Phishing carte bleu, site crédit agricole non sécurisé

Sujet initié par nyck, il y a 2 ans - 1819 vues

Bonjour,
Je vous consultes pour ma mère qui a été victime d'un phishing qui a permis une fraude à la carte bancaire.
le 11/04, un appel téléphonique insistant, ma mère finit par décroché et une personne se pressentant comme faisant parti du « service des fraudes du Crédit Agricole » les informes que leur comptes a été piraté. Elle raccroche car elle pense à une arnaque. Puis se connecte à son compte CA et constate 2 débits sur sont compte courant. Affolée, elle rappelle le numéro car elle pense à ce moment là que c’était vraiment le service des Fraudes…
Elles passent un long moments au téléphone avec la personne qui lui faire des manips ... et finit par autoriser, sans le savoir, 2 paiements par CB (total 4800€) sur un site etrangé de Cryptomoney !
Elle a mordu l’hameçon.
Elle a porté plainte et demander un remboursement à sa banque, délais de réponse annoncé : 10 jours.
Au bout de 12 jours, sa banque CA lui a demandé de remplir deux questionnaires concernant les 2 fraudes de paiements, délais annoncés 1 mois, il sont très chargés en ce moment au service des fraudes...
Puis la réponse arrive:
« Madame, Monsieur,
 
Je fais suite à vos dossiers de litige cité en référence dans lesquels vous nous informez être victime d’une fraude sur vos comptes bancaires. Ces actes malveillants concernent des paiements effectués par carte bancaire auprès de BINANCE pour les sommes totales de 2000€ et 2800€ dont vous souhaitez obtenir le remboursement.
 
Je comprends votre démarche et je partage votre désarroi face à l’ingéniosité et la persévérance des fraudeurs. 
Après analyse de votre demande, je ne suis malheureusement pas en mesure de réserver une suite favorable à votre demande de remboursement. Ces paiements restent à votre charge car ils ont été réalisés et validés avec le protocole SécuriPass permettant la validation sécurisée des paiements en ligne, conformément à la directive européenne DSP2.
 
Dans la plupart des cas, la fraude est la conséquence d’un hameçonnage (mail imitant nos communications avec un lien à suivre vers une page présentant de nombreuses similarités avec notre site internet ou un mail avec un formulaire vous annonçant un remboursement ou un gain, d’une pièce jointe comportant un malware, ou encore de Spoofing : Les escrocs vous appellent sur votre téléphone portable en se faisant passer pour votre banque  etc.). Grâce aux informations ainsi collectées, le fraudeur a eu connaissance de toutes les données nécessaires à l’accès à vos comptes.  Il a ainsi pu effectuer la mise en place du SécuriPass et du SécuriCode alors que vous pensiez le faire de votre côté. La réponse à ce type de sollicitation explique souvent l’entrée des fraudeurs dans le processus de sécurisation.
 
Afin d’éviter de telles fraudes à l’avenir, nous vous conseillons de veiller à l’ensemble de vos données bancaires et codes de sécurité afin de vous protéger d’opérations frauduleuses. Par ailleurs, il est important de ne pas communiquer par mail ou téléphone vos données bancaires, les organismes publics ou privés ne sollicitant jamais ce type de renseignements. De même, il ne faut jamais ouvrir un lien ou une pièce jointe sur un mail ou sms dont vous n’avez pas contrôlé l’exactitude de l’adresse mail complète ou du numéro de l’expéditeur.  Vous disposerez de nombreux conseils sur la page SECURITE de notre site internet, notamment un dossier COMPRENDRE ET COMBATTRE LE PHISHING. Une vigilance permanente de chacun est nécessaire.
 
Pour toute information complémentaire, nous restons à votre disposition à cette adresse mail.
 
Cordialement, »

Problème :
J’ai fait un test de connexion sur son compte CA avec mon téléphone en 4G et ses identifiants: connexion réussie du 1er coup !
Essai inverse sur mon compte CIC avec son PC, mon téléphone me demande de confirmer la connexion par un 2cd code lié à mes identifiants : connexion impossible sans cet autre appareil et cet autre code !

Le CA applique la DSP2 seulement au niveau des paiements internet (obligation légale, application au 14 septembre 2019) alors que ma banque CIC me demande systématiquement une 2cd authentification si l’appareil n’est pas connu pour l’accès au compte (mais aussi de temps en temps) , en plus de la DSP2 systématique pour les paiements.
Si le CA avait utilisé l’authentification forte pour la connexion à son compte, le phishing n’aurait pas fonctionné !!!!
A l'origine du phishing, c'est bien une absence d'authentification forte (appelé aussi double authentification) qui a permis au pirate de se connecter à son compte pour y réaliser ces mouvements!
La Banque CA n'a pas mis en place un tel système de sécurité et à mon sens elle est donc responsable de la suite.

J’ai trouvé une cassation sur le sujet :
«  Si, aux termes des articles L. 133-16 et L. 133-17 du code monétaire et financier, il appartient à l'utilisateur de services de paiement de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés et d'informer sans tarder son prestataire de tels services de toute utilisation non autorisée de l'instrument de paiement ou des données qui lui sont liées, c'est à ce prestataire qu'il incombe, par application des articles L. 133-19, IV, et L. 133-23 du même code, de rapporter la preuve que l'utilisateur, qui nie avoir autorisé une opération de paiement, a agi frauduleusement ou n'a pas satisfait, intentionnellement ou par négligence grave, à ses obligations. Cette preuve ne peut se déduire du seul fait que l'instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés »

Cette jurisprudence s ‘applique t elle dans son cas ?
Puis je produire une preuve de la faiblesse de connexion sur le site du Crédit Agricole en filmant le test de connexion sur le CA et le CIC pour exemple ?
Cette preuve serait-elle suffisante ?
Enfin pensez vous que cela puisse être porter devant le tribunal pour demander le remboursement de la fraude?

Merci de vos réponses