Fuites de données, IBAN dans la nature, quels risques ?

Les fuites de données se succèdent avec toujours plus d’informations dans la nature, quels risques encourez-vous à terme ?

Depuis des mois des fuites de données massives se succèdent en France, chez des marchands en ligne, des organisations variées et dernièrement des opérateurs. A chaque fois les mêmes éléments sont récupérés par des groupes et organisations variés qui vont en faire commerce ou opérer avec.

J’entends souvent les utilisateurs râler après ces fuites de données. Pester contre le partenaire qui a laissé une faille suffisante dans son système mais… ne pas faire grand chose pour s’en prémunir. Je connais même des utilisateurs qui ne vont pas changer leur mot de passe d’eux même après avoir reçu l’information d’une fuite. Mot de passe qui est pourtant utilisé de manière identique sur des dizaines et des dizaines d’autres sites. La problématique est connue, le commun des mortels n’a pas envie de changer ses mots de passe pour chaque site. Il sait pertinemment que  c’est comme si il écrivait le code d’ouverture de sa porte affiché sur sa maison, mais il n’a pas le courage de tout  changer.

L’idéal est comme toujours d’avoir une technique de mémorisation permettant de créer un mot de passe différent facilement pour chaque site ou d’utiliser une application de gestion de mot de passe multiplateforme. Ce n’est souvent pas gratuit (encore que KeePass soit libre, open source, léger et gratuit) mais c’est peu cher par rapport à un vol de données effectivement utilisé par un groupe mafieux. L’emploi d’un Passkey est également une solution très intéressante dans laquelle investir du temps.

Si je vous parle de ces fuites de données, c’est parce que la présence d’IBAN dans les dernières affaires de ce genre me rappelle une mésaventure qui m’est arrivée il y a quelques temps. Je n’ai jamais su d’où venait cette fuite de données mais toujours est-il qu’un malandrin s’est retrouvé avec en sa possession mes coordonnées personnelles et mon IBAN. Et si il avait été plus malin et moins gourmand, il aurait pu ponctionner mon compte pendant longtemps.

Je me suis rendu compte d’un souci avec mon compte suite à un débit de 120€ dont je n’avais absolument aucun souvenir. L’intitulé indiquait une formation étrange depuis un service tout aussi bizarre. Evidemment, j’ai mené ma petite enquête et je me suis rendu compte que depuis trois mois des débits du même genre apparaissaient dans mes relevés pour des montants de 9.90€.

En analysant ces relevés, je suis parvenu à un service de vente de formations en ligne, un site à priori légitime, exploité de manière tout à fait illégitime par des escrocs. Le site permet de proposer des formations à n’importe qui, sur n’importe quel sujet. C’est juste une de ces fameuses plateformes de « mise en relation » entre divers acteurs. Plateforme qui prend évidemment une commission au passage en jouant le rôle de tiers de confiance. Problème, cette plateforme n’a aucun moyen de vérifier si la formation est réelle et même si elle est simplement délivrée. 

Résultat, une formation peut très bien s’intituler « EDF » ou « ASSURANCE ». Il est également facile de savoir quel est votre établissement bancaire à partir de votre IBAN et donc de générer un intitulé autour de cela comme des frais de gestion. Aucune limitation sur le nom de la formation n’est imposée et on peut choisir n’importe quel intitulé qui sera automatiquement lié avec le mois en cours dans votre relevé bancaire. Mais le pire c’est que le margoulin qui lance la  formation bidon peut ensuite utiliser le même site et vous créer un profil à votre nom, prénom et adresse, en changeant évidemment juste votre email pour le sien.  Pour le paiement, rien de plus simple, il suffit d’entrer… votre IBAN. Et voilà comment une personne mal intentionnée peut commencer à prélever régulièrement des sommes sur votre compte de manière totalement anonyme et en proposant un intitulé parfaitement invisible si vous n’y faites pas attention.

Contactée, ma banque a récupéré les sommes prélevées et a recrédité mon compte. Le problème est que si la personne qui avait récupéré mes informations et mon IBAN avait été un peu plus précautionneuse, avait par exemple débité pour  une formation « PRLVM SEPA ASSURANCE OCT » quelques euros, je n’aurais probablement pas fait attention plus que ça pendant des mois. Le temps pour cette personne de ponctionner mon compte et pour moi de perdre pas mal de sous.

La réglementation bancaire impose pour toutes les banques de rembourser jusqu’à 13 mois après le prélèvement une opération de prélèvement de ce type effectuée sans autorisation validée de votre part. C’est à dire en utilisant simplement un IBAN. La banque n’a pas forcément besoin de cette autorisation de prélèvement pour opérer. Peu de banques ne réclament cette autorisation de manière systématique. Surtout pour les petites sommes comme les prélèvements d’abonnements variés que nous avons tous. Pour autant, avec un intitulé de prélèvement qui peut changer de mois en mois en modifiant la prestation de formation ou avec un nom ressemblant à des prélèvements légitimes, la traque aux opérations frauduleuse peut s’avérer complexe et chronophage.

