Compte bancaire : votre sécurité menacée dans les semaines à venir

La situation sanitaire, mais aussi la mise en place de nouvelles règles de sécurité pour les paiements en ligne, créent un contexte particulièrement favorable à la fraude sur votre compte bancaire. Voici ce qu’il faut savoir sur les risques actuels et la manière de s’en prémunir.

Vincent MIGNOT • Journaliste-rédacteur

Publié le mardi 20 avril 2021 à 07h00

« Soyez vigilant : la période est propice aux tentatives de fraude ». C’est l’avertissement lancé le 7 avril par la banque en ligne Fortuneo, dans un courriel expédié à ses clients. Vous avez probablement reçu, au cours des dernières semaines un message du même acabit de la part de votre banque. Et pour cause : toutes sont actuellement en alerte maximale face aux risques de voir leurs clients tomber dans les pièges des cybercriminels.

Pourquoi la période est-elle propice à la fraude ?

Plusieurs facteurs se cumulent pour rendre la période particulièrement périlleuse. Le premier n’est pas nouveau, il a même un peu plus d’un an : il s’agit de la pandémie de coronavirus. La nécessaire distanciation sociale pour éviter de contracter et propager le virus a en effet une conséquence : elle nous contraint à multiplier les tâches et activités effectuées à distance, depuis notre domicile. C’est vrai pour le travail, mais aussi pour le shopping, les divertissements, etc.

Cette explosion du « distanciel », pour reprendre le néologisme désormais consacré, génère une multiplication des échanges par courriel et SMS : confirmations de commande, authentifications de connexion ou de paiement, notifications de livraison… Un flux qui permet aux messages des cybercriminels de se fondre plus facilement dans le paysage, et donc de toucher leurs cibles. D’où la multiplication de leurs tentatives et l’appel à la vigilance des banques.

Un autre facteur participe à ce contexte particulier : la généralisation de l’authentification forte pour les paiements en ligne. Le 15 mai prochain va s’achever un processus débuté en septembre 2019 : pour rendre plus sûrs les achats sur internet, le recours à un second facteur d’authentification, en plus des identifiants (numéro unique, date de validité, cryptogramme à 3 chiffres) de votre carte bancaire, va être généralisé pour tous les paiements d’un montant supérieur à 30 euros. Ce 2e facteur, de plus, ne pourra plus être un code reçu par SMS, comme c’était le cas jusqu’ici.

Lire sur le sujet : Carte bancaire : ce qui change pour la sécurité de vos paiements

Cette évolution, imposée par une directive européenne, a contraint les banques à s’adapter et à mettre en place de nouveaux dispositifs d’authentification. Ils s’appellent Certicode Plus à La Banque Postale, Sécuripass au Crédit Agricole, Sécur’Pass à la Caisse d’Epargne, à la Banque Populaire et au Crédit Coopératif, Clé Digitale chez BNP Paribas… Lancés pour la plupart depuis plusieurs mois, voire plusieurs années, ces dispositifs n’ont toutefois pas encore été adoptés par tous les clients. Ce qui contraint les banques à accélérer l’enrôlement, à quelques semaines de la date fatidique. Un contexte qui profite aux cybercriminels : au moins deux marques, BNP Paribas et le Crédit Agricole, ont ainsi signalé sur leur site web des tentatives de fraude en lien avec l’enrôlement aux dispositifs d’authentification forte.

Que cherchent les cybercriminels ?

Pour parvenir à leurs fins - vous extorquer de l’argent -, les cybercriminels ont besoin d’usurper votre identité. Ils sont donc en quête de tout ce qui pourra leur permettre de se faire passer pour vous auprès d’un site marchand ou, plus grave, de votre banque. C’est le cas, en particulier :

de vos identifiants de connexion ;
de vos mots de passe ;
de votre numéro de mobile ;
du numéro de votre carte bancaire…

De plus en plus souvent, ils ont également besoin de contourner les dispositifs de sécurisation déjà mis en place pour protéger les opérations sensibles : les paiements par carte, donc, mais aussi les ajouts de bénéficiaires de virements, les éditions de RIB, etc. Cet impératif les contraint à sophistiquer leurs modes opératoires, qui deviennent de plus en plus difficiles à détecter.

