Lors de la cyberattaque qui a frappé Free, une montagne de données personnelles des abonnés a été compromise. L’attaquant a notamment saisi les noms, adresses email, adresses postales et numéros de téléphone de près de 20 millions de clients.
Pire encore, le cybercriminel a mis la main dessus coordonnées bancairess d’abonnés Gratuits. De l’aveu de Free, les numéros IBAN (International Bank Account Number) ont été détournés lors de l’intrusion. Le hacker affirme disposer d’un total de 5,11 millions de numéros IBAN. Pour prouver ses dires, il a mis en ligne un échantillon de 100 000 numéros de compte sur BreachForums, une plateforme populaire auprès des criminels à la recherche de données compromises. Entre les mains de hackers, ce numéro bancaire fait peser de sérieuses menaces sur les abonnés Free concernés.
A lire aussi : que faire si vos données ont été piratées lors du hack Free ?
Qu’est-ce que l’IBAN ?
Comme l’explique la Banque de France sur son site internet, l’IBAN est « l’identifiant international de votre compte bancaire auprès d’une institution financière dans un pays donné ». Le numéro de banque est indispensable « pour effectuer toutes les opérations SEPA, telles qu’un prélèvement ou un virement SEPA, ainsi que pour effectuer des opérations internationales »ajoute la Banque de France.
Créé dans les années 1990, l’IBAN a été conçu pour faciliter et sécuriser les transactions financières entre les pays de l’Union européenne. La norme bancaire a été rapidement adoptée par des pays hors d’Europe. C’est ce précieux numéro qui permet aux créanciers de débiter de l’argent sur un compte bancaire, pour un abonnement téléphonique, la location d’une voiture ou encore le remboursement d’un emprunt. Cela permet également à votre employeur de payer votre salaire.
Prélèvements frauduleux et abonnements non désirés
En revanche, l’IBAN seul ne suffit pas à siphonner tout l’argent de votre compte bancaire. Il n’est pas possible de retirer de l’argent de votre compte uniquement avec votre numéro IBAN. Pour atteindre leurs objectifs, les pirates auront besoinune série d’autres informations…comme ceux compromis lors de la cyberattaque contre Free. Ces informations pourront être utilisées pour réaliser un mandat SEPA, qui donnera lieu à un transfert d’argent.
Combiné avec d’autres informations, le compte IBAN peut conduire à des retraits frauduleux de votre compte. Les fraudeurs ont besoin d’une identité, d’un numéro de téléphone ou d’autres données bancaires, comme le code BIC, qui permet d’identifier les banques à l’échelle internationale. Ce code est particulièrement facile à trouver. Il est en effet accessible au public sur le Web pour toutes les banques. Avec ces données, et une fausse signature, les fraudeurs peuvent exécuter des mandats SEPA à votre insu.
Notez que votre signature peut également faire partie des données compromises en possession des pirates. En effet, cela est visible sur votre carte d’identité. Très souvent, répertoires de cartes d’identité volées finissent sur les marchés noirs. Récemment, Damien Bancal, chercheur en sécurité pour le blog Zataz, a découvert une base de données de 15 000 cartes d’identité appartenant à des Français en enquêtant sur des marchés criminels. Comme vous pouvez le constater, aucune donnée nécessaire à un mandat SEPA n’échappe aux cybercriminels. En théorie, ils peuvent mettre la main sur tout ce dont ils ont besoin pour effectuer des virements.
L’année dernière, le site communautaire Signal-Arnaques avait également repéré des retraits frauduleux de plusieurs centaines d’euros sur les comptes des victimes.
300, 400, 500€… les retraits non autorisés arrivent en masse sur les comptes de nombreux témoins ! 😱😱😱
Voici comment réagir pour que tout redevienne normal si cela vous arrive. ✊⏬– Signal-Arnaques (@SignalArnaques) 25 avril 2023
En exploitant l’IBAN et d’autres données personnelles, les pirates peuvent également souscrire à des services à votre insu. Dans ce cas de figure, c’est la victime qui paiera l’abonnement souscrit par le hacker. Les pirates peuvent également vous abonner à leurs propres services payants, aussi inutiles que frauduleux, leur permettant de gagner rapidement de l’argent à vos dépens.
