Trois ans après les inquiétudes soulevées par les problèmes de fraude liés aux paiements en ligne par carte bancaire, les banques doivent faire face à une nouvelle menace qui pourrait cette fois encore mettre à mal la confiance de leurs clients : le "phishing". Après les Etats-Unis, la Grande-Bretagne, le Brésil, le Québec ou encore la Suisse, la France et l'Allemagne ont connu cet été leurs premiers cas de ce nouveau type d'escroquerie qui vise les clients gérant leur compte bancaire sur Internet.

Le "phishing" : l'arnaque à la mode

Le terme "phishing" vient des mots anglais "fishing", la pêche, et "phreaking", désignant le piratage de systèmes de télécommunication. L'escroquerie se matérialise par l'envoi d'un mail officiel aux couleurs de l'institution supposée émettrice, donc inspirant confiance. Par une formulation généralement bien étudiée, ce mail propose à son destinataire de se rendre sur le site Internet de l'institution afin de mettre à jour ou de reformuler des données confidentielles : identifiant, mot de passe, numéro de compte bancaire, numéro de carte bancaire, etc. Le site en question est en fait un clone qui permet aux pirates de récupérer les précieux renseignements personnels pour ensuite procéder au dépouillement du malheureux client.

Cet été, deux clients de la Société Générale ont vu leur compte être délesté de 15 000 €. Un client de la Bred a également subi le même détournement. En Allemagne, des clients de la Deutsche Bank et de la Postbank ont connu la même déconvenue. Dans tous les cas, les banques se veulent rassurantes en affirmant que leur système de sécurité n'a pas failli. Avec le "phishing", les escrocs obtiennent effectivement les informations confidentielles en opérant diectement auprès des titulaires des comptes.

Les clients sont dans ce cas de fraude clairement désignés comme le maillon faible de la sécurité bancaire. Comme pour l'utilisation du code des cartes bancaires, ils doivent donc respecter un certain nombre de précautions et se montrer toujours vigilants. Tous les sites Web, même ceux réputés fiables, peuvent, en effet, être affectés par une attaque savamment orchestrée.

 Haut de page

Les bons réflexes pour lutter contre l'escroquerie

Il est certain que les banques ont tout à craindre des retombées médiatiques de ces fraudes. Alors, comme pour les cartes bleues, elles ont commencé depuis quelques mois un long travail de pédagogie et de prévention en rappelant et détaillant dans des dossiers spécifiques ou des guides les précautions d'emploi des services bancaires en ligne :

• partir sur des bases saines : sécuriser le système d'exploitation de son ordinateur, s'équiper d'un anti-virus et éventuellement d'un logiciel pare-feu (firewall) ;
• adopter un principe de précaution vis-à-vis de mails non indentifiés ou douteux dans leur contenu ou leur objet : même si l'expéditeur paraît connu, ne pas ouvrir les pièces jointes à ce genre de mail et ne pas suivre les invitations qui peuvent être faites ;
• ne pas se désabonner d'un envoi en nombre de mails lorsqu'on y est invité. Le fait de cliquer sur le lien confirme l'existence de la boîte aux lettres et entrainera de fait l'envoi d'autres mails ;
• les éditeurs informatiques comme Microsoft, et a fortiori les établissements financiers, n'utilisent jamais la messagerie électronique pour communiquer à leurs clients des données personnelles ;
• ne pas utiliser un ordinateur en libre-service (ex. : dans un cyber-café) pour ses transactions bancaires ;
• comme pour la carte bancaire, ne communiquer ni ne laisser à la portée de qui que ce soit ses codes personnels ;
• ne pas utiliser la fonction de saisie semi-automatique des codes personnels proposée par des systèmes d'exploitation comme Windows ;
• préférer les sites transactionnels sécurisés. Ceux-ci s'identifient par une adresse sous la forme "https:..".
• savoir que le site factice où l'internaute est renvoyé dans le cadre d'une opération de phishing est doté d'une fausse adresse généralement proche de la vraie mais avec une variante pas forcément repérable pour l'oeil non vigilant (caractère similaire, une majuscule au lieu d'une minuscule, etc.).
• se déconnecter systématiquement d'un site transactionnel en cliquant sur le lien prévu à cet effet ;
• prendre contact systématique avec sa banque dès qu'un échange de mail paraît suspect.

 Haut de page