Quels sont les modes opératoires ?

Ils sont évidemment variés. Pour ce qui est de l’usurpation des moyens de paiement, deux reviennent plus souvent que d’autres. Le premier est bien connu : il s’agit du phishing, ou hameçonnage en français. Il consiste pour un cybercriminel à usurper l’identité de votre banque, dans un courriel ou un SMS, afin de vous convaincre de cliquer sur un lien contenu dans le message. Ce lien vous entraîne évidemment vers un faux site web, copie plus ou moins parfaite de celui de votre banque, où l’on vous invite à divulguer des informations sensibles, qui seront ensuite exploitées à vos dépens.

Avant de pouvoir en tirer parti, le cybercriminel risque toutefois de buter sur les mesures de protection des opérations sensibles mis en place par votre banque. Pour les contourner, il utilise une autre technique appelée spoofing. Il s’agit cette fois d’usurper le numéro de téléphone de votre banque pour vous appeler ou vous envoyer un SMS, en se faisant passer pour un conseiller. Le pirate vous alerte avec un discours anxiogène : il vous explique par exemple que votre compte risque d’être bloqué si vous n’intervenez pas tout de suite. Une manière de vous convaincre de valider une opération à distance ou de lui confier un code reçu par SMS, destiné en réalité à authentifier une opération sensible comme un achat en ligne ou un ajout de bénéficiaire, qui lui permettra ensuite de virer de l’argent depuis votre compte.

Que faire pour éviter de tomber dans le piège ?

Les deux maîtres mots sont vigilance et information. Vigilance d’abord. Voici quelques réflexes à adopter systématiquement :

Consultez régulièrement vos comptes à la recherche d’anomalies. Si vous en découvrez, contactez immédiatement votre banque.
Choisissez bien vos mots de passe, rendez-les les plus complexes possibles, utilisez un mot de passe différent pour chaque service et ne les communiquez jamais à un tiers, quel qu’il soit, même s’il se présente comme votre conseiller bancaire.
Ne vous connectez jamais à partir d’un lien contenu dans un mail ou un SMS. Si votre banque vous le demande, il s’agit probablement d’une tentative de phishing. En cas de doute, vérifiez bien l’adresse de l’expéditeur.

Information ensuite. Toutes les banques de détail disposent, sur leur site web, d’une page dédiée à la sécurité. Elle est généralement accessible en un clic depuis la page d’accueil. Vous trouverez des conseils de sécurité, des modes d’emploi et parfois des alertes sur les campagnes de fraude en cours. C’est ici que vous trouverez, par exemple, des renseignements sur les nouveaux dispositifs d’authentification forte, leur fonctionnement et la manière de les utiliser. C’est le moment d’y jeter un œil !

A consulter : le comparatif des offres des banques en ligne

Ces articles pourraient vous intéresser !

Livret d'épargne : « Une pub télé annonce un taux de 5%. Peut-on avoir confiance ? »

Aspa : les nouveaux seuils 2026 pour rembourser à l'Etat le minimum vieillesse en cas de décès

Partager cet article

Commentaires

Publié le 20 avril 2021 à 07h22 - #1Dionysos

Homme
Au bord du fleuve et du vignoble
74 ans

Mais , quand je demande à ma banque(LBP) le meilleur antivirus pour la protection de mes comptes : elle ne répond pas.
Alors, il me reste Moneyvox : quel est le meilleur antivirus pour la protection bancaire?
Merci d'avance M. Mignot.

Publié le 20 avril 2021 à 13h28 - #2pipoux

Homme
France
62 ans

Il n'y a aucun antivirus meilleur que l'utilisateur qui se trouve derrière le clavier (ou la souris).
Sur un poste windows, l'antivirus de base fourni avec Windows 10 est suffisant.
Les règles de base : un mot de passe différent pour chaque site, et on ne clique jamais sur un lien soi-disant envoyé par la banque ou un service de livraison (surtout si on n'a rien commandé)

Publié le 20 avril 2021 à 13h29 - #3Dionysos

Homme
Au bord du fleuve et du vignoble
74 ans

Vu et merci Pipoux.

