Sites de vente allemands : attention, votre numéro de compte suffit aux escrocs pour passer une commande

C’est la société de cybersécurité Approach qui tire la sonnette d’alarme : sur le site de vente en ligne Amazon.de (en Allemagne donc), votre numéro de compte en banque IBAN peut être utilisé à votre insu par un fraudeur.

Comment la société a-t-elle trouvé cette faille ? Elle a créé un faux compte client. Elle a ensuite rempli son panier avec des articles pour un montant jusqu’à 200 euros. Au moment de payer, elle a donné le numéro de compte IBAN d’un collègue qui aurait pu être celui de n’importe qui, un compte IBAN n’a rien de secret et puis donné un faux nom. Et bingo !, sans aucun autre code ou autre QR code de sécurité à scanner, le paiement a été accepté et la marchandise a bien été reçue quelques jours plus tard.

Si la société a choisi de se faire livrer à son siège social, et aurait donc pu facilement être retrouvée, elle précise qu’il est possible de se faire livrer dans des casiers Amazon (ce service n’existe pas encore chez nous mais bien en Allemagne ou au Luxembourg par exemple) dont l’acheteur reçoit le code, ce qui rend l’achat tout à fait anonyme… et donc la fraude très facile.

Comment est-ce possible ?

Parce que sur Amazon.de (mais c’est aussi possible sur d’autres webshops très connus, comme Zalando.de par exemple), il est possible de payer en donnant simplement son numéro de compte IBAN et le nom du propriétaire du compte (qui peut donc être un faux nom, selon le test de Approach), via le SEPA direct debit, comme montré sur cette capture d’écran du site Amazon.de en anglais :

 

« C’est assez incroyable mais c’est possible ! s’étonne Pierre Alexis consultant chez Approach. Et ça montre bien qu’en cybersécurité les failles ne sont pas forcément très techniques, elles sont parfois très simples ».

Ce type de paiement « SEPA » est surtout répandu en Allemagne. Il n’est pas possible sur Amazon.fr, le site français d’Amazon, par exemple.

Qu’est-ce que le SEPA direct debit ?

Introduit en 2009 (et finalisé en 2014 en Belgique), le SEPA direct debit, un système pour les paiements en euro, permet à des entreprises de retirer de l’argent directement du compte en banque d’une personne, si et seulement s’ils ont bien un mandat signé par la personne l’autorisant. C’est ainsi que marchent les domiciliations pour les factures d’électricité ou de téléphone, par exemple.

Ce système existait bien avant 2009, mais depuis l’introduction du système SEPA, un changement important a été fait : avant le SEPA, c’était au client de contacter sa banque et d’autoriser le marchand à avoir accès à son compte. Depuis 2009, c’est au marchand d’obtenir un mandat du client, la responsabilité n’est plus sur les épaules du consommateur. « Depuis ce changement, une domiciliation SEPA permet à n’importe quel marchand d’aller retirer de l’argent sur le compte de n’importe qui précise Pierre Alexis. Ces marchands ne peuvent le faire qu’à condition d’avoir un mandat valide du titulaire du compte. Ce qui n’est pas du tout le cas ici. A aucun moment Amazon ne connaît l’identité du consommateur qui achète sur son site et ne récolte encore moins de signatures valides. C’est donc à la fois la faute de ces sites qui ne prennent pas les mesures de sécurité nécessaires pour récolter des mandats valides. Mais aussi la faute au standard SEPA qui ne vérifie pas que les commerçants disposent bien du mandat pour prélever sur un compte ».

Le payement par domiciliation SEPA sur un site de commerce en ligne est déjà répandu en Allemagne, beaucoup moins chez nous pour le moment, mais c’est en développement et les sites belges d’e-commerce pourraient bientôt aussi être exposés.

L’intérêt des sites à maintenir cette faille

Cette faille existe depuis que les payements par domiciliation sur Internet existent. Elle est connue des experts en cybersécurité et une rapide recherche sur internet suffit à épingler des vidéos de démonstration et des témoignages de personnes victimes de cette pratique. Nous avons contacté plusieurs sites mis en cause. Nous n’avons reçu aucune réponse à nos demandes d’interview mais difficile d’imaginer qu’ils ne soient pas au courant : « Oui bien sûr qu’ils savent, cette faille est tellement énorme, c’est impossible de l’ignorer tranche Pierre Alexis. Mais pour eux, c’est très intéressant de simplifier au maximum la procédure de payement. Ça favorise leurs ventes. Ils mettent donc dans la balance les pertes liées à d’éventuelles fraudes et les gains permis par des moyens de payement très simples ».

Et de fait, en cas de réclamation, les sites via les banques remboursent rapidement. Cela leur coûte vraisemblablement moins que ce que leur rapporte une procédure de payement simplifiée mais peu sûre.

Que faire si vous êtes victime d’une fraude ?

Si vous avez été victime d’un prélèvement frauduleux, vous pouvez demander le remboursement d’un paiement jusqu’à 8 semaines (dans certains cas même pendant une période de 13 mois) après le débit.

Le problème, c’est que de petits montants débités peuvent passer inaperçus par le détenteur d’un compte qui ne scrute pas toujours ses relevés bancaires.

Pour prévenir ce genre de fraude, vous pouvez soit bloquer complètement les domiciliations sur votre compte. Ou alors autoriser seulement des entreprises précises, comme votre fournisseur d’électricité et votre opérateur téléphonique par exemple…

 

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK