Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La victime d’un phishing bancaire n’a droit à aucun remboursement en cas de « négligence grave »

La bêche à la ligne

La victime d'un phishing bancaire n'a droit à aucun remboursement en cas de « négligence grave »

Le 12 octobre 2018 à 10h11

La Cour de cassation rappelle dans un arrêt du 3 octobre 2018 que le client d’une banque ne peut prétendre au remboursement d’achats frauduleux effectués sur Internet, consécutifs à un phishing. Encore faut-il que soit démontrée sa « négligence grave ».

La démocratisation de l’accès à Internet a entraîné dans son sillage une démultiplication des arnaques en ligne. L’une d’entre elles, le phishing, est bien connue : un internaute reçoit un courrier venant prétendument de sa banque ou d’une administration quelconque. Il est invité à divulguer ses données bancaires. S’il tombe dans le panneau, les conséquences peuvent alors être très douloureuses financièrement puisque le tiers pourra s’en servir pour commander biens et services.

Heureusement, les victimes ne sont pas démunies, puisque le droit bancaire prévoit des garanties, non sans négliger la part d’obligations pesant sur chaque détenteur de carte de paiement. Dans tous les cas, le remboursement n'est jamais un droit, mais dépend des circonstances. 

Ce scénario s’est justement vérifié à l’occasion d’un arrêt devant la Cour de cassation. Un certain monsieur B., titulaire d’un compte auprès de la Caisse de Crédit Mutuel de Pernes-en-Artois, avait assigné sa banque, ainsi que la société Caisse fédérale du Crédit Mutuel Nord Europe pour obtenir remboursement de plusieurs achats frauduleux effectués par Internet. Des  achats qu’il a toujours contesté avoir autorisés.

Le 18 mai 2017, la juridiction de proximité de Béthune lui avait donné gain de cause en condamnant solidairement les deux établissements. Le jugement avait écarté « toute négligence grave » de la part du client. On apprenait à cette occasion que celui-ci s’était fait piéger par un mail d’hameçonnage (ou « phishing ») pour fournir ses données bancaires à un tiers. Montant de la douloureuse : près de 1 600 euros.

Avant de rendre son jugement, le juge avait considéré que le service informatique du Crédit Mutuel nord Europe « pouvait vérifier l'origine géographique des adresses IP qui ont permis ces paiements frauduleux, ce qui aurait prouvé l'absence de responsabilité des achats frauduleux de Monsieur B. ». Et pour cause, celui-ci se trouvait au même moment en vacances dans les Vosges.

Un jugement retoqué en cassation faute de base légale

Mais la Cour de cassation a jugé l’argumentaire un peu trop léger, en témoigne cet arrêt rendu le 3 octobre, qu’on retrouve sur Doctrine.fr et signalé par le directeur des relations institutionnelles chez Google France, Benoit Tabaka.

La haute juridiction a considéré que le juge aurait dû rechercher « au regard des circonstances de l’espèce » si la communication des données bancaires dans ce courrier « ne résultait pas d’un manquement [du client], par négligence grave, à ses obligations ». Faute d’une telle vérification, le magistrat a privé sa décision de base légale et l’affaire devra être rejugée.

Ce n’est pas la première fois que la Cour de cassation se penche sur la question du phishing, sculptant, décision après décision, les droits et obligations des détenteurs de carte.

L’article L133-16 du Code monétaire et financier oblige en effet l'utilisateur d’un moyen de paiement à prendre « toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées ». L’article L133-19 du même code ajoute que la responsabilité du titulaire de la carte « n'est pas engagée en cas d'opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées » ou « de perte ou de vol d'un instrument de paiement ne pouvant être détecté par le payeur avant le paiement ».

Des indices que les internautes normalement attentifs doivent détecter

Dans un important arrêt du 28 mars 2018, la même juridiction a considéré que « manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l'utilisateur d'un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu'il soit, ou non, avisé des risques d'hameçonnage ».

En clair, un client qui fait face à un courrier imitant une communication de sa banque, mais comportant par exemple des fautes d'orthographe ou utilisant de multiples adresses d’expédition, manquera à ses obligations de sécurité s’il fournit ses données bancaires.

