à fonctionner comme cela, je trouve ce fonctionnement inquiétant.
votre avatar
C'est exactement le cas : On ne peut rien faire d'autre que verser de l'argent avec un IBAN (ou RIB c'est pareil), sauf que les banques françaises acceptent souvent les prélèvements où l'autorisation n'a pas encore été signée. Faisant ça elles engagent leur responsabilité, donc il suffit de réclamer et tu peux te faire rembourser 13mois de prélèvement.
votre avatar
Dans tous les cas, pour le coup, Xavier à bien foutu le BORDEL.....mais dans nos comptes.
M'en vais mater mon gestionnaire de la caisse d'épargne

Fuite d’IBAN : quels sont les risques, comment se protéger

  • C’est quoi un IBAN ?

  • Risque de phishing

  • Risque de prélèvements frauduleux

  • Entre 70 jours et 13 mois pour contester

  • Mettre en place des listes noires ou blanches

Fermer