Phishing : négligent, un client d’une banque doit assumer les prélèvements frauduleux
Vous allez me le payer
Le 20 avril 2018 à 07h59
4 min
Droit
Droit
En appel, une banque a été tenue d'assumer un prélèvement frauduleux de plus de 7 000 euros suite à une vague d’hameçonnage visant un client. La Cour de cassation a invalidé la décision, précisant les obligations de vigilance pesant sur la victime.
Le phishing est une bête noire dans le secteur bancaire. Pour le client, qui peut si facilement tomber dans le piège d’un email frauduleux imitant une communication officielle. Pour l’établissement, qui sait que le Code monétaire et financier est intraitable. Il exige en particulier la démonstration d’une faute grave de la victime. À défaut ? C’est à lui d’en assumer les frais.
7 000 euros prélevés chez un client non avisé
Une affaire opposait un client du Crédit Mutuel (M.X). Il s’était fait ponctionner plus de 7 000 euros suite à une vague d’hameçonnage en 2012. Il avait reçu plusieurs mails prétendument de sa banque, accompagnés d'un « certificat de sécurité à remplir attentivement », ce qu’il a fait.
Il a même été jusqu’à demander à sa banque « la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux ». De ce fait, le fraudeur avait pu récupérer l'ensemble des données personnelles qui lui ont permis de profiter du système de paiement 3D Secure.
Le 19 avril 2016 cependant, la Cour d’appel d’Amiens a considéré que la banque devait rembourser ces prélèvements frauduleux. En effet, « seul un examen vigilant des adresses internet changeantes du correspondant ou certains indices, comme les fautes d'orthographe du message » étaient de nature à interpeller le client. Or, un tel examen a été jugé inaccessible par un client non avisé.
C’est d’autant plus vrai que M. X. ne se connectait presque jamais à sa banque et ignorait ses différentes alertes de phishing. Les juges d’appel en ont ainsi déduit que « c'est à son insu que [le client] a fourni les renseignements qui ont permis les opérations frauduleuses sur son compte ». Mieux : cette transmission n’est en rien constitutive d’une faute grave, car un client « normalement » attentif pouvait ne pas percevoir « les indices propres à faire douter de la provenance des messages reçus ».
Des indices dans les yeux de l’utilisateur normalement attentif
Dans un arrêt du 28 mars 2018, signalé par Legalis.net, la Cour de cassation n’a pas eu la même analyse. Saisie par la banque, elle pose que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ».
Dit autrement, un mail de phishing qui contient des traces suspicieuses d’une arnaque (par exemple une URL mal formée ou des fautes), doit immédiatement phosphorer chez le client normalement attentif, quand bien même celui-ci n’a pas été alerté des risques de mails frauduleux. Cette obligation est la conséquence de son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, prévue par les articles L. 133 - 16 et L. 133 - 17 du code monétaire et financier.
Le 18 janvier 2017, la Cour de cassation avait également rappelé qu’il revient au prestataire « de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ».
Et « cette preuve ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ». En particulier, une banque ne pouvait invoquer l’hypothèse d’un phishing pour se dédouaner, elle devait en apporter la démonstration.
Commentaires (108)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/04/2018 à 08h29
La bonne blague.
BNP envoie des e-mails à ses clients, qui viennent du domaine @cifa02k.espmp-aufr.net.
Quand je l’ai reçu j’ai de suite pensé à un phising, sauf qu’il n’y avait que du texte d’information, aucun lien ni demande de connexion.
J’ai donc demandé confirmation à ma banque, qui m’a confirmé que ce message venait bien de ses services.
Comment un client peu avisé peut-il faire la différence entre un vrai phising et ce genre de messages ?
Le 20/04/2018 à 08h29
En faisant ce que tu as fait : ça te semble étrange ? Tu appelles la banque directement pour une confirmation.
Le 20/04/2018 à 08h30
La caisse du Crédit Mutuel de Beauvais a redoré le blason du Crédit Mutuel Nord Europe, j’espère qu’il y a eu une réception en l’honneur de cette victoire juridique inespérée. " />
Le 20/04/2018 à 08h30
J’vois pas en quoi ça devient difficile, on rabâche suffisamment de ne pas cliquer sur les liens d’un mail. Tu saisies l’URL de ta banque dans ton navigateur, tu utilises pas celle du mail.