Cela ne signifie donc pas qu’une victime de phishing sera toujours perdante dans son bras de fer avec la banque. Par contre, les juges du fond devront toujours déterminer les circonstances qui ont amené le client à révéler ces précieuses informations.

La charge de la preuve pèse sur la banque

Enfin, dans un arrêt du 18 janvier 2017 , la cour a ajouté qu’il revient à la banque « de rapporter la preuve que l’utilisateur, qui nie avoir autorisé une opération de paiement (…) n’a pas satisfait intentionnellement ou par négligence grave à ses obligations ».

Et de préciser qu’une telle preuve « ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés ».

Les recommandations de l’UFC-Que Choisir

Comment se prémunir de ces arnaques ? De son côté, l’UFC-Que Choisir recommande de « ne jamais répondre à un courrier qui demande de transmettre vos informations personnelles (codes d’accès, coordonnées bancaires…) ».

En cas de doute, mieux vaut alors contacter l’organisme censé vous avoir envoyé la demande. 

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

A BNP tu peut tout faire depuis l’appli mobile




  • y compris communiquer de manière sécurisée avec ton conseiller et configurer un numéro canadien pour valider les transactions par SMS.

votre avatar







pbigen a écrit :



Il n’avait jamais autorisé la double authentification imposée par ce site, labanquepostale refuse de rembourser car les codes envoyés sur son téléphone fixe auraient été utilisés







C’est cohérent ça ?

Certicode est obligatoire depuis quelques années maintenant, donc tu as obligatoirement un code.

Et pourquoi tu recevrais des SMS sur un téléphone fixe ?



Quant à se suicider pour 2500€ il faut vraiment apprendre à relativiser, par comparaison à un accident de voiture où il faut en racheter une autre c’est une somme peut-être importante, mais de là à se brûler la cervelle oO


votre avatar

Mouais… C’est bien plus intrusif. Et je doute que la banque t’appelle à 23h.

votre avatar







Jarodd a écrit :



Boursorama a mis en place un système pas idiot : on définit un avatar dans son espace client, qui sera affiché sur le site à la connexion, et (j’ai pas vérifié) dans les e-mails qu’ils nous envoient. Etant les seuls à le connaître, s’il est absent c’est probablement un phishing hameçonnage.







C’est effectivement une technique d’authentification à plusieurs facteurs que je trouve pas trop mal.

J’avais vu cette méthode sur le portail de gestion de compte pour un VPN d’entreprise pour réinitialiser l’OTP associé. Il demandait d’associer une image et des questions de sécurité en complément de l’identification originale.


votre avatar

Très, très vilaine idée de se baser que sur le fait que c’est un courrier postal avec AR. Le phishing physique ça existe bien.



Dépose une marque en France et tu verras, 3 jours après un courrier pour “protéger” ta marque dans le monde avec un RIB vers un compte dans un pays douteux <img data-src=" />

votre avatar

Tu n’as pas obligatoirement un code, ma tante qui est à la banque postale n’a pas de code car pas de mobile.

Un exemple bien parlant et bien connu est Amazon qui s’en bat les couilles totalement et valide le paiement sans problème juste avec le numéro de CB.



Et la génération d’un code ne protège pas le client, mais le commerçant et la banque pour valider la transaction et éviter de devoir rembourser un client qui laisse balader des photos de sa CB n’importe où.



Donc ayant le cas chez moi, oui c’est totalement cohérent, bien que les banques fassent tout pour que tu l’utilises en essayant un peu de forcing.

votre avatar

Après au Crédit Mutuel, ils sont plus violent.



Tu as pour une paiement CB le classique 3D Secure, avec SMS ou directement depuis l’application.

Et pour ajouter un bénéficiaire, tu as une carte de code PIN à valider.

Et si tu es peur d’être sur un site de phishing, tu as une extension qui te dis si tu es bien sur le bon site ou pas.

votre avatar







pbigen a écrit :



bonjour,

mon père a subi une arnaque à la CB pour ~2550€ via 2 achats en fraude sur CDis..t. Il n’avait jamais autorisé la double authentification imposée par ce site, labanquepostale refuse de rembourser car les codes envoyés sur son téléphone fixe auraient été utilisés. Or, il ne les a jamais reçus et n’avait pas de redirection d’appels. Malgré un dépôt de plainte en gendarmerie et un récépissé envoyé, LBP persiste. En l’absence d’enquête de police/commission rogatoire,  impossible d’avoir la liste des appels entrants pour prouver que ceux de LBP n’y figurent pas; CDis..t refuse d’identifier les fraudeurs. On tourne en rond et mon père s’est suicidé depuis!

Si vous avez vécu une expérience similaire avec des pistes pour la résoudre, je suis preneur d’infos!



CD a raison de refuser de donner les identifications à une autre personne qu’un juge, sinon ca pourrait se retourner contre eux…

Je n’aime déjà pas LBP avant pour diverses raisons, ton histoire m’en donne une de plus pour ne jamais y aller…


votre avatar







tpeg5stan a écrit :



C’est cohérent ça ?

Certicode est obligatoire depuis quelques années maintenant, donc tu as obligatoirement un code.

Et pourquoi tu recevrais des SMS sur un téléphone fixe ?



Il n’a pas dit quand l’histoire s’était passée. Et il existe des téléphones fixes compatibles SMS <img data-src=" />







tpeg5stan a écrit :



Quant à se suicider pour 2500€ il faut vraiment apprendre à relativiser, par comparaison à un accident de voiture où il faut en racheter une autre c’est une somme peut-être importante, mais de là à se brûler la cervelle oO



Il n’a pas dit non plus que la cause du suicide était ces 2500€ <img data-src=" />


votre avatar

Dans ma boite j’ai des clients qui m’appellent tout les jours pour du Phishing et clairement parfois t’as envie de t’arracher les cheveux tellement certains ne réfléchissent pas. J’ai carrément eu droit au « Oui bonjour, je n’ai aucun produit chez vous mais j’ai reçu un mail dans ma boite Spam m’indiquant que mon domaine allait être suppprimé si je ne payais pas 1 euro. J’ai rentré mon numéro de carte bancaire, j’ai reçu le SMS et c’était marqué 250 euros. J’ai pensé à un bug donc j’ai quand même rentré le code. Mais j’ai bien été prélevé de 250 euros. Vous pouvez me rembourser ? J’ai déjà contacté ma banque ils ne veulent pas ». A partir de là tu te dis que tu peux mettre toutes les contremesures que tu veux, si la personne en réfléchit pas deux secondes ….. et ce n’est pas un cas isolé, j’ai ce genre de cas 5 ou 6 fois par semaine facilement …

votre avatar







Aloyse57 a écrit :



Surtout pas !!!

Pour les gens comme moi qui vivent à l’étranger ces banques sont un calvaire : mon cell est au Canada, pas en France, du coup les SMS, je peux toujours courir.

Mais on peut faire comme LaBanquePostale : l’appli sur cell qui est taguée est qui est nécessaire pour valider les transactions web. Mais oui, j’ai triché : au début pour pouvoir créer le compte etc…, j’ai mis un cell FR (ma famille) qui m’envoyait le code de validation au fur et à mesure de la procédure. Ensuite j’ai pu m’en passer. Reste que des fois, quand je paie par VISA, le système requiert un SecureCode envoyé par SMS et là je suis bai5é.







Si tu prends e-carte bleue, le securecode n’est jamais demandé.


votre avatar

moi ma banque m’a carrément appelé le lendemain pour me dire que des tentatives d’achats frauduleux ce sont passé sur ma CB sur Cdiscount , mais rien n’a été prélevé.



et pour tpeg5stan .. quand la personne est dans le rouge et que 2500€ en moins creuse tes interdits bancaires tes crédits etc les gens le vivent pas forcément bien à la “carpediem”

votre avatar

boh , c’est marqué 250€, c’est bien plus que les 3€ / an que je paie “ bof ça doit être un bug d’affichage et c’marqué 2,50€ allons valider ” <img data-src=" />

votre avatar

Quand tu reçois ce genre d’appel, tu fais la même grimace que ton avatar ?

votre avatar







11h10 a écrit :



Si tu prends e-carte bleue, le securecode n’est jamais demandé.







Ca dépend, par moment il m’en envoie un pour accéder au service d’identification.


votre avatar







Bourrique a écrit :



De toute façon, les courriers de ma banque, c’est au bureau de poste que je les ouvre.

Que des A/R paske je suis négatif le 3 du mois. <img data-src=" />



<img data-src=" /><img data-src=" />





votre avatar

M’en fous, j’ai OpenOffice.

<img data-src=" />

votre avatar







Cumbalero a écrit :



M’en fous, j’ai OpenOffice.

<img data-src=" />





<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar

pareil !

s’ils veulent “me dire quoique-ce-soit”, il y-a l’Adresse Postale !

(avec LRAR, ce serait + sûr)<img data-src=" />


votre avatar

En bref, si un jour vous pensez avoir été victime de phishing et que le mal est déjà fait (des transactions illégitimes ont été faites avant la mise en opposition de votre carte), fermez votre gueule et dîtes que votre carte a été piraté vous ne savez trop comment : vous serez remboursés !

votre avatar

effectivement c’est plus sur.

Car pour les fautes d’orthographes, de nos jours les mails de phishing sont de mieux en mieux rédigés et j’ai pas l’impression que le niveau d’orthographe dans notre société progresse.

votre avatar

Si on se basait sur l’orthographe pour détecter les phishings au Québec, il n’y aurait plus un seul email qui passerait <img data-src=" />

votre avatar

j’imagine bien lui renvoyer son mail de phishing avec les fautes soulignées en rouge et une note /20, ça lui fera les pieds <img data-src=" />

votre avatar

Boursorama a mis en place un système pas idiot : on définit un avatar dans son espace client, qui sera affiché sur le site à la connexion, et (j’ai pas vérifié) dans les e-mails qu’ils nous envoient. Etant les seuls à le connaître, s’il est absent c’est probablement un phishing hameçonnage.

votre avatar

y-a autre système ……que je trouve pas-mal :




  1. tu donne ton N° de Portable à la banque

  2. et AV. de valider toutes transaction ….la banque t’appelle : que tu es bien à l’origine ! <img data-src=" />

votre avatar







StephaneGames a écrit :



effectivement c’est plus sur.

Car pour les fautes d’orthographes, de nos jours les mails de phishing sont de mieux en mieux rédigés et j’ai pas l’impression que le niveau d’orthographe dans notre société progresse.







Même sans ça : à mon labo (CNRS) on a 1 pirate de boite mail / semaine en moyenne, simplement parce que des gens donnent leur pass/login en répondant à un mail bidon.



La dernière fois on a pas pu envoyer de mail pendant une semaine (blacklist du serveur de l’institut).


votre avatar

Surtout pas !!!

Pour les gens comme moi qui vivent à l’étranger ces banques sont un calvaire : mon cell est au Canada, pas en France, du coup les SMS, je peux toujours courir.

Mais on peut faire comme LaBanquePostale : l’appli sur cell qui est taguée est qui est nécessaire pour valider les transactions web. Mais oui, j’ai triché : au début pour pouvoir créer le compte etc…, j’ai mis un cell FR (ma famille) qui m’envoyait le code de validation au fur et à mesure de la procédure. Ensuite j’ai pu m’en passer. Reste que des fois, quand je paie par VISA, le système requiert un SecureCode envoyé par SMS et là je suis bai5é.

votre avatar

Il y a une part des employés qui en a rien à battre (en fait qui aime se plaindre que rien ne fonctionne) et prend un malin plaisir à répondre à toutes les demandes les plus bidons en entreprise ; c’est tout juste s’ils ne fourniraient pas le carnet d’adresse eux-même au DarkWeb s’ils savaient comment faire.

votre avatar

bonjour,

mon père a subi une arnaque à la CB pour ~2550€ via 2 achats en fraude sur CDis..t. Il n’avait jamais autorisé la double authentification imposée par ce site, labanquepostale refuse de rembourser car les codes envoyés sur son téléphone fixe auraient été utilisés. Or, il ne les a jamais reçus et n’avait pas de redirection d’appels. Malgré un dépôt de plainte en gendarmerie et un récépissé envoyé, LBP persiste. En l’absence d’enquête de police/commission rogatoire,&nbsp; impossible d’avoir la liste des appels entrants pour prouver que ceux de LBP n’y figurent pas; CDis..t refuse d’identifier les fraudeurs. On tourne en rond et mon père s’est suicidé depuis!

Si vous avez vécu une expérience similaire avec des pistes pour la résoudre, je suis preneur d’infos!

votre avatar

C’est comme pour les cryptolocker, 99,99% du temps c’est un employé qui a ouvert une pièce-jointe d’un mail bidon. Chez un client la dernière fois, on a remonté jusqu’à l’utilisateur qui a ouvert le mail, mail qui ne ressemblait vraiment à rien, même un enfant aurait détecté la supercherie. Réponse de l’employé : c’est de votre faute, vous auriez dû le bloquer, moi si je reçois un mail sur ma boite pro alors je l’ouvre.

votre avatar







Cronycs a écrit :



Réponse de l’employé : c’est de votre faute, vous auriez dû le bloquer, moi si je reçois un mail sur ma boite pro alors je l’ouvre.





On sent bien le mec qui aime sa boite/son boulot/ses collègues <img data-src=" />

Heureusement que même les 2-3 technophobes que j’ai dans mes users sont pas comme ça <img data-src=" />


votre avatar

Et en plus je suppose que tu ne bosses pas dans un environnment bilingue. Ici, on reçoit des emails en FR ou en EN, du Canada ou des US, de gens qui n’écrivent pas habituellement en FR ou EN.

Donc c’est le festival de la faute d’orthographe, des expressions bancales,etc…

C’est très difficile de détecter le vrai du faux, tant le vrai est parfois pire que le faux (l’employé afghan débarqué y’a 3 mois qui écrit un email GoogleTradé en FR <img data-src=" />).

votre avatar

ah bah tiens pas plus tard que ce matin j’ai renvoyé un mail de mise en garde à mes utilisateurs, sur le phishing ^^ (version tl;dr : votre banque et vos assureurs vous connaissent mieux que vous-même)

votre avatar



l’UFC-Que Choisir recommande de « ne jamais répondre à un courrier qui demande de transmettre vos informations personnelles (codes d’accès, coordonnées bancaires…) ».





Je ne réponds jamais à un courrier de ma banque, c’est plus sûr <img data-src=" />

votre avatar

De toute façon, les courriers de ma banque, c’est au bureau de poste que je les ouvre.

Que des A/R paske je suis négatif le 3 du mois. <img data-src=" />

votre avatar

2020 pour la blague <img data-src=" />malheureusement ne serait que répondre prouve que l’adresse de courriel est légitime et donc l’individu malhonnête pourra la revendre plus chère dans la liste des adresses de courriels valide…<img data-src=" />

votre avatar

du coup : adaptation ! Tu réponds en disant être le fils d’un dignitaire d’un pays lointain (au hasard le Nigeria) ayant besoin de transférer une forte somme d’argent en passant par le compte de l’expéditeur moyennant un rondelette commission <img data-src=" />

(avec supplément de fautes d’orthographe pour dater un peu le truc <img data-src=" /> )

votre avatar

<img data-src=" />

<img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

Et on parle de la sécurisation d’accès des banques ? Ma banque, le code super sécurisé pour se connecter sur le site et autoriser des virements (c’est le même), c’est un code de six chiffres. Soit un chance sur 1 million de le trouver au hasard (c’est mieux que le loto).



Et pour aller plus sécurisé, lors de la saisie il faut taper sur 3 de ces 6 chiffres, donc, avec réponse au hasard, une chance sur 1000 de réussir, comme tu as 5 essais, on arrive à 1200 de rentrer. Je me sens vraiment sécurisé.



J’ai demandé si l’on pouvait mettre en place un mot de passe de longueur indéterminé et avec une double authentification mais il parait que ce n’est pas suffisamment sécurisé (sic).

La victime d’un phishing bancaire n’a droit à aucun remboursement en cas de « négligence grave »

  • Un jugement retoqué en cassation faute de base légale

  • Des indices que les internautes normalement attentifs doivent détecter

  • La charge de la preuve pèse sur la banque

  • Les recommandations de l’UFC-Que Choisir

Fermer