Au cours de la cyberattaque qui a frappé Free, une montagne de données personnelles sur les abonnés a été compromise. L’attaquant s’est notamment emparé des noms, des adresses mail, postales et des numéros de téléphone de près de 20 millions de clients.
Pire, le cybercriminel a mis la main sur les coordonnées bancaires des abonnés Free. De l’aveu de Free, les numéros IBAN (International Bank Account Number) ont été siphonnés au cours de l’intrusion. Le pirate indique détenir un total de 5,11 millions de numéros IBAN. Pour prouver ses dires, il a mis en ligne un échantillon de 100 000 numéros de compte sur BreachForums, une plateforme très prisée par les criminels en quête de données compromises. Entre les mains des pirates, ce numéro bancaire fait peser de sérieuses menaces sur les abonnés Free concernés.
À lire aussi : que faire si vos données ont été piratées lors du hack de Free ?
C’est quoi l’IBAN ?
Comme l’explique la Banque de France sur son site web, l’IBAN est « l’identifiant international de votre compte bancaire auprès d’une institution financière dans un pays donné ». Le numéro bancaire est indispensable « pour réaliser toutes les transactions SEPA, telles qu’un prélèvement ou un virement SEPA, ainsi que pour réaliser des transactions internationales », ajoute la Banque de France.
Créé dans les années 1990, l’IBAN a été conçu pour faciliter et sécuriser les transactions financières entre les pays de l’Union européenne. La norme bancaire a rapidement été adoptée par des pays situés en dehors de l’Europe. C’est ce précieux numéro qui permet aux créanciers de débiter de l’argent sur un compte bancaire, pour un abonnement téléphonique, la location d’une voiture en leasing ou encore le règlement d’un prêt. Il permet aussi à votre employeur de verser votre salaire.
Des prélèvements frauduleux et des abonnements indésirables
En revanche, l’IBAN seul ne suffit pas pour siphonner tout l’argent de votre compte bancaire. Il n’est pas possible de prélever de l’argent sur votre compte uniquement avec votre numéro IBAN. Pour arriver à leurs fins, les pirates vont avoir besoin d’une panoplie d’autres informations… comme celles compromises lors de la cyberattaque contre Free. Ces informations peuvent permettre de réaliser un mandat SEPA, qui aboutira sur un transfert d’argent.
Combiné à d’autres informations, le compte IBAN peut aboutir à des prélèvements frauduleux sur votre compte. Les escrocs ont besoin de l’identité, du numéro de téléphone, ou encore d’autres données bancaires, comme le code BIC, qui permet d’identifier les banques à l’international. Ce code est particulièrement facile à trouver. Il est en effet publiquement disponible sur la toile pour toutes les banques. Avec ces données, et une fausse signature, les escrocs peuvent réaliser des mandats SEPA à votre insu.
Notez que votre signature peut également faire partie des données compromises en possession des pirates. En effet, celle-ci est visible sur votre carte d’identité. Bien souvent, des répertoires de cartes d’identité volées finissent sur des marchés noirs. Récemment, Damien Bancal, chercheur en sécurité du blog Zataz, a d’ailleurs découvert une base de 15 000 cartes d’identité appartenant à des Français en enquêtant sur des marchés criminels. Comme vous le voyez, il n’y aucune donnée nécessaire à un mandat SEPA qui échappe aux cybercriminels. En théorie, ceux-ci peuvent mettre la main sur tout ce dont ils ont besoin pour réaliser des transferts.
L’an dernier, le site communautaire Signal-Arnaques a d’ailleurs repéré des prélèvements frauduleux, de plusieurs centaines d’euros, sur les comptes de victimes.
300, 400, 500€… des prélèvements non autorisés arrivent en masse sur les comptes de nombreux témoins ! 😱😱😱
Voici comment réagir pour tout faire rentrer dans l’ordre si ça vous est arrivé. ✊⏬— Signal-Arnaques (@SignalArnaques) April 25, 2023
En exploitant l’IBAN et d’autres données personnelles, les hackers peuvent aussi vous abonner à des services à votre insu. Dans ce cas de figure, c’est la victime qui va payer l’abonnement souscrit par le hacker. Les pirates peuvent aussi vous abonner à leurs propres services payants, aussi inutiles que frauduleux, ce qui leur permet de gagner rapidement de l’argent à vos dépens.
