Connexion
Abonnez-vous

La plateforme Neosurf de paiement en ligne sans carte bancaire écope d’une amende de la CNIL

Des arnaques en pagaille

La plateforme Neosurf de paiement en ligne sans carte bancaire écope d’une amende de la CNIL

Photo de Bermix Studio sur Unsplash

La « solution de proximité pour payer sur internet avec des espèces », qui se vante de protéger la vie privée de ses utilisateurs, vient d'écoper d'une amende administrative de la CNIL pour « plusieurs manquements au RGPD ». Neosurf fait par ailleurs l'objet de très nombreuses arnaques, mais reste discrète à ce sujet.

Le 12 janvier à 15h50

« Neosurf permet à des millions d'internautes de payer et jouer en ligne sur plus de 20 000 sites », se targue son site web, qui met surtout en avant des sites de jeux (y compris d'argent) en ligne. Mieux : « Neosurf vous permet de payer en ligne sans carte bancaire et sans dévoiler ses informations personnelles ». Le service se présente en effet comme « la solution de proximité pour payer sur internet avec des espèces », et précise que « votre vie privée est protégée : pas besoin de compte ou de carte bancaire, ni d’informations personnelles ».

Capture d'écran des explications de neosurf.com
neosurf.com

La CNIL, ayant procédé à deux contrôles sur place et en ligne, en octobre 2021, a de son côté « relevé des manquements concernant les durées de conservation des données de comptes utilisateurs, l’information des personnes, la sécurisation des données et les modalités de dépôt des cookies et traceurs sur le terminal des utilisateurs ».

Ce pourquoi elle a prononcé une sanction de 105 000 euros à l’encontre de la société NS CARDS FRANCE, maison mère de Neosurf, pour « non-respect des règles sur les cookies et traceurs » ainsi que pour « plusieurs manquements au RGPD », concernant la durée de conservation des données, l’information des personnes et la sécurité des données.

Résumé de la sanction infligée par la CNIL à Neosurf
CNIL

Les données des comptes étaient en effet « conservées pour une durée indéterminée », la société ayant défini une durée de conservation « de dix ans » à l’issue de laquelle les comptes utilisateurs « étaient désactivés, mais non supprimés », note la CNIL.

Or, dans sa délibération, on apprend que le rapporteur avait constaté que, lors de la création d’un compte utilisateur sur le site web neosurf.com, étaient collectés « le nom, le prénom, la date de naissance, l’adresse postale, l’adresse courriel, le numéro de téléphone et, le cas échéant, les coordonnées bancaires (lorsque l’utilisateur décide d’y adosser un porte-monnaie électronique), de même que des documents personnels, tels que des justificatifs d’identité et de domicile (lorsqu’un règlement excède un certain montant) ».

« Aucune purge n’avait été réalisée depuis 2005 »

Il a en outre relevé qu’ « aucune purge n’avait été réalisée dans les bases de données de la société depuis le début de son activité en 2005 ». Les données de « 70 049 comptes inactifs » étaient ainsi conservées « depuis plus de dix ans ». Et « 51 735 comptes étaient conservés sans finalité », dans la mesure où leurs adresses électroniques n’avaient pas été confirmées lors de la création de leurs comptes.

Pour sa défense, la société « a tout d’abord indiqué » avoir défini cette durée de conservation des comptes utilisateurs de dix ans à des fins de lutte contre le blanchiment et le financement du terrorisme (LCB-FT, ou KYC, pour « Know Your Customer » en anglais) « avant de déclarer », relève la CNIL, que cette durée n’était désormais plus appliquée qu’aux seuls contrats clients « conclus pour un montant supérieur à 120 € HT ».

Elle a également répliqué que les données des 70 049 comptes inactifs étaient conservées en base « depuis dix ans et non depuis plus de dix ans », et « fournit une nouvelle capture d’écran qui attesterait sans ambiguïté de la suppression des comptes inactifs depuis cinq ans ».

Quant aux 51 735 comptes non confirmés, la société affirme que les données associées ne sont conservées que pendant un an, « puis supprimées à défaut de confirmation du compte », afin de « permettre aux utilisateurs de disposer d’un temps adéquat pour confirmer leur compte ».

