Piratage de Bouygues Telecom : se faire voler son IBAN, est-ce que c'est si grave ?

Bouygues Telecom vient de subir une cyberattaque qui a entraîné un vol massif de données personnelles, parmi lesquelles des numéros de compte bancaire. Mais est-ce si grave que cela de se faire voler son IBAN ?

6,4 millions : c'est le nombre impressionnant des clients de Bouygues Telecom dont les données personnelles se trouvent désormais entre les mains de cybercriminels, à la suite de la cyberattaque subie par l'opérateur et dévoilée mercredi dernier. Une fuite massive donc, qui concerne notamment les numéros de compte bancaire. Nombre de clients concernés se posent la question : est-ce si grave que cela de se faire voler son IBAN ? Voici ce qu'on peut en dire.

Votre IBAN est-il une donnée personnelle sensible ?

Votre IBAN est bien une donnée personnelle, au sens où l'entend la CNIL (1) : une donnée qui permet d'identifier directement ou indirectement une personne physique. Il n'est pas considéré, pour autant, comme une donnée sensible, comme peuvent l'être, par exemple, des données liées à la santé. Cela n'empêche qu'il mérite d'être protégé, car il vous expose à des risques en cas de fuite.

Quels sont les risques à se faire voler son IBAN ?

En cas de vol de votre IBAN seul, le risque est relativement limité. Un malfaiteur peut effectivement l'utiliser pour tenter de prélever votre compte. Mais il doit pour cela créer un faux mandat de prélèvement, ce qui nécessite d'être enregistré auprès d'une banque en tant qu'émetteur de prélèvements. Il existe par ailleurs des garde-fous. Les banques vous avertissent généralement lorsque qu'un nouveau prélèvement se présente sur votre compte, ce qui vous laisse le temps de vous y opposer. Même si l'argent est prélevé, vous pouvez en demander le remboursement, et ce, dans un délai de 18 mois.

Comment bloquer un prélèvement suite au vol d'IBAN chez Bouygues Telecom ?

Cela explique que le prélèvement n'est pas, loin de là, le moyen de paiement le plus utilisé pour effectuer des débits frauduleux sur les comptes bancaires. Au 1er semestre 2024, il représentait 3% des cas de fraude, loin derrière les paiements par carte bancaire (92%), et affichait un taux de fraude (2) très bas (0,002%, contre 0,054% pour la carte et 0,072% pour le chèque). En clair, le prélèvement est, en volume, 36 fois moins fraudé que le chèque.

Le principal risque est ailleurs. Croisé avec d'autres données personnelles (votre nom, votre adresse, votre numéro de téléphone, le nom de votre banque, etc.), l'IBAN volé peut servir à crédibiliser des tentatives de fraude par manipulation. Il peut permettre, par exemple, à un malfaiteur, de se faire passer pour votre conseiller bancaire. Un type d'arnaque relativement courant et, surtout, extrêmement préjudiciable pour les victimes.

Trois questions pour comprendre l'arnaque au faux conseiller

Un vol d'IBAN est donc d'autant plus grave que d'autres données personnelles ont été volées simultanément. Ce qui est précisément le cas avec le piratage subi par Bouygues Telecom. Si vous êtes concernés, soyez très vigilants, comme le recommande l'opérateur dans sa communication de crise : « Cette situation pourrait vous exposer à des tentatives de fraude : e-mail ou appels frauduleux. (...) Nous vous recommandons de vous montrer particulièrement vigilant. Ne transmettez jamais vos identifiants et mots de passe. Faites particulièrement attention aux appels émanant de faux conseillers bancaires qui tenteraient de vous mettre en confiance en citant votre nom ou votre numéro de compte. En cas de doute, mettez fin à l'appel et rappelez votre établissement ou conseiller bancaire à son numéro habituel. »

Faut-il refuser de partager son RIB ?

Il existe un document qui croise également plusieurs données personnelles : le relevé d'identité bancaire, ou RIB. Y figure votre état-civil, votre adresse, le nom et l'adresse de votre banque et, bien sûr, votre IBAN.

Il s'agit pourtant d'un document que vous avez tendance à partager facilement. Il vous est souvent demandé par des fournisseurs de services pour mettre en place un prélèvement. Mais aussi par des tiers qui souhaitent vous faire un virement.

Quelques conseils :

ne partagez ce RIB qu'avec des tiers en qui vous avez confiance ;
partagez, dans la mesure du possible, uniquement votre IBAN, et pas le RIB en entier ;
pour vous faire rembourser, pensez aux alternatives qui vous dispensent de fournir votre numéro de compte, comme Wero ou Lydia.

(1) Commission nationale de l'informatique et des libertés. (2) Le taux de fraude est le rapport entre le montant fraudé et le montant total payé avec un moyen de paiement.