Par le passé, on a également vu des pirates souscrire à des produits financiers, comme des prêts, en usurpant l’identité d’un individu. Pour ces demandes de prêt frauduleuses auprès d’une banque, le cybercriminel s’appuie sur des données comme l’IBAN. Parmi les informations requises, on trouve aussi le justificatif de domicile. Là encore, il est très aisé d’en trouver un sur des marchés noirs. Un justificatif peut prendre la forme d’une facture d’électricité, de gaz, de téléphonie fixe ou d’un avis d’imposition. Ces documents peuvent être volés lors du piratage d’une boite mail par exemple. Sur le dark web, on trouve une foule de justificatifs volés. Vous l’aurez compris : rien n’arrête les cybercriminels.
Les risques de phishing
Plus globalement, l’IBAN peut faire partie des données personnelles utilisées pour piéger les abonnés. En mettant en avant votre numéro bancaire, les cybercriminels peuvent chercher à vous convaincre de réaliser un paiement en ligne ou de communiquer vos identifiants bancaires.
Pour parvenir à leurs fins, les attaquants peuvent par exemple se faire passer pour un membre du personnel de l’assistance client de Free. C’est l’une des tactiques les plus répandues dans le milieu criminel. Free admet d’ailleurs s’attendre à une résurgence de ce type d’attaques dans un avenir proche à la suite de la fuite des données.
Que faire si votre IBAN a été piraté ?
Tout d’abord, on vous conseille de garder un œil sur votre compte bancaire. Surveillez régulièrement toutes les activités enregistrées par votre compte. Si vous ne reconnaissez pas un paiement, prenez contact dans l’urgence avec votre banque.
En effet, la banque est tenue de vous rembourser si vous avez été victime d’un prélèvement frauduleux. C’est ce que stipule la législation française. La banque doit alors vous rembourser dans un délai d’un jour, sans attendre les conclusions d’une éventuelle enquête. Les investigations doivent se dérouler dans un second temps.
« Si vous n’avez pas autorisé quelque chose, la loi vous protège : c’est à la banque de prouver que vous avez donné votre accord », explique Signal-Arnaques sur X.
Cependant, vous devez impérativement signaler la moindre activité suspecte dans un délai de treize mois après les faits. Si vous remarquez la transaction au-delà du délai imparti, vous ne pouvez pas prétendre à un remboursement. Vous pouvez contourner cette restriction si la banque n’a « pas fourni ou n’a pas mis à disposition les informations relatives à cette opération de paiement », mais c’est peu probable. C’est ce que stipule le code monétaire et financier. C’est pourquoi on insiste sur la surveillance de vos comptes et de vos cartes de crédit. La vérification quotidienne de vos paiements ne prend pas plus de cinq minutes, et elle peut vous permettre d’éviter de passer à côté d’une fraude.
Les banques peuvent théoriquement échapper à leurs obligations en prouvant que la victime a fait preuve d’une négligence grave. En clair, la victime doit avoir fourni de son plein gré des éléments sensibles, comme un code d’authentification, pour que la justice estime qu’une négligence est à l’origine de l’attaque.
Si la banque choisit de se défendre, elle doit pouvoir monter un dossier pour prouver que l’usager a été négligent en l’espace de 24 heures. Dans la mesure où l’organisme bancaire ne monte pas ce dossier dans les temps impartis, le remboursement intégral reste de mise. Là encore, la banque n’a pas le droit d’imposer un délai au remboursement, relate Presse-Citron.
Par ailleurs, on vous recommande de mettre en place une liste blanche des créanciers autorisés à débiter votre compte. Seules les entités de cette liste pourront réaliser des mandats SEPA par le biais de votre compte. Si un pirate tente de ponctionner votre compte, il se retrouvera bloqué. Évidemment, vous devrez mettre à jour cette liste manuellement à chaque mandat d’un nouveau créancier. Vous pouvez aussi demander à votre banque d’exiger une validation par le biais de votre application mobile à chaque nouveau mandat de prélèvement.
Avec ces précautions, vous devriez pouvoir éviter que votre compte bancaire soit siphonné par les cybercriminels qui vont investir dans la base de données volées à Free. Le pirate à l’origine du hack a en effet mis les informations en vente aux enchères sur un marché noir. Elles ne devraient pas tarder à tomber entre de mauvaises mains…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.