Comment combattre les fraudes en ligne ?

Contenu sponsorisé

Écouter cet article

Les fraudes financières évoluent rapidement. Mais quels sont les défis spécifiques auxquels les institutions financières sont confrontées ? C’était le sujet du dernier épisode du podcast Evergreens by Spuerkeess, désormais disponible sous forme d’article.

Pour ce premier épisode d’un hors-série de trois, Bryan Ferrari, hôte du podcast, discute avec ses trois invités des méthodes de prévention et de détection de fraudes, du rôle clé de l’ABBL dans ce contexte et des opportunités et risques liés à l’utilisation de l’IA.

Camille Seillès est Secrétaire général de l'Association des Banques et Banquiers Luxembourg (ABBL). Il est membre du Conseil économique et social du Grand-Duché de Luxembourg et du Comité consultatif pour la réglementation prudentielle auprès de la Commission de Surveillance du Secteur Financier. Steve Muller est Spécialiste en cybersécurité au ministère de l’Économie. Il occupe le poste de Conseiller technique et formateur chez BEE SECURE, mettant l'accent sur la sensibilisation à la sécurité à travers diverses initiatives éducatives. Serge Wagener est Vice-President et Head of Business Unit Payments chez Spuerkeess.

Bryan Ferrari (Host) : L’épisode d’aujourd’hui parle de cybersécurité. Selon ce qu’on lit dans les journaux, les cas de fraudes augmentent. Est-ce vraiment le cas ?

Steve Muller : À la helpline de BEE SECURE, on voit que les chiffres augmentent. D'un autre côté, il faut se poser la question de savoir si c'est dû à plus de cas de fraude ou si c’est la visibilité de notre helpline qui augmente. Mais d’après ce qu’on voit avec nos partenaires – le parquet, la police et ainsi de suite –, je dirais que les cas augmentent rapidement.

Bryan : Ça, c’est au niveau du client retail. Observe-t-on aussi une tendance au niveau des institutions ?

Camille Seillès : Le nombre de cas de phishing signalé à la police a fortement augmenté entre 2020 et 2023. En 2020, on avait 28 affaires, c'était il y a 4 ans. En 2023, on en a 1310. C’est un chiffre qui vient du ministère de l’Intérieur.

Camille Seillès

Bryan : Peut-être qu’on peut parler plus en détail du phishing. Qu’est-ce que le phishing et quelles sont ses principales caractéristiques ?

Serge Wagener : Le phishing est le cas de fraude le plus fréquent. Pour le fraudeur, le chemin royal est d'obtenir le mot de passe et toutes les données du client pour pouvoir le personnifier. Je fais partie d'une association bancaire avec laquelle on a fait une taxonomie pour en structurer les formes. On en a catégorisé une vingtaine : phishing, manipulation ou simplement vendre quelque chose qui n'existe pas. Faux investissements, extorsion ou manipulation émotionnelle, tout y passe.

Bryan : Qu’est-ce qu’un cas typique de phishing ?

Serge : D’abord, le client est contacté – ça peut être par SMS ou par contact téléphonique – et manipulé de sorte que tout doucement, il ait confiance en sa contrepartie. Le but est de lui soutirer des informations – données confidentielles et accès à ses comptes S-banking – et idéalement de lui faire faire une opération qu'il n'aurait jamais fait.

Bryan : Comment ces fraudeurs arrivent-ils à avoir accès aux adresses des clients ? Y a-t-il une faille dans le système ?

Steve : On a de tout. Aujourd'hui, l'adresse électronique n’est plus une information privée. On la fournit partout. Donc obtenir une liste de personnes avec leur adresse électronique, c'est assez simple. Sur le fameux Darknet, on peut même en acheter. De plus, avec toutes les fuites de données qu’on a, il peut y avoir des criminels qui reçoivent non seulement les adresses e-mails en tant que listes, mais aussi tout un tas d'informations supplémentaires. Quand ce sont les informations d’un client chez une entreprise, les criminels peuvent pratiquer du phishing encore plus plausible parce qu'ils vont utiliser des informations qu'en théorie uniquement le client, respectivement l'entreprise, peut connaitre. Maintenant, le phishing, bien sûr, va au-delà de ça. Ce n’est pas uniquement avoir ces informations, mais aussi avoir accès à votre boîte mail ou réseau social et se faire passer pour un proche en qui la victime a confiance.

Bryan : Donc il y un lien direct avec les Data Breaches ? Si on voit qu’une entreprise chez qui on a un compte a été piratée, on devrait changer tous nos mots de passe.

Steve : Absolument. Si une telle fuite est connue, il faut s'attendre à ce genre de phishing et à toutes sortes de manipulations. Par exemple, si maintenant votre fournisseur d'électricité se fait arnaquer, qu’il y a une fuite de données, attendez-vous à recevoir un mail ou même du courrier falsifié de la part de votre soi-disant fournisseur d'électricité qui va vous dire qu’il existe une facture non payée.

"Pour le fraudeur, le chemin royal est d'obtenir le mot de passe et toutes les données du client pour pouvoir le personnifier."

Serge Wagener, Spuerkeess

Bryan : Comment les institutions financières font face à ces défis ? Quelles sont les nouvelles ou futures mesures mises en place pour contre-attaquer ?

Camille : On peut partir du constat que malgré l'utilisation de nouvelles technologies et une sophistication plus poussée, c'est le facteur humain qui est toujours là. Ça passe donc par une sensibilisation du grand public. C'est là-dessus, à notre sens, qu'on peut et qu'on doit travailler. À l’ABBL, on a une fondation en matière d'éducation financière, qui a lancé un site dédié qui s'appelle « Sécher am Internet » où on trouve des tuyaux pour bien se comporter et éviter les pièges en ligne. On peut réfléchir aussi à des campagnes de sensibilisation au grand public. La mise à disposition d'outils dédiés avec une assistance téléphonique anti-fraude – le 491010. Puis, il y a aussi bien sûr la formation du personnel bancaire, plus largement en ce qui concerne la lutte contre la criminalité financière. Car après, ces criminels chercheront à réinjecter cet argent illégitime dans les circuits légitimes. Ça, ça touche toute la lutte contre le blanchiment d'argent.

Bryan : Au sein d’une banque, j'imagine que ça n’enlève pas de lourdeur…

Serge : C'est évident. Les clients s'attendent à ce que les paiements soient exécutés de plus en plus rapidement, donc la vitesse avec laquelle une fraude peut s'organiser augmente. On doit alors investir dans des mécanismes de plus en plus sophistiqués pour détecter des fraudes. On a des mesures où pour certaines opérations, on interrompt le flux automatique pour appeler un client et lui demander de confirmer son paiement. Dans pas mal de cas, cela permet à déjouer une fraude. Mais c’est extrêmement difficile de déterminer jusqu'à quel point on peut aller pour interrompre le flux normal et embêter les clients pour des paiements qu'ils veulent effectivement faire. Par contre, ce qu'on ne va jamais faire lors de ces appels, c'est lui demander des informations supplémentaires. C'est simplement la question : "Est-ce que vous voulez vraiment faire cette opération ?" Oui ou non – that’s it. Les arnaqueurs jouent notamment là-dessus. Le client est contacté et ils le mettent dans un état émotionnel de stress. Après, ils lui disent qu’il doit résoudre tel ou tel problème en partageant des informations supplémentaires. Lorsqu’un client remet sa voiture au garage pour réparation, il trouve que normal de ne pas participer à la réparation de la voiture. Ici, lorsque quelque chose cloche dans une opération, la banque ne va jamais demander de l'aide au client ou lui demander de participer à rectifier quelque chose. La banque a tous les outils pour le faire de son côté.

Camille : L'accélération des flux monétaires est un point d'attention. La semaine dernière, j’étais à une conférence en matière de criminalité financière, où un constat a été fait qui à mon sens est très parlant. Il dit que les criminels travaillent à la vitesse de l'argent et que nous, les autorités et acteurs du marché, à la vitesse du droit. Comment faire en sorte que le cadre juridique accompagne l'accélération des flux financiers ? Une piste de réflexion qui est déjà assez avancée, c'est l'échange d'informations, que ce soit entre autorités et acteurs du marché ou entre acteurs du marché entre eux. On a parlé du cadre européen en matière de paiement qui continue d'évoluer. Celui-ci exigera prochainement que les prestataires de services de paiement échangent des informations et des données en matière de fraude. Ça marche déjà dans certains pays. J'ai en tête les Pays-Bas, où un tel système est en place. Ça a permis de réduire de près de 80 % le nombre de virements frauduleux.

Bryan : Ça, c'est pour les institutions financières. Qu’en est-il des entreprises normales ou des PME ?

Steve : Pour les PME, c'est plus difficile parce qu’elles n'ont a pas de réglementation. Les PME ne sont forcées à rien. Pour cette raison, elles n’ont pas de cadre. Pour chaque PME, ça dépend de son directeur. Si le directeur s’y connaît un peu ou est sensibilisé, il va peut-être faire quelque chose. Mais malheureusement la plupart des directeurs ne le sont pas. Après tout, ce ne sont pas des spécialistes en informatique.

Bryan : Donc les institutions financières, grâce au cadre réglementaire, sont mieux équipées. Mais qu’est-ce qui pourrait être encore amélioré ?

Steve : Pour moi, il serait bien de sensibiliser les personnes privées, parce que ce sont les personnes privées qui travaillent dans ces boîtes-là. Ce n'est pas une tâche qui devrait être donnée aux entreprises mêmes. J'entends souvent que les gens ont perdu toute confiance dans les infrastructures financières. C’est possible, oui, mais on doit quand même faire avec. Donc, moi, je suis plutôt d'avis qu'il faut réconforter ces gens-là et leur montrer que le monde n’est pas juste mauvais, mais comment reconnaître ces tentatives avec des exemples.

Serge : De notre côté, on investit aussi dans la technologie. Une des pistes que toute l'industrie va mettre en place l'année prochaine, ça c'est la vérification du bénéficiaire. Lorsque le client voudra faire un virement, la banque du bénéficiaire confirmera la correspondance entre le numéro de compte et le nom du titulaire du compte. Ça devrait donner une sécurité supplémentaire. De plus, les outils qui nous permettent d'analyser les données et le cas échéant de détecter des fraudes deviennent de plus en plus sophistiqués. Et puis, last but not least, l'intelligence artificielle qui va venir s’y rajouter.

"Les criminels travaillent à la vitesse de l'argent et les autorités et acteurs du marché à la vitesse du droit."

Camille Seillès, ABBL

Bryan : On travaille la prévention et une fois que l’argent est dans le système, d'autres mesures permettent d'arrêter ce blanchiment… N’est-ce pas, Camille ?

Camille : Bien sûr. La manière dont une banque travaille, gère ses risques, les appréhende, est normée par un cadre européen et le système qu'on appelle les « trois lignes de défense », où chaque acteur bancaire a son rôle à jouer dans la détection. D’abord, ceux qui sont en contact direct avec la clientèle. C'est à eux, sur base de leur connaissance des clients, du terrain, de remonter sans délai les activités inhabituelles. Pour cela, ils peuvent compter sur ce qu'on appelle la deuxième ligne de défense : le département des risques et contrôles, qui s'assure qu'il y ait une mise en œuvre efficace des contrôles sur le terrain. L'audit interne donc, qui repasse derrière en quelque sorte, qui vérifie, évalue que les processus de contrôle sont solides et répondent bien aux exigences. Après, il y a l'auditeur externe qui a son rôle à jouer dans l'appréciation de la robustesse des contrôles au sein de la banque. Puis, tout à la fin, vous avez les autorités de surveillance. Au Luxembourg, c'est la commission de surveillance du secteur financier qui intervient à deux niveaux : il y a les contrôles annuels sur une base déclarative de la banque à qui on demande d'évaluer par elle-même la robustesse de son cadre interne et les visites sur place. À intervalle régulier, la CSSF donc vient à la banque et fait donc un audit du cadre en place.

