Sommaire : |
1 - Préambule |
Il y a toujours eu des voleurs, des pickpockets, des fraudeurs qui se glissaient derrière vous sur le marché pour vous subtiliser votre porte-monnaie ou des camelots pour vous vendre au prix fort un objet « de rêve » qui se révèle finalement être de la pacotille. Avec l’augmentation des ventes sur Internet il n’est pas surprenant que les tire-laine du passé se soient reconvertis dans l’informatique ! (avec 200 millions de transactions, soit + 20 %, le chiffre d’affaires de la vente à distance était de 55,5 milliards d’Euros en 2015. Le e-commerce poursuit sa croissance en France. Les ventes du secteur ont atteint 72 milliards d'euros en 2016 et devraient s'élever à 80 milliards en 2017 (voir graphique ci-dessous) : |
2 - Quels sont les pièges les plus courants ? |
Voici un récapitulatif des différents types d’arnaques : Qu'est-ce qu'une escroquerie sur Internet ? Les escroqueries sur Internet englobent diverses pratiques frauduleuses, employées par des cybercriminels sur le Web. Les fraudes peuvent se présenter d'une multitude de manières différentes, par des messages de phishing, sur les réseaux sociaux, par SMS sur un téléphone portable, via de faux appels du support technique et par le biais de scarewares, entre autres. Le but de ces arnaques peut être de voler des informations bancaires, d'enregistrer des identifiants utilisateurs et des mots de passe, voire d'usurper des identités. Types de fraude les plus fréquents Phishing La fraude en ligne la plus fréquente aujourd'hui est le phishing. Les voleurs s'attaquent à des utilisateurs qui ne se doutent de rien en leur envoyant des messages électroniques de phishing. Via ces messages, un cybercriminel tente de vous faire croire que vous vous connectez à un site web de confiance que vous avez l'habitude d'utiliser. Il peut s'agir d'une banque, d'un compte de réseau social, d'un site web d'achats en ligne, d'entreprises de livraison et de marques de stockage en cloud, par exemple. La fraude 419, aussi appelée arnaque nigériane, est également très connue. Ces messages électroniques vous demandent d'envoyer de grosses sommes d'argent dans le pays, de toucher de faux mandats ou de transférer de l'argent au voleur. Le fraudeur commence par vous demander le paiement d'une petite somme car une somme plus importante est retenue. Vous pouvez être invité à payer des frais de virement électronique, des frais de traitement ou d'autres sommes complètement imaginaires. Faux antivirus Les scarewares, faux logiciels de sécurité, sont des arnaques qui touchent de plus près à notre domaine. Elles se manifestent par l'affichage de fenêtres contextuelles vous avertissant que vous êtes infecté par un virus. La fenêtre amène l'utilisateur à penser que, s'il clique sur le lien, l'infection sera supprimée. Les cybercriminels utilisent la promesse d'un « antivirus gratuit » pour implanter un malware sur l'appareil de la victime. Fraudes sur réseaux sociaux Ce type d'arnaque prend la forme de publications qui défilent dans votre fil d'actualité, dans le but de vous faire cliquer sur un lien hébergeant peut-être un malware. Fraudes mobiles Les fraudes mobiles peuvent être très variées. Le plus souvent, il s'agit d'applications de phishing. Celles-ci sont conçues pour ressembler à des produits légitimes, tout comme un message électronique de phishing. Le principe est exactement le même, mis à part qu'au lieu d'être envoyé par message électronique, le malware est transmis par une application trompeuse. Fraudes par ingénierie sociale L'ingénierie sociale est une technique par laquelle les cybercriminels exploitent les rapports humains pour inciter un internaute à divulguer des informations sensibles. Comme cette stratégie se fonde sur la nature humaine et les réactions émotionnelles, les attaquants disposent de nombreux moyens pour vous piéger, en ligne ou hors ligne. Les