« En tout état de cause », souligne la délibération, la formation restreinte a considéré que dans ses observations en défense, la société avait justifié cette conservation d'une durée d'un an, et considéré que les éléments du dossier ne permettaient pas de caractériser un manquement au RGPD.

Une charte « incomplète et obsolète », « uniquement en anglais »

A contrario, la capture d’écran fournie par la société des 70 049 comptes inactifs « montrait la conservation de comptes inactifs depuis dix ans et non depuis plus de dix ans ». Et ce, sans qu’aucun tri n’ait été effectué entre les données à conserver et celles à supprimer. Ce qui caractérise un manquement au RGPD.

La politique de confidentialité de Neosurf, tant sur son site web que sur son application mobile, était de son côté « incomplète et obsolète », mais également « uniquement fournie en anglais ».

La formation restreinte relève en effet que la page d’accueil du site web et la page de création de compte utilisateur renvoyaient toutes deux vers des « versions incomplètes » de la politique de confidentialité datant de 2018 et de 2021, qui ne mentionnaient ni la durée de conservation des données ni le droit d’introduire une réclamation auprès de la CNIL.

« Près de 50 000 mots de passe étaient conservés en clair »

La CNIL a aussi constaté le dépôt de cookies Google Analytics sur le terminal de l’utilisateur « sans son accord », et que le site recourrait au module Google reCaptcha, là encore sans son accord « préalable », que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

Les règles de complexité des mots de passe des comptes utilisateurs étaient en outre « insuffisamment robustes », et « près de 50 000 mots de passe étaient conservés en clair » dans sa base de données, et au surplus « associés à l’adresse électronique et l’identifiant des utilisateurs ».

Le rapporteur a en effet constaté que Neosurf n'exigeait que des mots de passe de six caractères composés de trois catégories de caractères (majuscules, minuscules et chiffres) « et dépourvus de mesure de sécurité complémentaire » telle qu'une authentification multi-facteurs, mais également qu’aucune restriction d’accès en cas d’échec d’authentification n’était mise en œuvre.

Et si les mots de passe qui n’étaient pas conservés en clair étaient « stockés sous une forme hachée et salée au moyen de la fonction SHA-1 », cette dernière est « réputée obsolète ».

Le « Guide de sélection d'algorithmes cryptographiques » de l'ANSSI, qui date de mars 2021, la qualifiait en effet de « fonction de hachage proscrite pour une utilisation générale ».

Environ 700 000 utilisateurs disposant d’un compte à date

La délibération de la CNIL indique que la société avait estimé que l’amende de 200 000 euros proposée par le rapporteur équivalant à 1,8 % de son chiffre d’affaires 2020 lui semblait « par conséquent excessive ».

Elle la qualifiait aussi de « disproportionnée par rapport aux manquements allégués », ainsi qu'au fait qu’elle avait mis en œuvre plusieurs mesures correctives suite aux contrôles de la CNIL.

À quoi la formation restreinte lui fit remarquer qu'elle revendiquait elle-même « environ 700 000 utilisateurs disposant d’un compte à la date des contrôles ». Mais également que ces manquements au RGPD sont passibles d’une amende administrative « pouvant s’élever jusqu’à 20 000 000 euros et jusqu’à 4 % du chiffre d’affaires annuel, le montant le plus élevé étant retenu ».

La société a en outre invoqué « la protection des secrets d’affaires dont relèveraient ses obligations contractuelles au titre du contrat conclu avec l’établissement émetteur de monnaie électronique » pour s'opposer à la publicité de la sanction.

La formation restreinte lui a répondu que « les informations relevant des secrets d’affaires sont occultées de ses décisions publiées », et que la décision « n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».

Neosurf ferait aussi l'objet de nombreuses arnaques

La formation restreinte précise par ailleurs que les « mise en conformité » auxquelles la société a depuis procédé, afin de corriger les problèmes identifiés par les contrôles de la CNIL, ne sauraient « exonérer la société de sa responsabilité pour le passé ».

Après en avoir délibéré, elle a finalement décidé de ramener à 105 000 € cumulés le montant des deux amendes administratives infligées à NS Cards France, la maison mère de neosurf.com, dont l'une des deux a été « prise en coopération avec 17 homologues européens de la CNIL dans le cadre du guichet unique ».

Au-delà de cette sanction administrative, on notera qu'un site de la police belge et de nombreux articles de presse déplorent les pièges et arnaques dont les clients de Neosurf font l'objet, et dont ils sont très nombreux à se plaindre sur Trustpilot, Signal Arnaques (qui évoque « des arnaques en pagaille !»), les forums de Que Choisir, 60M de consommateurs et Paypal, notamment.

Bandeau de prévention de Signal Arnaques au sujet de Neosurf Signal Arnaques

Le nombre de litiges est tel que des arnaqueurs vont jusqu'à répondre aux victimes d'arnaques, en commentaires, avoir réussi à se faire rembourser en écrivant à « litigesneosurf @ gmail . com » et autres « assistancesneosurf @ gmail . com ». Sur TrustPilot, le support de Neosurf se retrouve ainsi à devoir alerter ses clients de ne surtout pas contacter ce type d'adresses et de ne passer que par son seul site web officiel.

Interrogé à ce sujet, Nicolas Saubié, le président de Neosurf, expliquait à Ouest France en 2021 avoir « créé une cellule spéciale » et disposer de « plusieurs moyens d’action : transmettre à la police les adresses web frauduleuses, contacter les hébergeurs des sites, et sensibiliser nos clients pour ne pas qu’ils divulguent leur code. »

Il reconnaissait cependant que « c’est un coup d’épée dans l’eau. Les hébergeurs sont dans des paradis fiscaux à l’étranger. Et à peine un site est désactivé qu’un autre se crée. On est toujours en retard. » Si les coupons sont anonymes, ils seraient cela dit « traçables par la police ». Mais « là encore, ça se termine souvent en Afrique, donc on ne peut rien faire », déplorait M. Saubié.

Andrea McGeachin, CEO de la branche internationale de Neosurf (qui revendique 1,3 million d'utilisateurs dans 74 pays), expliquait récemment avoir « amélioré de manière proactive notre produit de longue date – le Neosurf KYC Handshake – en intégrant des capacités de partage de données ». De sorte que « Neosurf garantit le respect total des réglementations anti-blanchiment d'argent tout en donnant la priorité à la confidentialité des joueurs et aux contrôles souhaités ».

Neosurf, très discret sur les arnaques dont ses clients font l'objet

Le site web de Neosurf (dont les « dernières actualités » datent de... 2020) fait comme si ces très nombreuses plaintes n'existaient pas, reste très discret sur ses efforts en matière de KYC, et n'utilise pas explicitement le terme d' « arnaque ».

« Ne communiquez jamais le code PIN de votre Ticket Neosurf par téléphone ou pour payer sur des sites de petites annonces tels que eBay, Leboncoin ou Gumtree », se borne à préciser la rubrique « fraude et sécurité » de sa FAQ de support, qui renvoie vers la liste des sites web acceptant Neosurf.

Son footer évoque cela dit des « CONSEILS » en matière de « Remboursement Neosurf » et d' « Activation Neosurf », qui renvoient vers deux articles de 2022 mentionnant explicitement deux autres risques d' « arnaques » : « Remboursement Neosurf : attention aux arnaques » et « Arnaque à l’Activation Neosurf, ne tombez pas dans ce piège ».

« De nombreux fraudeurs vont demander aux clients Neosurf d’activer leur code avant de pouvoir l’utiliser », précise Neosurf. « Le but de cette demande est simplement de voler l’argent en crédit sur le code ». La société souligne qu' « un code Neosurf n’a pas besoin d’être activé avant utilisation » et que lorsque vous en achetez un, « le code est déjà actif et prêt à être utilisé sans procédure supplémentaire ».

Un second article explique que de nombreux faux sites « usurpent l’identité de Neosurf » afin de proposer de se faire rembourser mais, en réalité, de « voler le code des Tickets Neosurf ». Il précise à ce titre que « la méthode officielle pour se faire rembourser son code Neosurf consiste dans un premier temps à créer un compte Neosurf sur le site https://www.myNeosurf.com ».

Le site web my-neosurf.com (nous mettons volontairement des liens vers des sauvegardes sur archive.org, ndlr), dont le nom de domaine a été déposé en juin 2023 et qui est hébergé à Chypre, clone ainsi le site officiel de remboursement de Neosurf, poussant le vice jusqu'à mettre en avant un article intitulé « Arnaque Neosurf : Comment obtenir un remboursement ? », afin de leurrer les victimes d'arnaques qui, de bonne foi, pourraient dès lors croire qu'il s'agit d'un site officiel de Neosurf.

Capture d'écran d'un site d'arnaque usurpant myneosurf.com

L'article explique (ce qui est vrai) qu'une arnaque serait particulièrement prisée par des fraudeurs sur des sites comme LeBonCoin, et autres sites de petites annonces : « Les escrocs créent généralement des annonces immobilières très attractives, à des tarifs défiant toute concurrence, et demandent aux victimes potentielles de verser une caution ou un mois de loyer via Neosurf pour 'réserver' l'appartement. Une fois le code Neosurf partagé avec l'escroc, celui-ci disparaît, laissant la victime sans argent et sans appartement ».

« Si vous pensez être victime d'arnaque au ticket Neosurf, veuillez immédiatement faire une demande de remboursement », précise le faux site, qui invite les arnaqués à leur transmettre leurs (coor)données, allant jusqu'à réclamer leurs numéros de compte IBAN et Paypal, sans bien évidemment préciser que le site lui-même est une arnaque.

L'article de Neosurf consacré à l'usurpation d’identité précise de son côté qu' « une fois que le compte aura été vérifié par une procédure KYC (il faudra prouver son identité en envoyant des documents d’identification) il sera alors possible de demander un remboursement de tout ou partie du solde d’un Ticket Neosurf ».

A contrario, le faux site my-neosurf.com demande donc les références des comptes IBAN et Paypal avant même avoir d'abord vérifié l'identité de ses utilisateurs... autre signal faible indiquant qu'il s'agit bel et bien d'une arnaque.

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Je ne suis pas fan du fait que 2 sujets très différents soient mélangés dans un seul article sur la même société :
- la sanction de la CNIL
- les arnaques visant les clients de cette société faites par des tiers malveillants.

Je vous suggère de couper l'article en 2 quitte à mettre un lien vers l'autre article dans chacun d'eux.

Édit : Cela dit, les 2 parties sont intéressantes.
votre avatar
J'entends, et la CNIL ne mentionne pas ce problème d'arnaques ; mais je ne pouvais pas ne causer que de la seule amende de la CNIL et faire l'impasse sur les (très) nombreuses arnaques, depuis des années, alors que le principal problème des utilisateurs de Neosurf, ce n'est pas le RGPD, mais ces arnaques...
votre avatar
Je suis du même avis que Fred42. Ou au moins, changer le titre. La moitié de l'article concerne les arnaques, et on s'attend exclusivement de par le titre à un article sur une décision de sanction de la CNIL.

ex: "entre sanction CNIL et cible d'arnaques, Neosurf dans la tourmente"

Et si le principal problème rencontré par les utilisateurs ce sont justement les arnaques, n'aurait-il pas été plus judicieux de faire un article pointant cela, quitte à parler ensuite des amendes CNIL, et non l'inverse ?

Quoi qu'il en soit, cela n'empêche absolument pas l'article d'être très intéressant.
votre avatar
Modifié aujourd'hui à 16h57

alors que j'ai modifié le commentaire hier (12/01/2024) à l'heure indiquée probablement et qu'il est 10h09 le 13/01/2024.

Si quelqu'un de l'équipe passe par là... C'est un bug plus amusant qu'ennuyeux.
votre avatar
" le site recourrait au module Google reCaptcha, là encore sans son accord « préalable »"

Donc du coup pour spammer allègrement il suffit de programmer le bot pour refuser les cookies ?
votre avatar
Pour être précis, la solution de Google reCaptcha nécessite un consentement car les données recueilli par Google servent également d'autres finalités que la simple sécurisation (analyse du trafic par exemple).

Si ie seul traitement de reCaptcha concernait la sécurisation du site, pour éviter les bot, il n'y aurait pas besoin du consentement. Mais c'est loin d'être le seul traitement, et les autres sont des traitements d'analyse de comportement, trafic, etc. D'où l'obligation, du point de vue de la CNIL, de recueillir le consentement avant l'utilisation de cette solution.

C'est donc au responsable de traitement de faire son boulot correctement :
- soit il continue d'utiliser reCaptcha, auquel cas il doit demander le consentement avant
- soit il choisi une autre solution, plus respectueuse de la vie privée.
votre avatar
J'ajoute que la position de la CNIL est assez récente (2020 au sujet de l’application Stop COVID) et que une société qui ne fait pas une veille active sur le sujet de la protection des données personnelles a pu facilement passer à côté de cette décision si son site web a été conçu avant 2020.

Ça semble le cas de cette société qui utilise des solutions qui ne sont plus adaptées à l'état de l'art actuel : mots de passe en clair (ou dans le meilleur des cas hash SHA)1 et reCaptcha.

Le nombre de petites sociétés non conformes doit être énorme.
votre avatar
Ça semble le cas de cette société qui utilise des solutions qui ne sont plus adaptées à l'état de l'art actuel : mots de passe en clair (ou dans le meilleur des cas hash SHA)1 et reCaptcha.
C'est chaud quand même côté mots de passe, bcrypt est recommandé depuis plus de 11 ans. Ca fait sacrément longtemps que la veille n'a pas été faite là...
Le nombre de petites sociétés non conformes doit être énorme.
Oh même les grosses. Un truc qui se fait beaucoup c'est hasher à l'état de l'art les nouveaux mots de passe mais garder les hashes vulnérables des mots de passe pas mis à jour depuis le changement d'algo.
Regarde le cas de EDF, sanctionnée par la CNIL en 2022 : ça stockait des vieux hashes en MD5, et en 2018 ça se "modernise" en utilisant SHA2 qui est pas plus adapté (mais au moins sans faille de sécu) mais il y a du progrés : le retard par rapport à l'état de l'art passe de 20 ans à 10 ans...
votre avatar
Quelles sont les solutions qui proposent la même fonctionnalité que reCaptcha et sont plus respectueuses de la vie privée ?
votre avatar
Exactement, reCAPTCHA est soit illégale soit inutile dès lors que le RGPD s'applique :
- Soit tu recueilles pas le consentement et n'es donc pas conforme au RGPD
- Soit tu conditionnes la présence de reCAPTCHA au consentement préalable de l'utilisateur, et s'il ne consent pas ben pas de captcha pour lui (donc la présence de la captcha est inutile, vu qu'on peut choisir de ne pas "l'activer").
votre avatar
Sur le principe, un système de paiement qui permet d'utiliser des espèces en ligne est intéressant. Dans la réalité, soit les frais sont importants, soit le prestataire manque de sécurités. Dans tous les cas, les espèces exigent un reçu (sauf entre amis) car c'est la seule preuve de la transaction.

D'ailleurs, la plupart de ces « tickets », « portefeuilles numériques » et cartes bancaires prépayées sont domiciliées dans des paradis fiscaux britanniques.

La plateforme Neosurf de paiement en ligne sans carte bancaire écope d’une amende de la CNIL

  • « Aucune purge n’avait été réalisée depuis 2005 »

  • Une charte « incomplète et obsolète », « uniquement en anglais »

  • « Près de 50 000 mots de passe étaient conservés en clair »

  • Environ 700 000 utilisateurs disposant d’un compte à date

  • Neosurf ferait aussi l’objet de nombreuses arnaques

  • Neosurf, très discret sur les arnaques dont ses clients font l’objet

Fermer