Le 20/04/2018 à 08h32
Chacun voit son bonheur là où il le trouve. Je suis également client de La Banque Postale, ancien client de Monabanq (groupe Crédit Mutuel-CIC - siège social Villeneuve d’Asq - RCS Lille). Et ça n’empêche que la politique de gestion des fraudes à La Banque Postale est ubuesque au regard de ce que publie l’AFUB dans la presse et les médias depuis plusieurs années.
Le 20/04/2018 à 08h32
J’ai eu la réponse à ma demande sur Twitter, au bout de 4 jours, donc il y a sûrement eu des recherches derrière, de personnes dont le boulot est de faire ces recherches pour répondre aux tweets. Ton conseiller, voire l’hôte(sse) d’accueil, n’est guère informé des campagnes d’e-mail de ce genre, etje ne pense pas qu’il ait les moyens et le temps de faire ces recherches, ils sont là pour accueillir et gérer les opérations courantes.
Le 20/04/2018 à 08h33
Je suis désolé mais je vous trouve très virulent dans vos propos comme d’autres ici.
Connait-on le profil du client de la banque ? Je connais des gens, surtout parmi les personnes âgées qui n’y connaissent pas grand chose à l’informatique et aux TIC et qui essaient de s’y mettre… sans forcément en avoir les compétences.
Et je trouve ce jugement dangereux personnellement. Ca ouvre la brèche à reporter la responsabilité sur le client qui 1) s’est fait avoir par le phishing 2) a perdu de l’argent 3) se fait condamner. Et 7000 euros pour la banque, c’est un goutte d’eau dans un océan…
Ce genre de jurisprudence devrait révolter pour ma part…
Le 20/04/2018 à 08h34
Je m’interroge un peu sur la validité de l’argument des fautes d’orthographe… car, quand je vois certains mails passer au boulot, y compris provenant de personnes plus âgées que moi et parfois même occupant des postes à responsabilités, je ne suis pas convaincu que le Français “moyen” ait un bon niveau en la matière ;(
Le 20/04/2018 à 08h36
Cette décision du CC est d’autant plus bizarre que si on se fait retirer de l’argent (par exemple si on laisse le numéro de la CB visible), on est immédiatement remboursé, donc il y a une sorte d’assurance pour ça, qu’on paye d’une façon ou d’une autre. C’est la même négligence de de cliquer sur un phising. Alors pourquoi le traitement est-il différent entre une négligence numérique et une négligence physique ?
Le 20/04/2018 à 08h37
Ne suggère pas ça malheureux, ce serait la mort du social engineering si les gens faisaient les vérifications d’usages au lieu de donner docilement toute leur information.
Tu veux mettre les malfrats sur la paille ou quoi ? " />
Le 20/04/2018 à 08h39
Si la personne, même âgée, clique n’importe où sans se renseigner un minimum, je ne vois pas en quoi ce serait la faute de la banque.
De plus, les arguments du coup de téléphone à la banque ou des messages qui disent qu’il ne faut jamais donner ses identifiants à personne et que la banque ne les demandera jamais, ce sont aussi des messages qui s’affichent sur le site ou envoyés par mail parfois. Si les gens ne lisent que ce qu’ils veulent, ce n’est, encore une fois, pas la faute de la banque.
Donc je maintiens mon point de vue : si l’utilisateur clique n’importe où et file ses données à n’importe qui, c’est de sa faute uniquement. Tu donnerais ta CB à quelqu’un au hasard dans la rue qui te dit “hé, je bosse à ta banque et j’en ai besoin” ? Alors pourquoi le faire sur internet ? Si le seul moyen pour certains d’apprendre, c’est de se faire avoir, tant pis. Mais encore une fois, je ne vois pas pourquoi la banque devrait trinquer.
Si sa CB avait été perdue ou volée, d’accord. Si la CB avait fuité d’un site, OK. Si l’utilisateur est assez bête pour le filer à n’importe qui, pas OK.
Le 20/04/2018 à 08h39
Oui je sais, je ne pense pas assez aux petits artisans, désolé " />
Le 20/04/2018 à 08h41
Raison simple le cas de l’article, il a donné volontairement les informations jusqu’à commander une carte de clefs pour le 3D Secure.