Dans le passé, nous avons aussi vu des pirates souscrire à des produits financierscomme les prêts, en usurpant l’identité d’un individu. Pour ces demandes de prêt frauduleuses auprès d’une banque, le cybercriminel s’appuie sur des données comme l’IBAN. Parmi les informations requises, on retrouve également un justificatif de domicile. Là encore, il est très simple d’en trouver un sur les marchés noirs. La preuve peut prendre la forme d’une facture d’électricité, de gaz, de téléphone fixe ou encore d’un avis d’imposition. Ces documents peuvent être volés lors du piratage d’une boîte email par exemple. Sur le dark web, on retrouve une multitude de documents volés. Vous l’aurez compris : rien n’arrête les cybercriminels.
Les risques du phishing
Plus généralement, l’IBAN peut faire partie des données personnelles utilisées pour piéger les abonnés. En mettant en avant votre numéro de banque, les cybercriminels peuvent tenter de vous convaincre de effectuer un paiement en ligne ou de communiquer vos coordonnées bancaires.
Pour atteindre leurs objectifs, les attaquants peuvent, par exemple, se faire passer pour un membre du service client de Free. C’est l’une des tactiques les plus répandues dans le monde criminel. Free admet également s’attendre à une résurgence de ce type d’attaque dans un avenir proche suite à la fuite de données.
Que faire si votre IBAN a été piraté ?
Tout d’abord, nous vous conseillons de gardez un œil sur votre compte bancaire. Surveillez régulièrement toutes les activités enregistrées par votre compte. Si vous ne reconnaissez pas un paiement, contactez votre banque en urgence.
En effet, la banque est tenue de vous rembourser si vous avez été victime d’un retrait frauduleux. C’est ce que prévoit la législation française. La banque doit alors vous rembourser dans un délai d’un jour, sans attendre les conclusions d’une éventuelle enquête. Les investigations doivent se dérouler dans une deuxième phase.
« Si vous n’avez pas autorisé quelque chose, la loi vous protège : c’est à la banque de prouver que vous avez donné votre consentement »explique Signal-Arnaques sur X.
Cependant, vous devez signaler la moindre activité suspecte un délai de treize mois après les faits. Si vous constatez la transaction après le délai imparti, vous n’êtes pas éligible à un remboursement. Vous pouvez contourner cette restriction si la banque n’a pas « n’a pas fourni ou n’a pas mis à disposition des informations relatives à cette opération de paiement »mais c’est peu probable. C’est ce que prévoit le code monétaire et financier. C’est pourquoi nous mettons l’accent sur la surveillance de vos comptes et de vos cartes de crédit. La vérification quotidienne de vos paiements ne prend pas plus de cinq minutes et peut vous aider à éviter les fraudes.
Les banques peuvent théoriquement échapper à leurs obligations en prouvant que la victime a démontré négligence grave. En clair, il faut que la victime ait volontairement fourni des éléments sensibles, comme un code d’authentification, pour que la justice considère que la négligence est à l’origine de l’agression.
Si la banque choisit de se défendre, elle doit être en mesure de monter un dossier prouvant la négligence de l’utilisateur dans un délai de 24 heures. Dans la mesure où l’organisme bancaire ne constitue pas ce dossier dans les délais impartis, le remboursement intégral reste de mise. Là encore, la banque n’a pas le droit d’imposer un délai de remboursement, rapporte Presse-Citron.
De plus, nous vous recommandons de configurer une liste blanche des créanciers autorisé à débiter votre compte. Seules les entités de cette liste pourront réaliser des mandats SEPA via votre compte. Si un hacker tente de s’emparer de votre compte, il se retrouvera bloqué. Évidemment, vous devrez mettre à jour cette liste manuellement à chaque fois qu’un nouveau créancier sera désigné. Vous pouvez également demander à votre banque d’exiger une validation via votre application mobile pour chaque nouveau mandat de prélèvement.
Avec ces précautions, vous devriez pouvoir éviter que votre compte bancaire ne soit siphonné par des cybercriminels qui investiraient dans la base de données volée à Free. Le pirate informatique à l’origine du piratage a en fait mis les informations aux enchères sur un marché noir. Ils ne tarderont pas à tomber entre de mauvaises mains…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
