« Des accès illégitimes » au fichier national des comptes bancaires ont permis à « un acteur malveillant » de consulter les données de quelque 1,2 million de comptes depuis fin janvier. C'est ce qu'a annoncé mercredi 18 février le ministère de l'Economie.
Depuis fin janvier, l'auteur, « qui avait usurpé les identifiants d'un fonctionnaire disposant d'accès dans le cadre de l'échange d'information entre ministères, a pu consulter une partie de ce fichier qui recense l'ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient des données à caractère personnel », a fait savoir le ministère.
« Dès la détection de cet incident, des mesures immédiates de restriction d'accès ont été mises en œuvre afin de stopper l'attaque » et « des travaux sont en cours pour rétablir le service dans les meilleures conditions de protection », a indiqué le ministère qui a porté plainte et signalé cette affaire à la Commission nationale de l'informatique et des libertés (Cnil).
Quelles données ont été volées ?
Les données qui ont ainsi pu être consultées sont le RIB et l'Iban des comptes, l'identité du titulaire, son adresse et, dans certains cas, l'identifiant fiscal de l'usager, indique le ministère de l'Economie. Selon la Fédération bancaire française (FBF) on y trouve également la date et le lieu de naissance du titulaire.
Les titulaires des 1,2 million de comptes bancaires touchés « recevront dans les prochains jours une information individuelle les alertant qu'un accès à leurs données a pu être constaté », selon Bercy.
Que risquent les concernés ?
La Direction générale des Finances publiques (DGFiP), qui tient le Ficoba a assuré que le fichier « ne permet pas de consulter les soldes des comptes bancaires, a fortiori de faire des opérations ». Si la FBF remarque également que les données parties dans la nature « ne suffisent pas à faire un virement ou un paiement par carte », elle invite néanmoins chacun à « consulter régulièrement son compte pour détecter tout incident ou anomalie », c'est-à-dire au moins une fois par semaine.
Moins rassurante que la DGFiP, elle souligne que ce point « est plus particulièrement important pour les personnes dont les données ont été divulguées ». En effet, explique-t-elle, « à partir d'un IBAN, de faux créanciers peuvent demander l'exécution de prélèvements, à deux conditions ».
« À partir d'un IBAN, de faux créanciers peuvent demander l'exécution de prélèvements »
La première : « être enregistré en tant qu'émetteur de prélèvements auprès d'un prestataire de services de paiement », la seconde, « avoir des mandats de prélèvement » : dans ce cas le fraudeur peut les « falsifier vers des Iban (international bank account numbers) qu'il a obtenus illégalement et ainsi récupérer les fonds ».
Les fraudeurs peuvent également « souscrire des abonnements et des services » grâce à un Iban volé, « bénéficiant ainsi de vrais services payés par la personne dont l'Iban a été volé ».
Cette fuite de données expose également les concernés à des tentatives de phishing ou de fraude aux faux conseillers plus « efficaces » et donc dangereuses, puisque les escrocs disposent potentiellement d'informations poussées.
Quels conseils pour se protéger ?
« Pensez à vérifier régulièrement et à mettre à jour dans votre espace de banque en ligne la liste des créanciers autorisés ou interdits, surveillez attentivement et régulièrement les opérations par prélèvement débité sur votre compte et en cas de fraude contestez sans délai l'opération de prélèvement ».
Il est par exemple possible de bloquer une liste de créanciers à travers une liste noire ou de désigner les créanciers qui sont autorisés à prélever sur votre compte via une liste blanche. Cette option, intéressante pour être sûr de ne pas risquer un prélèvement frauduleux, présente toutefois deux limites.
En cas d'oubli d'un créancier, des frais de rejet de prélèvement peuvent être appliqués ou la coupure du service concerné. Par ailleurs, vérifiez les éventuels frais demandés par votre banque : le service peut être payant, comme le relève ce contributeur du forum de MoneyVox. D'après nos informations, certaines caisses du groupe BPCE et La Banque postale facturent effectivement cette opération.
Le règlement européen SEPA oblige légalement la banque à proposer des outils de filtrage, comme ces listes, mais la loi n'impose pas la gratuité de ce service, ce qui permet aux banques de le faire. Selon nos informations, cette pratique semble toutefois rare.
Prélèvement bancaire : voici la parade redoutable pour être remboursé après un vol d'IBAN
Le remboursement des prélèvements « est sans condition dans un délai de huit semaines, indépendamment de l'existence ou non d'un mandat de prélèvement » précise la FBF qui rappelle que « jamais le banquier ne demandera vos codes, identifiants, mots de passe, que cela soit par téléphone, à distance ou physiquement : il n'en a pas besoin ». De même pour la DGFiP.
En cas de suspicion de fraude, il est par ailleurs conseillé de « conserver toutes les preuves » (messages, adresse du site web, captures d'écran...).
La FBF ajoute que « de nombreuses tentatives d'escroqueries circulent par courriel ou SMS dans le but d'obtenir des informations ou des paiements de la part des usagers. Ces fraudes touchent désormais tous les publics, particuliers et professionnels. Au moindre doute, il est préférable de ne pas répondre directement ».
Selon le dernier rapport annuel de l'Observatoire de la sécurité des moyens de paiement, les fraudes sur les cartes, virements et chèques représentent à peu près 1,2 milliard d'euros par an.
Ficoba piraté : les 3 conseils de la DGFiP face aux fraudes aux comptes bancaires