Alors que la CB, les infos sont sur le bout de plastique que tu peux perdre. Donc tu as pas besoin de soutirer les infos.
Le 20/04/2018 à 08h42
Le téléphone est encore moins bien sécurisé que l’email : le numéro qui s’affiche peut être modifié sans que le destinataire ne puisse le vérifier spontanément.
Les banques et autres organismes officiels ont une sale manie d’envoyer des emails depuis une autre adresse que celle du site web, parfois, au point d’utiliser un domaine dont on n’entend jamais parler par ailleurs, le tout avec des erreurs d’encodage à n’en pas finir, et qui sont pourtant légitimes.
Je suis suspicieux par défaut, que ce soit au niveau des emails, des coups de fils ou des courriers postaux, mais ce n’est pas le cas de la plupart des gens : par défaut, on fait spontanément confiance.
Le 20/04/2018 à 08h44
Le 20/04/2018 à 08h46
Encore une fois, on ne sait pas qui est le client et quelles sont ses connaissances/compétences. S’il pense qu’il a reçu un email de sa banque et qu’il doit urgemment renseigner des informations pour des raisons de sécurité, je trouve que ça peut se comprendre. La première technique du phishing est de présenter un contenu anxiogène à sa cible : lui faire peur, pour qu’elle réagisse de façon viscérale.
Et ton exemple de la CB est fallacieux. Ce n’est pas un email de quelqu’un au hasard que le client a reçu, c’est supposément un email de sa banque.
Tout le monde n’est pas à notre niveau de connaissances et de compréhension des risques informatiques. A tout hasard, je me demande quel est le niveau de sensibilisation de la population française par rapport au phishing.
Bref, je ne demande juste qu’un peu de recul et de tolérance vis à vis d’une personne potentiellement victime et ignare en la matière (mais être ignare en matière de sécurité informatique n’est pas un crime…. quoi que avec Hadopi..)
" />
Le 22/04/2018 à 18h42
Le 23/04/2018 à 08h14
Le 23/04/2018 à 09h03
Parce que le SPAM est compliqué de base :
Et les techniques évoluent aussi.
Il n’y a rien en sécurité qui soit “install and forget” (je généralise mais je n’ai pas de contre-exemple sous la main non plus)
Le 23/04/2018 à 09h49
Les arnaques par téléphone, ça existe aussi, hein … :)
Le 23/04/2018 à 10h21
Un pauvre script supporte très bien ce changement d’interface… Parsage du html et c’est fini.
Le 23/04/2018 à 10h36
Le 23/04/2018 à 10h42
Le 23/04/2018 à 14h15
Le 23/04/2018 à 14h49
Le 23/04/2018 à 15h03
Le 23/04/2018 à 15h16
Le 23/04/2018 à 17h33
Bonjour,
Je suis très volontairement provocateur, car je pense qu’il y a ici dans cette affaire un défaut d’éducation qui n’est pas du ressort de la banque (la banque faisant tout son possible en prévention et avertissements).
S’il s’agit de Mme Michu, apte à aller sur internet, mais pas à en comprendre les arcanes, c’est à ses enfants et petits-enfants de lui en apprendre les bases ou de lui dire “si tu as la moindre question, appelle nous”.
Et j’admets bien volontiers être le con de quelqu’un en cuisine, mécanique, informatique ou même en compassion " />
Le 23/04/2018 à 17h33
Bonjour,
Je suis très volontairement provocateur, car je pense qu’il y a ici dans cette affaire un défaut d’éducation qui n’est pas du ressort de la banque (la banque faisant tout son possible en prévention et avertissements).
S’il s’agit de Mme Michu, apte à aller sur internet, mais pas à en comprendre les arcanes, c’est à ses enfants et petits-enfants de lui en apprendre les bases ou de lui dire “si tu as la moindre question, appelle nous”.
Et j’admets bien volontiers être le con de quelqu’un en cuisine, mécanique, informatique ou même en compassion " />
Le 23/04/2018 à 20h19
Bonsoir,
Ça va la provocation est loin des extrêmes. " />
Le problème aussi, est que les banques poussent à utiliser Internet et elles ne s’assurrent pas pour autant que les client sont aptes.
Si la méfiance envers l’hameçonnage est un acquis pour les gens qui fréquentent ce forum ça ne l’est pas pour tout le monde.
