La situation sanitaire, mais aussi la mise en place de nouvelles règles de sécurité pour les paiements en ligne, créent un contexte particulièrement favorable à la fraude sur votre compte bancaire. Voici ce qu’il faut savoir sur les risques actuels et la manière de s’en prémunir.

« Soyez vigilant : la période est propice aux tentatives de fraude ». C’est l’avertissement lancé le 7 avril par la banque en ligne Fortuneo, dans un courriel expédié à ses clients. Vous avez probablement reçu, au cours des dernières semaines un message du même acabit de la part de votre banque. Et pour cause : toutes sont actuellement en alerte maximale face aux risques de voir leurs clients tomber dans les pièges des cybercriminels.

Pourquoi la période est-elle propice à la fraude ?

Plusieurs facteurs se cumulent pour rendre la période particulièrement périlleuse. Le premier n’est pas nouveau, il a même un peu plus d’un an : il s’agit de la pandémie de coronavirus. La nécessaire distanciation sociale pour éviter de contracter et propager le virus a en effet une conséquence : elle nous contraint à multiplier les tâches et activités effectuées à distance, depuis notre domicile. C’est vrai pour le travail, mais aussi pour le shopping, les divertissements, etc.

Cette explosion du « distanciel », pour reprendre le néologisme désormais consacré, génère une multiplication des échanges par courriel et SMS : confirmations de commande, authentifications de connexion ou de paiement, notifications de livraison… Un flux qui permet aux messages des cybercriminels de se fondre plus facilement dans le paysage, et donc de toucher leurs cibles. D’où la multiplication de leurs tentatives et l’appel à la vigilance des banques.

Un autre facteur participe à ce contexte particulier : la généralisation de l’authentification forte pour les paiements en ligne. Le 15 mai prochain va s’achever un processus débuté en septembre 2019 : pour rendre plus sûrs les achats sur internet, le recours à un second facteur d’authentification, en plus des identifiants (numéro unique, date de validité, cryptogramme à 3 chiffres) de votre carte bancaire, va être généralisé pour tous les paiements d’un montant supérieur à 30 euros. Ce 2e facteur, de plus, ne pourra plus être un code reçu par SMS, comme c’était le cas jusqu’ici.

Lire sur le sujet : Carte bancaire : ce qui change pour la sécurité de vos paiements

Cette évolution, imposée par une directive européenne, a contraint les banques à s’adapter et à mettre en place de nouveaux dispositifs d’authentification. Ils s’appellent Certicode Plus à La Banque Postale, Sécuripass au Crédit Agricole, Sécur’Pass à la Caisse d’Epargne, à la Banque Populaire et au Crédit Coopératif, Clé Digitale chez BNP Paribas… Lancés pour la plupart depuis plusieurs mois, voire plusieurs années, ces dispositifs n’ont toutefois pas encore été adoptés par tous les clients. Ce qui contraint les banques à accélérer l’enrôlement, à quelques semaines de la date fatidique. Un contexte qui profite aux cybercriminels : au moins deux marques, BNP Paribas et le Crédit Agricole, ont ainsi signalé sur leur site web des tentatives de fraude en lien avec l’enrôlement aux dispositifs d’authentification forte.

Que cherchent les cybercriminels ?

Pour parvenir à leurs fins - vous extorquer de l’argent -, les cybercriminels ont besoin d’usurper votre identité. Ils sont donc en quête de tout ce qui pourra leur permettre de se faire passer pour vous auprès d’un site marchand ou, plus grave, de votre banque. C’est le cas, en particulier :

  • de vos identifiants de connexion ;
  • de vos mots de passe ;
  • de votre numéro de mobile ;
  • du numéro de votre carte bancaire…

De plus en plus souvent, ils ont également besoin de contourner les dispositifs de sécurisation déjà mis en place pour protéger les opérations sensibles : les paiements par carte, donc, mais aussi les ajouts de bénéficiaires de virements, les éditions de RIB, etc. Cet impératif les contraint à sophistiquer leurs modes opératoires, qui deviennent de plus en plus difficiles à détecter.

Quels sont les modes opératoires ?

Ils sont évidemment variés. Pour ce qui est de l’usurpation des moyens de paiement, deux reviennent plus souvent que d’autres. Le premier est bien connu : il s’agit du phishing, ou hameçonnage en français. Il consiste pour un cybercriminel à usurper l’identité de votre banque, dans un courriel ou un SMS, afin de vous convaincre de cliquer sur un lien contenu dans le message. Ce lien vous entraîne évidemment vers un faux site web, copie plus ou moins parfaite de celui de votre banque, où l’on vous invite à divulguer des informations sensibles, qui seront ensuite exploitées à vos dépens.

Avant de pouvoir en tirer parti, le cybercriminel risque toutefois de buter sur les mesures de protection des opérations sensibles mis en place par votre banque. Pour les contourner, il utilise une autre technique appelée spoofing. Il s’agit cette fois d’usurper le numéro de téléphone de votre banque pour vous appeler ou vous envoyer un SMS, en se faisant passer pour un conseiller. Le pirate vous alerte avec un discours anxiogène : il vous explique par exemple que votre compte risque d’être bloqué si vous n’intervenez pas tout de suite. Une manière de vous convaincre de valider une opération à distance ou de lui confier un code reçu par SMS, destiné en réalité à authentifier une opération sensible comme un achat en ligne ou un ajout de bénéficiaire, qui lui permettra ensuite de virer de l’argent depuis votre compte.

Que faire pour éviter de tomber dans le piège ?

Les deux maîtres mots sont vigilance et information. Vigilance d’abord. Voici quelques réflexes à adopter systématiquement :

  • Consultez régulièrement vos comptes à la recherche d’anomalies. Si vous en découvrez, contactez immédiatement votre banque.
  • Choisissez bien vos mots de passe, rendez-les les plus complexes possibles, utilisez un mot de passe différent pour chaque service et ne les communiquez jamais à un tiers, quel qu’il soit, même s’il se présente comme votre conseiller bancaire.
  • Ne vous connectez jamais à partir d’un lien contenu dans un mail ou un SMS. Si votre banque vous le demande, il s’agit probablement d’une tentative de phishing. En cas de doute, vérifiez bien l’adresse de l’expéditeur.

Lire aussi : Compte bancaire : les 5 réflexes sécurité pour éviter le piratage

Information ensuite. Toutes les banques de détail disposent, sur leur site web, d’une page dédiée à la sécurité. Elle est généralement accessible en un clic depuis la page d’accueil. Vous trouverez des conseils de sécurité, des modes d’emploi et parfois des alertes sur les campagnes de fraude en cours. C’est ici que vous trouverez, par exemple, des renseignements sur les nouveaux dispositifs d’authentification forte, leur fonctionnement et la manière de les utiliser. C’est le moment d’y jeter un œil !

A consulter : le comparatif des offres des banques en ligne