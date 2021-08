Y aurait-il, durant l’été, une recrudescence de l’hameçonnage (phishing), c’est-à-dire une escroquerie en ligne, qui permet notamment de voler de l’argent sur un compte bancaire ? Même si l’association du secteur financier Febelfin et les banques ne communiquent aucun chiffre récent, plusieurs témoignages parvenus à La Libre laissent penser que les tentatives restent importantes. Et cela malgré les nombreuses campagnes et mesures de prévention du secteur financier. Décryptage de ce qui "reste un problème important qui nécessite une attention permanente", selon les termes même de la banque Crelan.

1 En quoi consiste l’hameçonnage ?

Tout part d’un message frauduleux qui arrive par sms, par mail ou via un site Internet. Exemple : votre carte bancaire a été volée, il faut cliquer sur un site frauduleux qui ressemble furieusement à celui de la banque. La victime de la fraude suit la procédure indiquée qui consiste en général à communiquer le code d’accès au compte. Il ne faut que quelques secondes pour que le fraudeur soutire le maximum d’argent possible. Il y a toutefois parfois certains indices évidents de fraude. Exemple : le message comporte des fautes d’orthographe ou n’est pas rédigé dans la langue maternelle.

2 Le phénomène a-t-il pris de l’ampleur ces derniers mois ?

"Le phénomène de l’hameçonnage par SMS a commencé après l’été de 2019 et est plus important maintenant que l’hameçonnage par e-mail (environ 3 à 5 plus important que l’hameçonnage par e-mail). Nous constatons une nouvelle hausse mais qui a déjà commencé en avril 2021", explique Alexandre Pluvinage responsable de la sensibilisation à la cybersécurité chez ING Belgique.

Du côté de BNP Paribas Fortis, de Crelan et KBC, on ne note pas de hausse depuis le début de l’été, tout en reconnaissant que les vacances peuvent servir de cadre pour des tentatives de fraudes. La vigilance du client peut être plus facilement prise en défaut.

3 Les victimes ont-elles systémati-quement donné leur code ?

"Dans la plupart des cas de phishing, les victimes ont communiqué des codes, soit le code PIN de leur carte, soit les codes générés par le lecteur de carte. Dans les cas où le client n’a pas communiqué de codes, il a introduit la transaction lui-même, guidé par le fraudeur", poursuit Alexandre Pluvinage. "Pour qu’une tentative de phishing réussisse, un code est en effet requis", explique le service de presse de Belfius. Même réponse chez Crelan, où on souligne dès lors que "le plus important pour éviter l’hameçonnage reste le fait de ne jamais donner les codes secrets et les codes générés pour la validation de transactions aux tiers". La question est donc peut-être de savoir si les clients sont suffisamment mis en garde.

4 Quel accès aux numéros de GSM ?

Des listes de numéros de téléphone sont en vente sur Internet (Darkweb). Ces données peuvent venir de sites piratés. C’est le même principe pour les adresses e-mail.

Dans les cas d’hameçonnage avec un logiciel malveillant, ce qu’on appelle un malware, le SMS venant soi-disant par exemple de bpost est envoyé du téléphone d’une victime vers tous les contacts de ce téléphone.

5 Quelle est la procédure une fois qu’une fraude est signalée ?

KBC rappelait récemment que le client a l’obligation légale d’informer la banque dès qu’il sait ou soupçonne que ses instruments sont utilisés de manière illicite.

BNPP Fortis indique qu’en plus d’une campagne de sensibilisation, elle fait "d’énormes efforts pour empêcher les transactions frauduleuses… Plus de 75 % de tous les paiements frauduleux sont détectés par les banques et bloqués ou récupérés". ING souligne, de son côté, "tout mettre en œuvre pour récupérer les fonds".

6 Les montants volés sont-ils remboursés ?

La banque n’a aucune obligation de remboursement en cas de "négligence grave" du client. C’est ce que prévoit une directive européenne. Le hic, c’est qu’elle ne définit pas la notion de "négligence grave". Il y a donc une zone grise. On imagine que la banque considère que donner son code secret rend le client responsable de ses actes. KBC a été toutefois récemment condamnée en première instance dans deux affaires de fraudes bancaires en ligne à rembourser 32 000 euros. Mais sans qu’on sache quelle responsabilité lui attribue le juge.Ariane van Caloen