sites marchands qui vous piègent : Certains sites marchands (le plus souvent, le siège social est à l’étranger, Malte est un pays qui en abrite beaucoup) vous font remplir un questionnaire, mais même si vous n’allez pas jusqu’au bout de la transaction, vos données bancaires sont mémorisées et vous recevez des mails de relance vous intimant l’ordre de payer une certaine somme sous peine de pénalités … Les sites marchands qui se font piéger : En décembre 2017, plusieurs centaines de clients de Cdiscount ont été victimes d’une arnaque en ligne. Des escrocs ont réussi à usurper le compte de 491 clients et à commander pour 300 000 euros de marchandises. L’arnaque se serait étalée sur une année. Cdiscount a déclaré être lui aussi été victime de ces escrocs (on peut supposer qu’ils ont utilisé une faiblesse dans le système informatique de gestion de leur base de données clients). Un cas particulier : retrait frauduleux dans un Distributeur Automatique de Billets (DAB). Qu’est-ce qu’un retrait frauduleux ?Un retrait frauduleux en espèces est un acte malveillant qui peut se produire de deux manières différentes :
Dans les deux cas, vous remarquez un retrait inhabituel, sans vol de vos moyens de paiement dont vous êtes toujours en possession. Ça signifie que vous êtes victime d’un piratage et d’un retrait frauduleux. Il peut s’agir :
La réaction à adopter est différente selon le cas de figure, puisqu’une usurpation d’identité ne constitue pas une opération non autorisée dans le cadre de l’utilisation frauduleuse de votre carte bancaire. Quelles sont les causes des retraits frauduleux aux DAB ?Si vous êtes toujours en possession de votre carte bancaire et que vous constatez un retrait frauduleux, il peut s’agir de deux situations :
Les escrocs utilisent un « skimmer » pour piéger le dispositif de lecture de carte, un appareil qui copie les données contenues sur les cartes insérées dans un DAB ou un terminal de paiement, avec parfois des caméras pour filmer la saisie du code. Les données sont ensuite revendues puis copiées sur des cartes vierges qui sont utilisées en dehors de l’Europe, dans les pays qui n’utilisent pas l’authentification par puce, ou pour faire des achats en ligne. Si le code secret a été filmé, la carte peut être utilisée en France et en Europe. Il existe d’autres techniques, qui visent à récupérer les données d’un terminal de paiement électronique (TPE) à distance grâce à la technologie Bluetooth. Dans tous les cas, le principe est le même : vous ne vous en apercevez pas quand vous en êtes victime. Cas de retrait frauduleux sans vol de carte bancaireQuand vous constatez un retrait indélicat, vous devez agir en trois temps :
L’article L133-18 du Code monétaire et financier impose à votre banque de vous rembourser s’il s’agit d’une opération non autorisée qui n’est pas liée à une négligence de votre part. |
3 - Que faire pour ne pas se faire piéger : vigilance et prévention ! |
Le Centre européen des consommateurs (CEC), une association franco-allemande qui gère les réclamations des Français concernant des sites internet basés en dehors du pays, a établi une liste des sites qui posent le plus problème.
L’exemple du site «telecharger-français.com» : Comme son nom ne l’indique pas, telecharger-francais.com est une société enregistrée à Chypre avec un compte bancaire maltais. Le site laisse penser qu’il va donner accès à certains fichiers, films ou jeux, mais l’internaute doit d’abord renseigner un formulaire. Ce n’est qu’à la fin qu’il souscrit en réalité à un abonnement payant, d'un montant de 99 euros. Même s’il abandonne et ferme la page, les renseignements sont enregistrés. S’en suivent des mails indiquant la confirmation d’inscription, puis des relances pour les 99 euros, majorés de 12 euros de frais de retard à chaque mail de rappel. Conseils pour déjouer les pièges :
Que faire si vous avez déjà payé ?
Réalisée chaque année depuis 2010, l’étude « Cadre de vie et sécurité » de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) met en perspective l’évolution alarmante des victimes d’escroquerie bancaire. Le taux des ménages victimes aurait plus que doublé en l’espace de 7 ans. En effet, 500 000 ménages déclaraient avoir subi au moins une escroquerie sur leur compte bancaire en 2010. En 2017, l’étude relève 1 210 000 ménages victimes ! Des préjudices souvent inférieurs à 300 € En 2016, 64 % des ménages victimes d’escroquerie bancaire ont déclaré un préjudice d’un montant inférieur à 300 €. Ce taux s’accroît légèrement car il était de 63 % en 2015 et de 61 % en 2014. Les ménages victimes d’une escroquerie supérieure à 1 000 € représentent, quant à eux, 13 % des victimes déclarées. Les victimes sont rarement alertées par leur banque ! Le relevé bancaire semble être la principale source d’information des victimes. En 2016, un peu plus de 834 000 ménages victimes de retraits frauduleux ont découvert le pot aux roses par ce biais. La part des ménages ayant été alertés du préjudice par leur établissement bancaire diminue au fil du temps : 29 % des ménages victimes en 2014 déclaraient avoir été prévenus par leur banque contre 28 % en 2015 et 22 % en 2016. Dans la majorité des cas, les personnes ayant subi le préjudice ignorent comment le fraudeur a procédé pour obtenir leurs coordonnées bancaires (64 %). Des fraudes majoritairement sur des achats en ligne Pour 68 % des ménages victimes en 2016, le débit frauduleux a servi à réaliser des achats. Et pour 58 % d’entre eux, il s’agit d’achats en ligne. Ce taux était de 51 % en 2014 et de 55 % en 2015. À noter que la part des achats effectués sur un site étranger augmente, passant de 16 % en 2014 à 21 % en 2015 pour atteindre 24 % en 2016. En revanche, les escroqueries effectuées à partir d’un distributeur piraté sont, en proportion, de moins en moins nombreuses : 13 % en 2014, un peu moins de 9 % en 2015, elles ne sont plus que 7 % en 2016. |
4 - Nos 7 conseils pour éviter le piratage : |
La meilleure protection contre les fraudes bancaires consiste à… ne jamais vous faire pirater vos données personnelles. Pour cela, adoptez les bons réflexes !
1. Mettez vos coordonnées à jour Si vous changez de numéro de portable, déménagez ou utilisez une autre adresse e-mail, demandez à votre conseiller bancaire de mettre vos coordonnées à jour. En cas de suspicion de fraude, il pourra ainsi vous joindre pour vérification. « Mon compte courant a été piraté durant mes vacances, mon dossier ne contenait que mon numéro de fixe. Constatant une demande de virement qui ne correspondait pas à mes habitudes, ma conseillère a tenté de me joindre à mon domicile et faute de réponse a donné le feu vert au débit frauduleux, j’ai dû attendre trois semaines pour me faire rembourser », tempête Jean P., retraité de 77 ans. Si vous partez en vacances, emportez avec vous les numéros de téléphone vous permettant de faire opposition, la ligne directe de votre conseiller et son e-mail pour le prévenir rapidement en cas de souci. 2. Protégez votre ordinateur Protégez l’accès à l’ordinateur auquel vous vous connectez pour consulter vos comptes en ligne. Installez un mot de passe pour y accéder, cela n’empêchera pas un pirate d’y accéder, mais cela lui compliquera la tâche. Si vous utilisez également une tablette et un téléphone mobile, multipliez les mots de passe. Et ne les notez pas sur un post-it collé à l’écran, au dos de l’ordinateur ou dans le premier tiroir de votre bureau... Ensuite, installez un antivirus et téléchargez régulièrement ses mises à jour « officielles », provenant du site de l’éditeur du logiciel. Certains pirates rusés lancent en effet des « offres promotionnelles » pour des antivirus infectés. Acceptez également toutes les mises à jour des programmes installés sur votre ordinateur, elles réparent des vulnérabilités détectées par les éditeurs. Enfin, exécutez régulièrement le scan (ou analyse régulière) de votre ordinateur en lançant votre antivirus. Cela lui permet de vous signaler un fichier infecté et d’éviter la propagation du virus. 3. Protégez votre connexion Internet Il faut aussi protéger votre connexion Wi-Fi, sur votre Box, avec un mot de passe complexe. Si vous utilisez du Wi-Fi en libre accès pour vous connecter sur des sites sensibles, cela revient à blinder votre porte et laisser toutes vos fenêtres ouvertes. Si vous recevez régulièrement des personnes chez vous, pensez à modifier le code de votre Wi-Fi après leur passage. Évitez d’utiliser un accès Wi-Fi ouvert à tous (aéroport, gare) ou un ordinateur en libre accès (bibliothèque…) pour vous connecter sur les services en ligne de votre banque : si des pirates se trouvent à proximité, ils n’auront aucun mal à récupérer vos données personnelles. 4. Gérez votre session Prenez l’habitude de vous déconnecter systématiquement à la fin de vos opérations, que ce soit sur ordinateur ou via un téléphone portable. Il est dangereux de laisser une session ouverte trop longtemps, car un escroc peut profiter de ce laps de temps pour entrer sur votre compte. De la même façon, n’enregistrez pas votre identifiant sur les sites et refusez cette option, en général proposée en début de connexion. Si un voleur prend la main sur votre ordinateur, il accédera bien plus facilement à vos comptes. Même réflexe à prendre sur les sites de e-commerce : refusez d’enregistrer les coordonnées bancaires de votre carte (l’option est proposée pour vous éviter de les retaper à chaque achat). Sinon, en cas de piratage du serveur de l’entreprise, les voleurs auront accès à votre numéro de carte. 5. Multipliez les adresses e-mail Ouvrez plusieurs adresses Internet à votre nom, ce procédé est gratuit. Servez-vous d’une adresse spécifique et sécurisée pour vos transactions importantes. Ne la communiquez qu’à des tiers de confiance : banque, service des impôts… et ne l’inscrivez sur aucun document susceptible d’être piraté. Ouvrez une deuxième adresse pour vos communications courantes. Enfin, un troisième e-mail sera lié à un compte « poubelle », vous l’utiliserez pour recevoir vos newsletters et offres promotionnelles et réaliser vos achats sur Internet… Comme cette adresse circulera sur le Net, elle a plus de chances d’être piratée. Mais les escrocs ne pourront rien en faire, puisqu’elle ne sera reliée à aucune donnée sensible. Bien entendu, chacune de vos adresses doit avoir un mot de passe différent. 6. Soyez méfiant, évitez d’être imprudent ou négligent ! Les pirates utilisent souvent des informations trouvées sur les réseaux sociaux pour vous piéger. Si, par exemple, un membre de votre famille est parti en vacances dans les Caraïbes, il postera sur Internet des photos de lui devant une eau turquoise. Peu de temps après, vous recevrez un e-mail angoissé de sa part vous demandant de lui virer des fonds parce qu’il s’est fait voler son portefeuille. Alerte ! Prenez le temps de vérifier que c’est bien le cas et non que son carnet d’adresses a été piraté à son insu. N’ouvrez jamais des documents en pièces jointes si vous ne connaissez pas l’expéditeur. Et faites preuve de méfiance si l’e-mail provient d’un membre de votre famille, des impôts ou d’un commerçant. Les pièces jointes peuvent transporter des virus, de type « cheval de Troie ». De manière générale, n’ouvrez pas de fichier en .exe, .pi, .scr, .hta, .cpl, .cmd, .bat… Si vous avez un doute sur un e-mail, supprimez-le et videz votre poubelle, sinon le fichier restera sur votre ordinateur. 7. Sécurisez votre téléphone Si vous utilisez un smartphone avec un accès Internet et consultez vos comptes dessus, mêmes conseils. Protégez son accès par un code secret. En cas de vol ou de perte, l’escroc aura du mal à accéder à votre application bancaire et à vos données personnelles. Dès que vous constatez le vol ou la perte de votre portable, changez les mots de passe de vos boîtes mails si elles sont synchronisées sur votre mobile. Modifiez également le mot de passe d’accès à votre site bancaire. Enfin, prévenez votre opérateur pour qu’il déconnecte votre carte Sim et empêche le voleur de recevoir des codes de confirmation d’achat par SMS. Si vous utilisez la fonction Bluetooth ou Wi-Fi chez un ami ou dans un lieu public, désactivez-la après utilisation pour éviter les intrusions à distance dans votre appareil. Enfin, sachez que les derniers systèmes d’exploitation intègrent une fonction « effacer les données du téléphone à distance ». |
5 - Vos droits |
Paiement sur Internet, vol à la tire ou simple imprudence, falsification… Personne n’est à l’abri d’une fraude sur ses moyens de paiement. Ainsi, selon l’Observatoire de la sécurité des cartes de paiement, le taux de fraude pour les cartes bancaires s’élèvent à 0,06 % des transactions pour l’année 2016.
A NOTER : Les solutions contractuelles proposées par les banques :
La souscription d’une assurance moyen de paiement a pour objet de rembourser les souscripteurs en cas de vol ou utilisation frauduleuse des cartes ou chèques. Comme mentionné ci-dessus, ce service peut être considéré comme faisant doublon avec les dispositions légales en vigueur. Certaines banques proposent ainsi en plus, mais sous condition, le remboursement de la franchise de 150 euros. Par ailleurs, les assurances proposées limitent généralement contractuellement le montant remboursé par sinistre et par année. Pour convaincre les clients de l’utilité de ces contrats, ils comprennent souvent des garanties supplémentaires en cas de perte ou vol : des papiers officiels (carte d’identité, passeport, permis de conduire), des espèces retirées dans les 48 h précédant leur vol ou leur perte. Ils incluent également un service d’assistance en cas de perte des clés, voire une assistance juridique. Les tarifs sont variables selon les établissements, de l’ordre d’une vingtaine d’euros par an en moyenne. L’association de consommateurs UFC-Que Choisir dénonce l’assurance des moyens de paiements qu’elle juge inutile et coûteuse. Elle demande ainsi au législateur plus de transparence sur les garanties et les exclusions à la lecture des documents commerciaux ainsi que la mise en place d’un droit de rétractation et la possibilité de pouvoir résilier le contrat à tout moment, après un an d’ancienneté.
Fraude à la carte bancaire : La demande de remboursement du montant débité doit être adressée à votre banque. Si vous avez signalé la fraude aux forces de l'ordre au moyen du service en ligne, il convient de lui transmettre le récépissé. La banque est tenue de vous rembourser intégralement des sommes débitées ainsi que les agios éventuels qui en seraient la conséquence. À noter : cette obligation de remboursement pèse sur la banque, que l'utilisateur de la carte bancaire ait ou non contracté des garanties d'assurance spécifiques Fraude à la carte bancaire en cas de vol ou de perte : une franchise revue à la baisse Depuis le 13 janvier 2018, le titulaire d'une carte bancaire perdue ou volée, victime d'une fraude, doit payer une franchise de 50 € pour les opérations effectuées avant opposition (au delà de 50 €) et pour lesquelles le code confidentiel de la carte a été utilisé. La franchise qui était auparavant de 150 € diminue donc de 100 €. C'est ce que prévoit l'article 2 de l'ordonnance du 9 août 2017 relative aux services de paiement. La procédure de "chargeback" (Mise à jour : Mai 2018) Si suite à une commande en ligne payée par carte bancaire, vous n'avez jamais été livré et ce malgré vos relances, vous pouvez demander le remboursement des sommes versées via la procédure de chargeback. La procédure dite de "chargeback" permet à un consommateur de revenir sur son ordre de paiement et d'être remboursé directement par l'émetteur de la carte bancaire ou de la banque lorsqu'un professionnel ne respecte pas les droits du consommateur. Par exemple en cas de :
|
6 – Vos droits et leurs limites : |
Le remboursement n’est pas automatique : Pour la deuxième fois en quelques mois, la Cour de cassation a donné raison à une banque qui plaidait la négligence d'un client victime d'hameçonnage pour ne pas le rembourser. Une décision qui invite à redoubler de vigilance face aux courriers électroniques malveillants Cette décision rappelle que l'acquittement des personnes victimes d'actes bancaires illicites à la suite d'une opération de phishing n'est pas automatique. Si la banque parvient à prouver la négligence du client, elle n'est pas tenue de le rembourser. |
7 – Conclusion : |
« Avec Internet, c’est facile, on a tout à portée de la main, en deux clics on gère tous ses achats, sa banque, on suit ses consommations téléphoniques, gaz, électricité… »
Tout ceci est vrai, c’est extrêmement pratique de tout gérer depuis chez soi au moment où on en a envie, quand on a le temps, de ne pas être astreint à des heures d’ouvertures de magasins, à la disponibilité d’un vendeur ou aux heures d’ouvertures d’un guichet administratif. Mais derrière cette facilité apparente, Internet reste une « place de marché » où circulent de très nombreuses personnes dont certaines ont des intentions néfastes. De la même manière qu’on ne laisse pas sans surveillance son portefeuille, son sac à main, ses clés... dans un restaurant, sur une place, dans n’importe quel endroit public, de la même manière qu’on ferme sa porte en quittant la maison ou qu’on verrouille sa voiture sur un parking… on doit agir avec la même prudence, la même circonspection quand on « circule » sur internet : on crée des « clés » différentes (des mots de passe) pour les différents sites sur lesquels on navigue, on n’ouvre pas les courriers suspects sans vérification préalable. Et comme pour sa voiture, sur laquelle on fait les révisions périodiques recommandées et on vérifie les éléments de sécurité sur son ordinateur et sa messagerie, on s’assure que l’antivirus est à jour et que le pare-feu est actif. |