L’Association française des usagers des banques (Afub) a diffusé l’extrait d’une décision du tribunal d’instance de Lyon condamnant La Banque Postale. L’établissement doit indemniser une cliente victime d’une fraude liée à un code à usage unique reçu par SMS.

Les faits remontent à avril 2013. Le concubin d’une cliente de La Banque Postale souhaite se connecter à l’espace en ligne de sa compagne. Après avoir entré identifiant et mot de passe, un message apparaît précisant que l'adresse IP — numéro d'identification attribué à un appareil connecté à internet — n’est pas la même que celle que la cliente utilise couramment. L’homme en question ne se connecte en effet pas depuis l’ordinateur habituellement utilisé par sa compagne. Ce message indique que, pour des « contraintes de sécurité », selon le récit du service juridique de l’Afub, il faut saisir le code de sécurité adressé par un SMS sur le mobile de la cliente.

L’homme saisit le code effectivement reçu sur le téléphone de sa compagne. Sans le savoir, cette opération a permis à des fraudeurs de valider la création d’un compte bénéficiaire frauduleux, selon un procédé qui n’est pas clairement expliqué dans le jugement du tribunal de Lyon. Un virement de 2.950 euros, à destination d’un certain D. Silvian, inconnu du couple de victimes, a ainsi été effectué dans la nuit suivante selon le blog SOS Conso du Monde, qui a obtenu des détails supplémentaires suite à la publication de l’Afub.

La sécurité du code à usage unique mise à mal

A l’époque, La Banque Postale a refusé de rembourser sa cliente. Dans sa décision, datée du 28 août 2014, le tribunal explique que la banque « se borne à soutenir que l’opération de paiement a été réalisée et a été enregistrée conformément à la procédure de sécurisation des transactions convenue ». Elle réfute ainsi toute « déficience, faille ou faiblesse techniques » qui auraient « atteint le système d’identification et de sécurisation utilisé par la banque ».

Le tribunal d’instance de Lyon ne voit dans ce cas précis pas de « négligence grave » de la cliente et refuse en conséquence « d’imputer au titulaire une part de responsabilité dans le préjudice subi ». Le tribunal a ainsi donné raison à la cliente, qui réclamait que l’établissement financier « rembourse immédiatement (…) le montant de l’opération non autorisée ». La Banque Postale a donc été condamnée à verser 3.100 euros, soit le remboursement du virement frauduleux de 2.950 euros auxquels s’ajoutent 150 euros de dommages et intérêts.

L’Afub, qui a assisté la plaignante dans sa démarche, profite de cette décision de justice pour mettre à mal le discours des banques selon lequel « la sécurité du protocole 3D Secure [serait] absolue ». Or les banques s’appuient sur ce protocole, basé sur l’envoi d’un code à usage unique par SMS, pour refuser « le plus souvent d’indemniser leurs clients qui sont victimes de fraudes », argumente l’Afub. Reste à voir si cette décision de justice fera jurisprudence, ou si elle sera contestée en appel.