J’ai souvenir de mon agence physique qui me bassinait à chaque fois que je demandais quelques chose avec un «vous pouvez le faire sur Internet».
Du coup j’ai fini par prendre une banque en ligne " />
Le 23/04/2018 à 22h22
D’accord, mais ça n’a plus de rapport avec les interfaces “boutons en agencement random” des banques dont on parlait :)
Le 24/04/2018 à 07h00
Le 20/04/2018 à 08h46
Tout ça va pousser les banques (ou au moins certaines) à mettre en place des solutions d’authentification forte, où le client ne peut pas tout donner à un éventuel phisher.
mais ce cas reste extrème: le gars a effectué des démarches actives auprès de la banque pour donner des infos au phisher. Du coup je ne pense pas que ça modifie beaucoup la jurisprudence actuelle.
edit: j’ajoute que si les banques et les clients avaient des solutions de mail sécurisé (chiffrement, signatures), tout ça n’existerait pas.
Le 20/04/2018 à 08h46
Comme dit dans ton message : juste du texte informatif, aucun lien ni demande de connexion à quoi que ce soit. Et je suppose qu’il ne devait pas y avoir trop de fautes d’orthographe dans l’email reçu non plus - bien qu’un jour les gens derrière les campagnes de phishing se mettront à être un peu moins cons et à comprendre que ce point est la première chose qui met la puce à l’oreille en cas de tentative " />
Le 20/04/2018 à 08h47
Tu fais n’importe quelle commande en VPC, on te demande ton numéro de CB, tu le donnes. C’est un moyen de paiement autorisé. Si le vendeur est un escroc, il se garde le numéro sous le coude, et te fraude avec : l’assurance te remboursement les sommes indûment débitées. Pourtant c’est bien toi qui est à l’origine de la fuite, tu donnes l’info volontairement.
Pour la commande la carte 3D secure, la banque aurait pu vérifier de quelle demande il s’agissait, et lui répondre qu’elle n’avait pas envoyé d’e-mail lui demandant cette information. Le client est réputé moins averti face à un professionnel.
Le 20/04/2018 à 08h47
Comme souvent, le problème c’est l’interface chaise-clavier. Quand mon assureur m’a demandé une copie de ma carte grise par mail, je me suis connecté directement et leur ai demandé confirmation via l’interface.
Le soucis, c’est nos parents / petits vieux : même avec un bac+8 c’est capable de vouloir racheter un ordinateur parce que “la licence antivirus a expiré” ou “y’a plus d’espace pour Windows Update” (oui oui…). Autant vous dire qu’un sacré paquet de gens malhonnêtes vont en profiter.
Le 20/04/2018 à 08h50
Exactement : le jour où les phisings n’auront plus de phôtte, on fera quoi ? On dira au client “c’est votre faute, il fallait faire un ping sur le domaine de l’e-mail, pour vérifier que l’IP est bien en France et correspond à celle de la banque” ?
Et même si dans mon cas j’avais moins de risque puisqu’il n’y avait pas de lien, ça pouvait très bien être du phising, pourquoi ne pas “apprivoiser” le client avec des e-mails non sensibles, pour l’habituer, et lui proposer un lien un peu plus tard, quand son regard se sera habitué à ce contexte ?
Le 20/04/2018 à 08h51
Le 20/04/2018 à 08h58
Le 20/04/2018 à 09h00
Alors déjà, c’est quoi VPC ? Et ça ne change rien, la carte ça reste un bout de plastique avec les données “publique” dessus, dans le cas de l’article, le mec à donné des infos “privés” qui ne sont pas inscrit quelques part (normalement). Pour ça qu’ils se posent rarement des questions (sauf gros montant) quand la fuite vient de la carte (payement par internet ou autre).
Alors que là déjà de un 7 000 € ils font une analyse, et de deux il y’a l’action volontaire de donner des informations confidentiels concernant son compte. Le CréditMut’ à justement une carte de clef pour limiter les fraudes et ça choisi aléatoirement un des codes Pin sur la carte (genre emplacement B3), là le mec à tout donné.
Et la commande de la carte 3D secure tu cliques sur un bouton sur le site et le courrier part hein, ça va pas plus loin pour la commande (donc là il pourrait y avoir un axe d’amélioration " /> )
Le 20/04/2018 à 09h04
Ouai alors hors-sujet, mais c’est quoi cette putain de mode de merde de ne plus avoir de formulaire avec login et password sur la même page ? Amazon, Google, Microsoft etc.