Un conseil donc, si votre IBAN a fuité, n’hésitez pas a éplucher vos comptes de manière systématique et traquez vos prélèvements pour détecter toute anomalie pendant les mois qui viennent. 


Soutenez Minimachines avec un don mensuel : C'est la solution la plus souple et la plus intéressante pour moi. Vous pouvez participer via un abonnement mensuel en cliquant sur un lien ci dessous.
2,5€ par mois 5€ par mois 10€ par mois Le montant de votre choix

Gérez votre abonnement

14 commentaires sur ce sujet.
  • 24 octobre 2024 - 9 h 32 min

    Ca doit dépendre des banques. La mienne ne s’oppose pas à un prélèvement SEPA mais me prévient systématiquement s’il s’agit d’un premier prélèvement.

    Cependant je m’interroge : on parle de vol d’IBAN mais je me demande si ça ne cache pas aussi le vol des informations associées au mandat SEPA (le RUM notamment). Je vois que le mandat inclut les coordonnées du créancier mais je ne sais pas s’il inclut aussi l’IBAN du créancier. Si ce n’est pas le cas, le vol des mandats représenteraient un danger encore plus grand car encore moins visible, non ?

    Répondre
  • Koa
    24 octobre 2024 - 9 h 37 min

    Bon message de rappel à la prudence et à l’épluchage des prélèvements.
    Pour ma part, je conseille de créer un compte gratuit chez protonmail, et d’utiliser ensuite Protonpass, qui synchronise PC, portables, … vraiment très simple et bien chiffré.
    Je n’utilise plus que ça pour les mdp ainsi que les alias sur les sites où j’ai des doutes ^^

    Répondre
  • 24 octobre 2024 - 9 h 43 min

    Merci pour l’info Pierre, on va être plus vigilant…

    Répondre
  • 24 octobre 2024 - 11 h 07 min

    @mahikeulbody: Je ne sais pas exactement ce qui a fuité mais on est certain que l’IBAN complet est dans la nature pour certaines fuites. Ce qui pose un petit soucis puisque les méthodes de prélèvement de ce type sont disponibles.

    Répondre
  • Luc
    24 octobre 2024 - 18 h 10 min
  • 24 octobre 2024 - 18 h 43 min

    A quoi cela sert-il d’avoir créé un mandat de prélèvement SEPA si c’est pour passer outre ?
    Favoriser le business, réduire les effectifs de contrôle au sein des banques afin de gagner 3 francs 6 sous ?
    Qui trinque ? Toujours le même !

    Autre phénomène très pénalisant et dont les banques se moquent éperdument : les abonnements souscrits via carte bancaire.
    C’est très difficile à supprimer face à des margoulins qui vous baladent et une banque ayant toujours la réponse facile (mais ça se combat) : « fallait pas utiliser votre CB. »

    Une solution simple : utiliser paypal (qui permet de cocher et décocher indivuduellement les prélèvements) ou changer de banque.
    db

    Répondre
  • 24 octobre 2024 - 20 h 02 min

    Salut Pierre, dans certaines banques, on peut créer une liste blanche qui verouille les organismes autorisés à prélever.
    Exemple, pour le crédit mutuel cela se fait dans l’interface web du sociétaire. Pour boursobank, il faut voir cela directement avec un conseiller clientèle.

    Répondre
  • 24 octobre 2024 - 21 h 31 min

    Juste un rectificatif important: le délai de 13 mois est ramené à 70 jours lorsque l’établissement du bénéficiaire du paiement se situe en dehors de l’Union européenne ou de l’Espace économique européen (cf. Banque de France).

    Répondre
  • 25 octobre 2024 - 9 h 16 min

    C’est vraiment casse bonbons cette histoire de vol d’iban. Déjà depuis Ledger j’ai nom, prenom, adresse et téléphone qui se balade, maintenant l’iban.

    Après ton article j’ai vérifié. Faudrait que je pense a vérifier plus souvent.

    Répondre
  • 26 octobre 2024 - 13 h 27 min

    @@Pascal M: Merci pour l’info pour le Credit Mutuel
    C’est effectivement rassurant de voir qui peut prélever et de pouvoir bannir au cas où un intrut passe par là

    Répondre
  • 29 octobre 2024 - 14 h 24 min

    C’est au tour de free de perdre des iban.
    Par contre, je n’ai pas vu si c’est free mobile ou free.

    Répondre
  • 29 octobre 2024 - 22 h 52 min

    Dans mon cas j’ai remarque un prélèvement de 66 euros (Free téléphone) le 18/10. J’avais pourtant déjà été prélevé début octobre!

    Répondre
  • 30 octobre 2024 - 0 h 05 min

    @B Dh : les deux ! (d’après leur propre mail)

    Répondre
  • 31 octobre 2024 - 10 h 00 min

    Merci pour cet article !
    Intéressant, il y a en effet de quoi se faire avoir même en faisant des contrôles rapides de ses prélèvements

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *