Ripostes

Dans le cadre d'une enquête sur le groupe criminel qui ciblait les transactions bancaires belges via Internet, la justice a effectué lundi une vague de perquisitions et procédé à quatre arrestations. La fraude a dépassé 3 millions d'euros. Il apparaît que le rythme et l'ampleur du piratage bancaire ont fortement augmenté depuis le début de cette année dans notre pays. Alors, les utilisateurs doivent-ils avoir peur de se faire dérober de l'argent par les hackers bancaires ? Deux positions s'opposent.

Bob de Leersnyder, porte-parole adjoint de Febelfin (Fédération belge du secteur financier)

L’actualité judiciaire met en avant des chiffres inquiétants. Deux des cinq banques touchées dans le dossier qui a donné lieu à des perquisitions lundi ont communiqué des chiffres précis et totalisent un montant de transactions frauduleuses qui dépasse 3,3 millions d’euros. Est-il donc risqué d’effectuer ses paiements par e-banking ?

Non, pas du tout. Si vous comparez le nombre total de transactions effectuées avec le nombre de sessions touchées par une fraude, on obtient 0,00006 %. Cela prouve bien qu’il n’y a aucun risque au niveau de la sécurité. En Belgique, la grande majorité des banques ont mis en place un système qui fonctionne avec le digipass et le code, mais aussi avec la carte elle-même. C’est pourquoi les transactions sont beaucoup plus sûres chez nous qu’aux Pays-Bas par exemple, car ce double système est plus sophistiqué.

Il y a une dizaine de jours à peine, vous organisiez une conférence de presse pour faire le point sur la question et vous expliquiez qu’on totalisait, depuis le début de l’année, 261 cas de fraude portant sur un montant total de 715 000 euros. Deux des cinq banques concernées par le dossier dont on a parlé lundi avancent 12 400 clients infectés pour un total de fraude dépassant 3,3 millions pour la même période. Qui a raison ?

Les deux. Les chiffres sont les mêmes. C’est un problème de définitions différentes. Prenons les montants. Pour cette dernière affaire, le parquet parle d’environ 3 millions d’euros. Nous disons 2,4 millions et 715 000 euros de dommages nets. Les trois millions dont parle le parquet, c’est tout l’argent qui a été transféré, plus les essais de fraude qui ont échoué. Quand nous parlons de 2,4 millions, il s’agit de tout l’argent transféré lors de la fraude. Puis, comme on a réussi à récupérer 1,7 million, il reste un dommage net de 700 000 euros. Les trois sommes sont donc exactes, il faut simplement savoir de quoi on parle.

Dommage d’introduire le doute dans l’esprit des gens en ne communiquant pas, tous, les mêmes données… En cas de fraude, si quelqu’un se fait voler son argent, la banque le lui rembourse-t-elle ?

Normalement, oui, sauf si la banque peut démontrer qu’il y a eu négligence grave. Mais elle doit être en mesure de prouver cette faute, ce qui n’est vraiment pas évident. Donc la banque paie, oui.

Qu’appelez-vous une négligence grave ?

Par exemple, confier son code secret à quelqu’un d’autre.

Sur votre site (www.safeinternetbanking.be), vous expliquez les consignes de prudence. Pouvez-vous rappeler les principales ?

Le minimum est d’installer et de mettre à jour régulièrement un antivirus. Ensuite, si on est en train de faire des virements et que quelque chose d’anormal se passe, le mieux est de clôturer la session d’e-banking et de passer un coup de fil à la banque pour expliquer ce qui a lieu. S’il y a le moindre doute, il faut interrompre l’opération. Et puis, surtout, il ne faut répondre à aucune question par téléphone pendant la transaction. Car on vous fait croire que c’est la banque qui vous appelle pour vous demander votre code secret : or, une banque ne fait jamais cela, ni par mail ni par téléphone !

Ne pas suivre ces consignes, par exemple ne pas installer cet antivirus, peut-il être considéré comme la faute grave qui aura pour conséquence de ne pas être remboursé par la banque ?

Non, pas du tout.

Estimez-vous qu’on incite les gens à la panique en médiatisant des affaires comme celle de lundi ?