Tu dois valider le login et ENSUITE ça switch sur le mot de pass, impossible d’utiliser l’auto-remplissage avec mon Keepass ….
Le 20/04/2018 à 09h07
wow c’est vendredi ici:
login + TAB + password.
et tadaa! ton keepass il remplit les champs c’était magique! " />
Le 20/04/2018 à 09h11
Travaillant dans une banque je suis un peu mitigé sur cette news.
D’un côté, oui, on a un devoir de sécuriser les opérations de nos clients, de l’autre c’est parfois exaspérant de voir des clients a priori intelligents, gérant de grosses sommes, se faire avoir aussi facilement.
Et bien sur, si tu sécurises trop (certificats matériels, blocage de manipulations suspectes…), ça gueule très vite qu’on empêche le client de bosser.
Après, j’ai déjà eu des exemples où les conseils de sécurité, dans le chemin Informaticien > MOA > Responsables > Agence > Chargé de clientèle est tellement transformé et mal compris que ça fait plus de mal que de bien.
Le tout face à des escrocs toujours mieux armés et audacieux, surtout sur la clientèle pro.
Le 20/04/2018 à 09h11
Heu …. tu lis ? " />
Le champs password est sur une AUTRE page hein. Tu rentres ton login dans le champs login, tu VALIDES et tu es redirigé vers une AUTRE page avec le champs password, donc ton tab il sert à rien et c’est d’ailleurs le comportement par défaut de Keepass " />
Par contre je sais pas si tu peux temporiser sur l’auto-remplissage le temps que la page suivante charge.
Si besoin je te fais un GIF " />
Le 20/04/2018 à 09h13
L’AFUB ? Je ne fais pas confiance à une association dont la page web n’a pas été réactualisée depuis 2014, sans parler de contenus encore plus anciens.
Le 20/04/2018 à 09h16
La comparaison avec une personne qui te demanderait ta CB dans la rue ne correspond pas à ce qu’est du phishing. Il faudrait plutôt se demander : “donnerais tu ta CB à une personne en costume dans un local reproduisant les code couleur et disposition de ton agence bancaire ?”
Lire les mails de sa banque, c’est bien, mais à quel moment, la personne peu au fait des choses, sait qu’il s’agit réellement d’un mail de sa banque si il doit se méfier des mails bancaires qu’il reçoit ? Le seul moyen, à mon avis, serait de faire des formations aux clients dans les agence bancaires.
Quant à devoir appeler sa banque à chaque mail reçu, pourquoi ne pas en plus leur demander confirmation par sms pour avoir un rdv physique pour confirmer que le mail est authentique ? …
Dans tous les cas, les fraudeurs ont toujours de la ressource et des idées pour nous tromper (et je dis bien “nous”. Je ne suis pas à l’abri de me faire avoir, un jour dans un domaine que je ne maitrise pas trop). Il y a des personnes naïves, mais il ne faut pas croire que seuls les idiots se font avoir.
Le 20/04/2018 à 09h19
et t’as pas trouvé d’autre moyen de valider le formulaire “login” avec autre chose que ton index? ^^
creuse toi un peu la tête avec keepass et tu vas y arriver.
j’y arrive bien, moi. " />
je sais plus si c’est un tab ou un entrée ou un mix des deux, jsuis sur le PC du boulot, mais ça fonctionne. et oui y’a moyen de mettre un delay. ^^
Le 20/04/2018 à 09h24
Tab + Espace (ou Enter) ? Ça règle pas le problème de temporisation le temps que la page du mot de passe charge. Si il commence à remplir sur une page pas chargé, ça marche pas trop bien " />
Le 20/04/2018 à 11h52
Te serais tu fait phisher ? " />
signal-arnaques.com/scam/view/106736
Arnaque suspectée : bnpparibas _at_ cifa02k.espmp-aufr.net | BNP PARIBAS | Autre arnaque sur Signal-Arnaques.com
Le 20/04/2018 à 11h59
Il est toujours très facile de tromper les utilisateurs non initiés en copiant l’apparence du correspondant usurpé, par exemple avec un site factice qui demande de se connecter. Avec un nom de domaine pas trop suspect, un email qui ressemble à un officiel, une interface entièrement copiée, des messages clairs sans fautes.