Bryan : Ça a l’air lourd tout ça… Pour amener un peu de légèreté au débat, est-ce que vous avez des exemples de fraude qui vous ont surpris récemment ?

Steve : Sur la helpline BEE SECURE, une des plus grandes arnaques qu’on entend, c'est tout ce qui est achats en ligne. Ensuite, on a ce qu'on appelle l’arnaque par la romance. Les victimes sont des personnes seules qui cherchent un nouveau partenaire en ligne. Là, il y a des gens qui se font passer pour quelqu'un qui est romantiquement intéressé, mais qui en fait a pour seul but de leur voler leur argent. Puis on a de plus en plus de gens qui se font passer pour quelqu’un d’autre. La banque qui vous appelle et qui vous dit qu’il y a un problème avec un virement et que bientôt vous recevrez une demande sur votre App LuxTrust que vous devrez signer. Le gens se disent que comme ça passe par le système LuxTrust, qui est sécurisé, c’est bon.

Steve Muller

Serge : Un exemple qui m’a impressionné par son efficacité et son impudence plus que par son ingéniosité est le suivant. Les fraudeurs ont approché le client par phishing classique – email ou appel téléphonique. Ils ont échangé, se sont fait passer pour la banque et ont expliqué qu'ils avaient vu que le client avait fait telle opération, mais qu'il y en avait aussi d’autres, demandant si c’était le client qui les avait faites aussi. Forcément non, parce que ces opérations n'existaient pas. C'était un vendredi à onze heures du soir. Ils ont fait leur prestation d’illusionniste et ils sont arrivés à convaincre le client qu'il devait remettre aussi bien son token LuxTrust que toutes ses cartes avec tous leurs codes PIN, emballés dans un sachet plastique, et qu’il y aurait un employé de la banque qui viendrait tout chercher à son domicile. Effectivement, quelqu'un qui s'est présenté, un jeune quelconque. Le client a tout remis. Bien évidemment, les cartes ont été utilisées jusqu'à la limite. Dans un tel cas, on ne peut que recommander aux clients de tout arrêter, d’appeler le 491010 pour bloquer toutes leurs cartes et le certificat LuxTrust. C'est un moyen d'urgence, mais réside dans la vitesse avec laquelle on réagit.

Bryan : Le premier réflexe du client devrait aussi être de se dire que, si le message arrive autre part que par l’application bancaire, c’est suspect ?

Serge : C'est un indice très fort, oui. On ne contacte jamais les clients par email.

Bryan : Pour conclure, à l’avenir, comment combattre les fraudes ?

Camille : On a parlé de la rapidité, de la créativité des fraudeurs. La valeur ajoutée qu'on peut espérer apporter dans cette situation là en tant qu'association bancaire, c'est l'échange de bonnes pratiques entre membres. On a divers groupes de travail en matière de cybersécurité, en matière de phishing plus particulièrement. Je pense que l'échange d'informations entre acteurs est primordial, puisque certains sont confrontés à des scénarios peut-être encore inédits, et donc une sensibilisation précoce de leur paire fait tout son sens, et à charge à chacun après de répercuter ces informations-là vers le plus grand public, où là des outils existent pour encore être développés à l'avenir.

Bryan : Le mot clé, c'est sensibilisation, prudence…

Serge : Et bonne dose de méfiance envers des situations qui sont a priori fortuites.

En collaboration avec 
Pour ne rien manquer, inscrivez-vous à la newsletter.

Pour finaliser l'inscription, clique sur le lien indiqué dans l'e-mail que nous venons de t'envoyer. Vérifie également ton dossier de courrier indésirable ou spam, en cas de doute. La mise à jour de ton profil Journal peut prendre quelques minutes.

Une erreur est survenue lors de ton inscription à la newsletter. Tu peux nous contacter à abo@journal.lu.

Suivant

"Le verre à moitié plein"