Depuis novembre, plusieurs dizaines de clients du LCL ont été piratés. Au total, plus de 360 000 euros auraient été dérobés. Ont-ils été victimes d'un hameçonnage élaboré ou plutôt d'une faille des systèmes informatiques de la banque ?
Le 1er janvier, zeldus poste un appel à l'aide sur le forum MoneyVox. Ses parents, clients chez LCL, viennent de se faire siphonner leur compte bancaire. Montant du préjudice : 3 000 euros. Les pirates sont parvenus à ajouter un nouveau bénéficiaire et à virer l'argent vers un compte étranger. Le tout sans que les titulaires du compte ne soient avertis, car contrairement à la quasi-totalité des banques aujourd'hui, LCL ne réclame pas l'authentification forte pour valider l'ajout d'un bénéficiaire.
Très vite, la famille porte plainte, puis se rend à l'agence LCL la plus proche pour obtenir le remboursement des fonds. Mais là, surprise : leur conseiller les informe que l'opération a été validée au moyen de données de sécurité personnalisées. Or, selon lui, si les pirates détiennent ces données, c'est que les clients ont fait preuve de négligence.
Les jours passent, et la banque ne rembourse pas. « Cela fait 1 mois que le piratage a eu lieu. Malgré la plainte déposée et fournie à la banque, rien n'a bougé et l'argent n'a pas été remboursé », se désole zeldus. « J'ai l'impression que la banque essaie de faire porter la responsabilité aux clients », poursuit l'internaute.
Piratages en série
Nouveau rebondissement le 21 janvier 2022. Clo, un autre client du LCL rejoint la discussion et déclare avoir également été victime d'un piratage. Le mode opératoire est identique : ajout d'un bénéficiaire et virement des fonds vers un compte à l'étranger.
Au fil des semaines, de nouveaux témoignages affluent : Bbaj déclare qu'on lui a dérobé 4 350 euros sur son compte LCL professionnel le 12 janvier. EGO, lui, a perdu 6 000 euros le 23 mars.
Mais lorsqu'ils contactent l'enseigne, tous se heurtent à un mur. « La seule réponse que LCL me répond est, tout simplement, que c'est moi qui ait divulgué les identifiants d'accès en ligne », explique Bbaj. Résultat ? La banque refuse de rembourser l'argent volé.
Pourtant, les victimes soutiennent qu'elles n'ont pas communiqué leurs identifiants. « Je peux vous affirmer que je n'ai jamais divulgué mes codes d'accès à personne. je suis un ingénieur informaticien et j'applique les mesures de sécurité de manière très stricte », écrit par exemple Bbaj.
Piratage de cartes bancaires : attention à cette nouvelle fraude
Plus de 360 000 euros dérobés
Mais alors, comment expliquer ces piratages à la chaîne ? Au total, RTL a recensé au moins 25 victimes entre novembre 2021 et avril 2022, pour un préjudice dont le montant total s'élève à plus de 360 000 euros. Et certains, ont perdu gros. C'est par exemple le cas de Loïc. « Je me suis fait piraté 80 000 euros, la banque ne veut pas me rembourser », explique l'artisan, interrogé par la station.
Ce qui surprend le plus, ce sont les dates, étrangement rapprochées. Et le fait que toutes les victimes soient clientes de la même banque. « Je constate que visiblement il y a eu beaucoup de piratages de comptes bancaires sur LCL entre fin novembre et fin décembre », note Clo sur le forum de MoneyVox.
Ces clients ont-ils tous été victimes d'un phishing, un hameçonnage élaboré, qui aurait permis aux escrocs de leur soutirer leurs identifiants personnels sans qu'ils en aient conscience ? Ou faut-il plutôt chercher le problème du côté des systèmes informatiques de la banque ? Interrogée par la rédaction MoneyVox sur une possible faille de sécurité, LCL n'a pas apporté de réponse à ce jour.
Pour Michel Guillaud, président de France Conso Banque, « la responsabilité du LCL est clairement établie, même si pour l'instant l'enseigne s'évertue à rejeter la faute sur ses clients ». L'association de consommateurs prévoit de réunir les victimes au sein d'un collectif pour assigner LCL en justice. A ce jour, « près d'une centaine » de victimes se seraient déjà manifestées, selon Michel Guillaud.
Fraude à la carte bancaire : la banque doit rembourser son client victime de phishing
Pratiques commerciales trompeuses
L'affaire des piratages du LCL fait écho à un autre procédure en cours. Le 28 mai, l'UFC-Que Choisir a déposé plainte contre 12 banques (parmi lesquelles on retrouve d'ailleurs LCL) pour « pratiques commerciales trompeuses ».
Selon l'association, les banques refuseraient systématiquement de rembourser leurs clients lorsque ceux-ci indiquent avoir été victimes de fraude. Or, pour rappel, l'article L133-18 du code monétaire et financier prévoit que, lorsqu'un client signale à sa banque « une opération de paiement non autorisée », celle-ci doit le rembourser « immédiatement ».
Seule exception : si vous avez fait preuve de « négligence grave », en communiquant par exemple vos identifiants personnels à une personne malveillante, la banque n'est pas responsable. Par conséquent, le premier réflexe des banques consiste souvent à accuser leurs clients de « négligence » pour éviter de les rembourser, dénonce l'UFC-Que Choisir.
Or même si c'était vraiment le cas, la jurisprudence est claire : c'est à la banque qu'il revient de prouver que le client a commis une négligence grave. Si cette dernière n'est pas en mesure d'en apporter la preuve, elle doit rembourser les fonds dérobés, ainsi que les éventuels frais bancaires générés (en cas de découvert non autorisé, par exemple).
Sur le forum MoneyVox, plusieurs clients LCL piratés indiquent d'ailleurs avoir obtenu gain de cause. Mais pour que la banque les rembourse, il leur a souvent fallu multiplier les relances et insister pendant de longues semaines auprès du service des fraudes.
