L'angoisse règne parmi les 19 millions de clients de Free touchés par la récente fuite de données. De nombreux utilisateurs rapportent des prélèvements inexpliqués sur leurs comptes, ce qui pose une question cruciale : les hackers peuvent-ils réellement utiliser un IBAN pour effectuer des achats illégaux ?

Arnaud Delomel, avocat spécialisé en droit du crédit et de la consommation, affirme qu'en théorie, « il est impossible de réaliser des achats simplement avec un IBAN ». Mais est-ce si simple ? Nous avons décidé d'enquêter sur cette affirmation.

Pour notre expérience, nous avons échangé nos IBAN respectifs pour voir si nous pouvions réaliser des achats en utilisant uniquement ce numéro. L’objectif était de tenter un prélèvement SEPA à l’insu de notre partenaire.

Un processus de prélèvement plus facile qu’un paiement en ligne

Bien que l’IBAN ne soit pas un moyen de paiement à proprement parler, il permet d’initier des prélèvements SEPA, souvent utilisés pour des paiements récurrents comme des abonnements à des services de streaming ou de téléphonie. Cette procédure est censée être rapide et pratique : après avoir rempli un mandat de prélèvement avec l'IBAN, le débiteur autorise le créancier à prélever des montants définis sur son compte.

En effet, le processus est bien moins complexe que pour un virement qui nécessite plusieurs validations. Mais à quel point est-ce sécurisé ? Cela nous a poussés à tester la sécurité de ce système sur deux plateformes acceptant le prélèvement.

Episode 2 : Un abonnement sous un faux nom

Dans notre essai, un participant a souscrit un abonnement à prix réduit chez un opérateur de téléphonie mobile, en renseignant l’IBAN d’un tiers sans jamais fournir de pièce d'identité. Après avoir rempli un mandat de prélèvement, aucune alerte n'est apparue, et l’abonnement a été validé sans problème, ce qui soulève des inquiétudes inquiétantes.

La vulnérabilité du système est d'autant plus troublante sachant qu'aucun contrôle d'identité n'a été effectué, permettant ainsi à un fraudeur d'ouvrir des comptes à l'aide d’IBANs volés. Ce manque de vérification pourrait permettre à un escroc d'autoriser des prélèvements sur plusieurs mois sans que la victime ne s'en aperçoive.

Les conséquences potentielles pour les victimes

Cette série d'expérimentations met en lumière les failles d'un système qui peut être exploité par n'importe quel hacker en possession d’un IBAN dérobé. Les victimes pourraient voir leur compte débité de petites sommes, souvent négligées, avant qu'elles ne réalisent qu'elles se sont fait escroquer. Arnaud Delomel souligne que tant que ces montants restent en dessous d'un certain seuil, ils passent souvent inaperçus.

Que retenir de cette affaire ? Si la Banque de France affirme que la fraude liée aux prélèvements SEPA reste rare, il n’en demeure pas moins que les fuites de données créent un terreau fertile pour les cybercriminels. Les banques doivent impérativement renforcer les vérifications autour des mandats de prélèvements pour protéger les clients de ces abus.

Une vigilance constante est la clé

Les consommateurs doivent redoubler de vigilance concernant leurs relevés bancaires et contester toute opération suspecte. En cas de prélèvements non autorisés, ils bénéficient de protections légales permettant un remboursement rapide. Néanmoins, les utilisateurs de services bancaires doivent être conscients des risques et adopter de meilleures habitudes de contrôle régulier.

La question de la sécurité des systèmes de paiement en ligne devient plus pressante à mesure que les cyberattaques se multiplient. Quelles mesures doivent encore être mises en place pour renforcer la sécurité des données personnelles et financières ? C'est un débat que nous devrions tous mener.