Publié le 20 avril 2021 à 15h58 - #4Compte anonyme

A toutes fins utiles, j'ai un antivirus Kaspersky gratuit, avec possibilité de protection bancaire, mais c'est payant(78€).

Publié le 22 avril 2021 à 14h40 - #5Le Phénomène

Homme
78
52 ans

Le problème est qu'un antivirus n'agit toujours qu'à postériori.
Il faut au préalable que le virus soit référencé dans les tables des antivirus pour que cela soit efficace. Pour un nouveau virus (et sur ce point ils sont ingénieux), c'est souvent inefficace.
Rien ne vaut la vigilance de l'utilisateur.
Bàv,

Publié le 22 avril 2021 à 15h19 - #6Dionysos

Homme
Au bord du fleuve et du vignoble
74 ans

Vu et merci Le Phénomène

Publié le 23 avril 2021 à 12h30 - #8JessicaB acc JessAVelo

Finistère Nord
58 ans

En effet le meilleur moyen de ne pas se "faire avoir" est d'être logique et ne pas donner un code SMS par téléphone, si la banque ne le connais pas elle-même c'est qu'il y a un couac quelque part...
Ne pas cliquer sur un lien, c'est l'enfance de l'art.
Faut juste réfléchir à mon avis.
Par contre, comment les banques vont faire si elles ne peuvent/doivent plus nous envoyer de code par SMS pour "l'authentification forte" ?
Car de mon coté je n'ai pas de smartphone et ne compte pas m'en acheter un, d'autant qu'Android (IOS aussi) est une vraie passoire question sécurité (autant remplir une bassine avec un chinois....).

Publié le 23 avril 2021 à 14h43 - #9TRISTAN93

Homme
Saint-Denis 93

Bonjour,
Je vois 3 solutions :
1) Ne pas être naïf mais prudent et faire preuve de bon sens .
2 ) Utiliser pour les achats par Internet soit une e-carte bleue si le vendeur l'accepte soit une carte bancaire ( gratuite ) uniquement dédiée à ce genre d'achat .
3) Vérifier régulièrement ses comptes .

Publié le 23 avril 2021 à 19h03 - #10Compte anonyme

D'une façon générale, je pense qu'il est suicidaire de donner son numéro de CB sur un site marchand. Il faut impérativement utiliser un numéro virtuel type e-cb ou carte virtuelle gratuite chez fortuneo par exemple. Il est également suicidaire d'enregistrer son numéro cb dans son smartphone ou dans une application.
D'autre part les systèmes d'exploitations américains tels que windows ou apple sont particulièrements mal conçus et vulnérables aux virus. Comme dit plus haut les logiciels antivirus ne sont qu'une vaste escroquerie, ils ne peuvent effectivement agir qu'à posteriori lorsque un virus a été réferencé et donc a déjà commencé à faire des dégats.
Un bon système d'exploitation n'a pas besoin d'antivirus, par exemple LINUX.
Afin de me protéger, j'applique les regles suivantes.
Mon compte principal (celui ou je perçoit mes salaires) n'est pas équipé de CB afin de limiter les risques, je possède un deuxieme compte dans une banque en ligne que j'alimente par virements et qui me permet de payer avec ma CB, ce compte dispose aussi du système e-cb, pour ceux qui ne connaissent pas, cela permet pour effectuer un achat en ligne de générer un numéro de CB assorti de sa date de validité et de son code à 3 chiffres le tout ne pouvant servir qu'une seule fois et pour un montant maxi que vous definissez.
De plus sachez qu'il est possible de réinitialiser les mots de passe de banque et autres organismes simplement en ayant accès à votre mail, ce dernier doit donc être sécurisé également avec beaucoup de soin.
Perso j'utilise un mail spécifique et confidentiel pour ma banque et les diverses administations publiques de confiance.
Pour tout autre usage, je crée une adresse mail spécifique.

Bons plans du moment

Jusqu'à 180 € offerts

Jusqu'à 250 € offerts et carte Gold gratuite

Compte rémunéré 3% et Visa Premier offerte

Jusqu'à 230 € offerts + 1 mois gratuit sur BforZEN