Non, au contraire, c’est une occasion de rappeler un tas d’informations. D’autre part, il faut retenir le signal donné par le parquet dans cette affaire-ci : il agit et il sanctionne, c’est important.

Et les banques, elles, sont-elles inquiètes voire paniquées ?

Non plus, il n’y a pas de raison. Nous sommes conscients du problème que nous suivons de tout près pour éviter qu’il continue à prendre de l’ampleur.

La riposte de Marc Blanchard , informaticien, membre du RECIF - recherches en criminalité informatique; "Virus docteur" - Epidémiologiste chez BitDefender

Doit-on se méfier de l’e-banking ?

L’évolution du e-banking est fulgurante. Et la fraude via les malwares (logiciels malveillants : virus, vers et chevaux de Troie) aussi. Ce qui sera visé ici ? Le vol de coordonnées bancaires et le piratage de mots de passe. La base, pour le cybercriminel, sera de récolter un maximum d’informations technologiques sur vous et ainsi de connaître les failles. Savez-vous que certains malwares prennent en vidéo et à votre insu tout ce que vous faites ? Et la lampe témoin ne s’allumera pas. Les arnaques e-banking sont très vastes et ne se limitent pas à du piratage pur de comptes bancaires.

Que pensez-vous de la sécurité des services bancaires en ligne ?

En Belgique, le digipass marque un avantage. Mais l’e-banking n’est pas sans risque et oblige à être vigilant. La plupart des sites bancaires sont sécurisés et donc marqués par https ://. Mais il arrive qu’ils contiennent des images non sécurisées. Et là, les pirates profitent de ces petites failles pour récupérer votre identifiant. On peut y remédier en sursécurisant les transferts entre comptes, par exemple via un SMS émanant de la banque avec un numéro secret non divulgué sur Internet et qui demande confirmation de votre part. Mais la pratique n’est guère courante. Attention aussi à certains malwares qui ne vont ponctionner que 2 ou 3 euros ici et là sous un intitulé passe-partout comme "parking". Pas facile à repérer. Maintenant, pour une grande banque qui a des millions d’abonnés, quelques milliers d’utilisateurs attaqués, c’est statistiquement minime.

Selon la justice, les cybercriminels viendraient d’Ukraine et de Russie. Pourquoi ?

Il faut voir qui est derrière ces stratégies d’hébergement. Le week-end dernier, les autorités ont démantelé un gros "botnet" (mise en commun d’un réseau d’ordinateurs infectés gérés au départ de la machine d’un pirate) de 6 millions de machines qui a permis de voler des millions de dollars. Mais le cybercriminel peut très bien être un Belge basé à Liège. Par contre, il hébergera ses logiciels malveillants dans des sites ukrainiens, russes ou chinois qui demandent moins de contrôles et n’obligent pas à montrer patte blanche.

Doit-on craindre l’avenir ?

L’e-banking a toujours excité un certain nombre de cyberdélinquants, seuls ou en bandes organisées, type mafia. Sur le "dark net", le monde opaque d’Internet (avec possibilité d’anonymat), on peut tout acheter : drogue ou film pédophile. Et comment payer ? Avec des numéros de carte de crédit volés. Pour ce, on a besoin de malwares e-banking qui récupèrent les infos sur l’ordinateur de "monsieur tout-le-monde" quand celui-ci paye avec sa carte via Internet. Et aujourd’hui, il n’y a jamais eu autant de failles sur des applications standards comme Internet Explorer, Adobe Reader, Flash Player, Firefox, etc. Comme au final, tout le monde utilise les mêmes outils, c’est une aubaine pour les pirates, ne fût-ce que pour y héberger les malwares qui vont stocker des données détournées ou des ordres d’attaque. Et demain ? Tout sera sur Internet, de votre télévision à la gestion de votre ampoule de porte d’entrée. Autant d’hébergements potentiels pour des malwares...

Quelques conseils gratuits ?

Imprimez puis virez de votre boîte mails (surtout de type gmail, yahoo, etc) tous les mails de confirmation, de transaction ou d’échange avec des données sensibles. Prenez des mots de passe à rallonge. Et n’utilisez pas les mêmes mots de passe. Fermez tout si un pop-up apparaît lors d’une transaction : vous ou la banque êtes contaminés. Et assurez-vous avec un bon antivirus mis à jour quotidiennement !