Qui ira vérifier si l’adresse du site correspond exactement au bon site ? Personne.
Une possibilité pour diminuer les chances d’être affecté est d’utiliser des adresses emails différentes pour les services importants, donc si on reçoit un email de sa banque sur son adresse poubelle, on sait tout de suite que c’est une tentative de hameçonnage. Mais c’est pas forcément simple de suivre plus d’une adresse email, avec ces webmails.
Le 20/04/2018 à 12h34
En meme temps le mec à communiquer les codes de sa carte de sécurité sur lequel il est indiqué en GRAS de faire attention et de ne la communiquer à personnes….
Donc le mec, on ne peut plus rien pour lui …
Le 20/04/2018 à 12h47
Je ne pense pas :
- pas de lien, pas de clic, pas d’arnaque (c’était vraiment du texte ennyeux à la “Le saviez-vous, on innove pour vous”)
Edit : je viens de revoir l’e-mail en question, il y a effectivement un lien vers mabanque.bnppparibas, mais pas cliquable. Donc soit on le copie colle, soit on le tape directement, mais ce n’est pas une méthode de phising.
Le 20/04/2018 à 12h49
De mon point de vue, je pense que la banque a bien rempli son obligation d’information (“ne partagez pas vos clefs de sécurité”), et tant pis si à partir d’un certain âge, les gens sont incapables de faire autre chose que se poser devant TF1.
C’est identique aux vieux victimes d’arnaques qui laissent rentrer de faux policiers chez eux : elles ne se font pas rembourser si on n’a pas chopé les voleurs. Vous imaginez un fond de garantie pour ce genre de choses? Et puis quoi encore? Il faut arrêter de déresponsabiliser les gens.
Je comprend la détresse de cette personne, mais au bout d’un moment, même sans compétence particulière, on téléphone à sa banque histoire de demander “pourquoi je dois remplir ce document”.
Oui, on va vers une dérive de “méfiance”, mais les arnaqueurs ont un métier vieux comme le monde, c’est pas nouveau.
Le 20/04/2018 à 13h02
Le 20/04/2018 à 13h33
La séquence a utiliser : le delai de pause est exprimé en millisecondes
{USERNAME}{ENTER}{DELAY 1000}{PASSWORD}{ENTER}
Le 20/04/2018 à 13h34
ah nice, j’vais essayer de voir quand je rentre. Mais bon c’est quand même con leur truc " />
Le 20/04/2018 à 13h36
c’est surtout que certains sites, selon d’où tu arrives, tu peux avoir les 2 cas : user et password sur 2 pages différentes ou bien sur la même !
Le 20/04/2018 à 14h08
Et y’a pas une extension FF pour forcer les deux sur la même page ? " />
Le 20/04/2018 à 14h12
Le 20/04/2018 à 14h28
Uniquement des mails de confirmation de virement initié depuis mon compte (doublé d’un SMS).
Le 20/04/2018 à 14h34
et ne pas répondre au téléphone non plus, si un huissier vient toquer chez toi un matin, c’est que ça devait être sérieux
Le 20/04/2018 à 14h34
Le 20/04/2018 à 15h18
Je sais que ça a déjà été abordé, mais le passage suivant met quand même la puce à l’oreille :
Il a même été jusqu’à demander à sa banque « la communication de sa nouvelle carte de clefs personnelle pour pouvoir renseigner complètement le certificat litigieux ». De ce fait, le fraudeur avait pu récupérer l’ensemble des données personnelles qui lui ont permis de profiter du système de paiement 3D Secure
Donc si je comprends bien, le mec a demandé à sa banque une carte de clés personnelles afin de remplir un formulaire destiné à cette même banque ? Y’a un moment où, en mettant de côté le fait que c’est vraiment suspect, ça devient vraiment pas logique, non ?
Le 20/04/2018 à 15h26
Boursorama a fait un truc pas idiot. Ils demandent de choisir un “avatar”, c’est-à-dire une photo personnelle (ce qu’on veut). Et quand on se connecte sur leur site, on doit voir cet avatar, s’il n’y est pas c’est qu’on n’est pas sur leur site. Et ils l’incluent dans les e-mails, pour qu’on repère que c’est bien eux.
Par contre tous les clients ne l’ont pas. Ma femme l’a, pas moi.
Le 20/04/2018 à 08h03
C’est une bonne chose.
Il n’est pas correct que la justice considère normal que les gens soient cons.
Le 20/04/2018 à 08h13
Le 20/04/2018 à 08h13
Par défaut, ne jamais cliquer sur un lien provenant d’un mail. Se rendre soi-même sur le site idoine.
Le 20/04/2018 à 08h14
Le Crédit Mutuel Nord Europe, La Banque Postale , avec leurs mots de passe à 6 chiffres et régulièrement dénoncés par l’AFUB (Association française des usagers des banques)…
Le 20/04/2018 à 08h15
Ouais enfin la…
Donner ton login et mot de passe de ton compte en ligne.
Donner tout les numéros de ta carte de clefs personnelle.
Y’a un moment quand un mec dans la rue se fais passer pour un conseiller de ta banque et te demande ta carte bancaire et ton code associé et que tu lui donnes faut pas se plaindre.
Le 20/04/2018 à 08h16
Le 20/04/2018 à 08h20
Ben par défaut ne jamais prendre un mail de la banque au sérieux (surtout avec un lien), s’ils veulent vraiment te contacter, ils te téléphoneront.
Le 20/04/2018 à 08h22
surtout en général tu as une messagerie sur le site de la banque.
du coup la banque ne te contacte jamais par mail (à part pour du marketing éventuellement).
je ne reçois aucun mail non sollicité de ma banque.
Le 20/04/2018 à 08h23
oui c’est pour ça que la plupart des banques ont des messageries internes
Le 20/04/2018 à 08h23
Pour le hameçonnage, je suis plutôt pour mettre la faute sur le client. Il n’est pas compliqué d’avoir à l’esprit que :
Certains diront “c’est trop de trucs à retenir”, je répondrai sincèrement “pas la faute de la banque si vous êtes idiots” pour rester poli. Je ne vois honnêtement pas pourquoi la banque devrait casquer pour la connerie des gens.
Le 20/04/2018 à 08h27
Le 20/04/2018 à 08h28
Je suis à la banque postale et je n’ai pas l’impression que ce soit un problème.
Difficile de faire du brute force quand l’interface change à chaque saisie
Le 20/04/2018 à 09h26
y’a un delay, c’est certain.
jsuis pas sur la bonne machine sorry. ^^
je le fais avec 3 comptes sur Google, y’a aucun problème.
et même avec la protection anti keylogger. ^^
Le 20/04/2018 à 09h27
Moi j’ai deux CB sur deux banques + du cash. J’ai l’avantage de ne pas être emmerdé quoi qu’il arrive. Et j’aimerais bien pouvoir utiliser ma Yubikey dans ma banque ou un second facteur pour le login (même si une fois loggué tu as plusieurs mécanismes derrière, un second facteur au login n’est pas superflus non plus)
Le 20/04/2018 à 09h32
Le 20/04/2018 à 09h32
moi ça marche avec keepass 2 + keefox
Le 20/04/2018 à 09h36
Tiens, connais pas Keefox, j’vais look le bousin, moi j’utilise un plugin keepass pour reconnaître l’URL et faire un remplissage auto avec un raccourcie clavier.
Le 20/04/2018 à 09h40
Le 20/04/2018 à 09h40
Je l’aurais collé à la poubelle direct.
Le 20/04/2018 à 09h52
De l’intérêt d’avoir un compte email dédié aux “choses importantes” (banque, impôts, secu…)
J’en connais même qui créent un compte mail par institution - des comptes qui ne sont utilisés pour rien d’autre.
Ca permet quand même de diminuer de beaucoup les risques de phishing, même si c’est un peu plus lourd à gérer.
Le nombre de tentatives de phishing que je reçois sur mes comptes “poubelle” (que j’utilise pour tout le reste) est assez étonnant…en général c’est assez ridicule, bourré de phôtes incroyables, mais je suppose que le danger n’est pas nul pour les gens qui cliquent encore sur des liens reçus par mail (ce que je ne fais presque plus non plus…)
Le 20/04/2018 à 09h58
c’est dans la version de base de keepass le ctrl+alt+a qui déclenche le remplissage auto.
je trouve ça plus puissant ça fonctionne dans n’importe quelle fenêtre peu importe le navigateur.
Le 20/04/2018 à 10h06
Je trouve que ce n’est pas une bonne nouvelle pour les clients …
quand tu sais que même des informaticiens ( y compris des pro de la sécu ) peuvent se faire avoir par du phishing. ça laisse songeur de complètement déporter la responsabilité sur l’utilisateur.
Le 20/04/2018 à 10h19
Le 20/04/2018 à 10h26
Décision qui me semble logique et de bon sens. Chacun doit développer sa responsabilité individuelle.
Le 20/04/2018 à 10h56
Le 20/04/2018 à 10h57
C’est ce que je leur ai dit. Je ne comprends pas qu’une communication officielle passe par un tel nom de domaine.
Le 20/04/2018 à 11h17
Oui, c’est ce que j’utilise depuis des années, avant que ces abrutis de con modifie le moyen de login en mettant le champs password dans une autre page qui doit charger après avoir valider le login. Du coup le problème c’est que login + tab + password ne fonctionne plus :/
Le 20/04/2018 à 11h30
Le 20/04/2018 à 16h03
oui c’est bien celle-là que j’utilise aussi.
Le 20/04/2018 à 16h04
ils t’ont identifié comme un utilisateur averti. ^^
Le 20/04/2018 à 18h40
Le 20/04/2018 à 18h41
Bon en tout cas, je ne comprend pas l’obstination de la banque a aller en justice, ce n’est même pas elle qui paye.
La transaction est annulé par Visa ou Master Card, et c’est le commerçant qui va perdre son argent (et c’est même lui qui va être pénalisé pour avoir accepté une carte volé).
EDIT: Pardon, avec 3DSecure, c’est la banque qui est responsable : “Une nouveauté a également fait son apparition avec le lancement du 3D secure qui est le transfert de responsabilité du e-commerçant à la banque du porteur. En effet en cas de réclamation, le risque d’impayé émis par le porteur de la carte doit être supporté par sa banque et non plus par le e-commerçant.”
Le 21/04/2018 à 07h24
C’est une bonne chose.
Les gens cons, il faut les éduquer.
La victime n’utilise jamais le service sur internet donc, en théorie, va toujours voir son conseiller. Et là, elle ne va pas voir son conseiller et donne tous ses identifiants en ligne.
Sachant que dans les papiers physiques envoyés par la banque, il y a toujours marqué : “nous ne vous demanderons jamais vos identifiants sur internet”.
Big bravo !
Le 21/04/2018 à 09h00
Les cons les cons…c’est vite dit. Parce que tu penses que ta grand mère qui se connecte sur internet juste pour facebook et les emails va être informées de ce qu’est un “fichingue ?” Qu’elle sait ce qu’est un lien hypertexte, une URL, une adresse IP ?
Et je parle d’une grand-mère de 72 ans, je pourrais parler d’énormément d’autres personnes en France et dans le monde pour qui l’informatique est encore une bête obscure et le sera jusqu’à la fin de leur vie.
Quelle indulgence…
Le 21/04/2018 à 09h37
Le 21/04/2018 à 10h15
Le 21/04/2018 à 12h17
oui enfin dans le cas présent, même si le phising est extrement bien fait : pourquoi ta banque te demanderait les codes qu’elle t’a elle même fourni ?
La plus part des commentaires ici se sont focalisés sur la forme du mail en lui même et la detection du phising, mais à un moment, il ne faut pas seulement prendre en compte le mail : quand on te demande une suite d’actions illogiques, tu dois te poser des questions, phising ou pas phising. Les arnaques ont toujours excité, le mail n’est qu’un vecteur de plus qui n’exempte pas de réfléchir à minima.
La banque et certains média te préviennent qu’il ne faut confier à personne ta carte, tes numéros, ton pin et encore moins tes identifiants 3D secure… alors même en cas de super mail sans faute, rien que ces indices devraient de mettre sur tes gardes.
Le 21/04/2018 à 13h24
Le 22/04/2018 à 06h22
Le 22/04/2018 à 06h24
Le 22/04/2018 à 09h53
Le 22/04/2018 à 12h40
Alors un analphabète qui se ferait avoir par un email phising…. y a pas un soucis là ? " />