© Thinkstock

PC banking piraté : la faute aux utilisateurs ?

Depuis une dizaine de jours, un logiciel malveillant sévit sur internet et vide les comptes en banques des utilisateurs des systèmes de PC bankings des grandes banques belges.

Plusieurs clients de Dexia et ING, un nombre restreint selon les banques, auraient vu leur compte se vider à 90 % lors d’une transaction bancaire.

Les banques BNP Paribas Fortis et la KBC parlent, quant à elles, de quelques signalements de clients qui avaient repéré quelque chose d’inhabituel au cours de leurs transactions mais réfutent la moindre perte financière.

Quelques dizaines d’utilisateurs ont subi un préjudice pour un total des dommages qui se chiffre à quelques milliers d’euros, selon la Fédération belge du secteur financier (Febelfin). « Le nombre de fraudes reste limité, compte tenu de la quantité d’opérations de banque par internet: en 2010, on dénombrait ainsi quelque 500 millions d’opérations, effectuées par presque 7 millions d’utilisateurs », souligne toutefois la Fédération.

En effet, selon Olivier Bogaert, commissaire à la police judiciaire de Bruxelles en charge des nouvelles technologies, ce sont les utilisateurs eux-mêmes qui ont commis une erreur et non les banques. « Ce logiciel malveillant fonctionne comme beaucoup d’autres », explique Olvier Bogaert, « il demande à l’utilisateur de télécharger un plugin via les réseaux sociaux. Une fois installé, le logiciel se réveille lorsque le PC banking est actif. Une fenêtre pop up surgit et demande une signature électronique via le digipass. L’utilisateur envoie alors aux pirates une signature à jour avec laquelle ils pourront transférer l’argent des comptes ».

Ce sont donc les utilisateurs non avisés ou imprudents qui sont les premières victimes de ce malware. Pour éviter d’être infecté, les mises à jour sont essentielles, explique Olvier Bogaert. « Les gens reviennent de vacances et vont sur internet sans faire les mises à jour nécessaires. Or il est très important de mettre à jour immédiatement les anti-virus, mais également de mettre à jour les logiciels installés sur les ordinateurs pour supprimer les failles sécuritaires », ajoute-t-il.

Les PC banking belges assez sécurisés ?

Selon Oliver Bogaert, les systèmes de sécurité belges qui utilisent des digipass et qui obligent l’utilisateur à avoir sa carte de banque avec lui sont beaucoup plus sûrs que les systèmes de certains pays qui nécessitent seulement un nom d’utilisateur et un mot de passe et qui peuvent être très facilement piratés.

Il préconise donc un renforcement de la prévention auprès des utilisateurs « qui ne sont pas nés avec internet et qui n’ont donc pas toujours les bons réflexes et peuvent être imprudents. »

Les banques pourraient également être amenées à modifier leur système de sécurité en diminuant le temps de latence et en augmentant le nombre de codes.

Les institutions financières belges examminent actuellement toutes les fraudes au cas par cas. Si l’utilisateur est resté vigilant et s’il a suivi ces conseils et effectué ses opérations de paiement en toute bonne foi, « il sera indemnisé pour le préjudice subi », a annoncé Fevelfin.

La Fédération rappelle encore que si les institutions financières prennent de très nombreuses dispositions pour garantir la sécurité de leurs systèmes de PC banking, la sécurité « ne peut toutefois être garantie que moyennant la collaboration de l’utilisateur lui-même ».

« La banque doit indemniser le client »

Test-Achats, l’organisation de défense des consommateurs, s’insurge contre l’idée que l’utilisateur d’aujourd’hui est censé être un spécialiste en informatique qui est capable de reconnaître d’éventuelles tentatives de fraude. « Nous n’admettons également pas que les banques accusent de relative négligence un consommateur qui n’a pas mis à jour son anti-virus et refusent dès lors toute indemnisation », selon l’organisation de consommateurs. « Chaque consommateur doit faire preuve de la prudence nécessaire mais il ne doit en aucun cas supporter le risque technologique lors de l’utilisation du PC Banking. »

D’après Test-Achats, la banque est toujours responsable, en raison de la loi sur les transferts électroniques d’argent, pour la non-exécution ou manque d’exécution de transactions et pour les transactions qui sont exécutées sans l’autorisation du propriétaire. « La banque doit indemniser le client pour chaque transaction qui est exécutée à tort », selon Test-Achats.

Le Vif.be, avec Belga

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire