Comme promis, voici la suite de ma petite histoire. Intéressons nous maintenant aux causes de ce type d’affaires. Bien sûr, on n’empêchera jamais toutes les fraudes mais dans le cas décrit dans mon dernier billet, je ne peux pas m’empêcher de mettre en évidence quelques failles dans le système.
Les failles des agences bancaires face à l’usurpation d’identité
La technique de fraude utilisée met en évidence deux principales failles de sécurité imputables à la banque :
Envoyer dans un même courrier simple : le code confidentiel et le bon de retrait. Dans mon affaire, ça revient finalement à envoyer le code confidentiel et la carte bancaire ensemble. Le courrier est anonyme. Rien n’indique que c’est un courrier de la banque (mais paradoxalement ça donne un indice de l’importance du courrier…). Pour la Visa Premier, le fond du courrier est en couleur (en doré…). Est-ce que cela a joué dans l’interception de mon courrier ? Je ne sais pas. J’aurais peut-être des réponses, un jour, avec la suite de l’enquête de police (qui a dit que l’espoir fait vivre ?). Pour le moment, aucune nouvelle. Pour en revenir au processus d’envoi des cartes bancaires (ou des chéquiers), il faut aussi savoir qu’il diffère selon les banques ou le type de carte. La plupart envoie les cartes de retrait par courrier simple. D’autres envoient les chéquiers et les cartes bancaires classiques par courrier simple. Chacun en tirera les conclusions qu’il voudra.
Le manque de contrôle d’identité. C’est ce que je considère comme une faute grave car l’agence bancaire a été très laxiste en matière de contrôle d’identité. On pourrait penser que lors de la remise d’une carte bancaire une attention particulière est portée au contrôle de la pièce d’identité… Il semblerait que ça soit tout le contraire. Lors de l’ouverture d’un compte bancaire, la banque demande une carte d’identité ou un passeport. La banque possède donc une copie de votre document d’identité. À quoi sert-elle quand on voit le nombre de fraudes à l’ouverture de compte avec de faux papiers ? À quoi sert-elle quand n’importe qui peut aller récupérer votre carte bancaire avec un faux passeport alors que vous avez fourni à votre banque votre carte d’identité ? À rien (semble-t-il). Aucune vérification sérieuse n’est effectuée (ils n’ont même pas dû vérifier ma date de naissance sur le faux passeport). C’est comme la signature pour les chèques. On vous demande de faire une jolie signature pour vous identifier (et pas authentifier…). Mais la banque ne s’en sert pas pour contrôler sur le bon de retrait. Ni sur les chèques, si j’en crois de nombreux témoignages de victimes de vol de chéquier.
La majorité des agences bancaires ne semble donc pas respecter leur réglementation pourtant supposée assez restrictive. À lire cet excellent article sur le sujet. On y apprend des choses intéressantes. Quelques extraits :
Qui plus est, pour créer une personne physique « sans existence légale » ou des sociétés fictives, les investissements sont modiques : pour quelques centaines d’euros seulement, on trouve des matrices de cartes d’identité sur Internet ainsi que des « templates » de justificatifs de domicile, voire des « kits complets » dans lesquels sont inclus documents d’identité, titres de séjour, attestations de domicile (factures d’opérateurs téléphoniques, relevés EDF-GDF), bulletins de salaire et attestations employeurs, diplômes scolaires, ainsi que relevés d’identité bancaire, relevés de compte, bordereaux de dépôt de chèque…
Le cadre réglementaire existe au travers des devoirs de diligence imposés par le Comité de Bâle. Le plus important d’entre eux est le « Know Your Customer » (KYC), qui a un double objectif :
- s’assurer de la validité et de l’authenticité d’un document d’identité et des pièces justificatives de domicile ;
- contrôler que la personne est bien celle qu’elle prétend être.
Cependant, il appartient à chaque agence bancaire d’appliquer ces vérifications d’usage. Malheureusement, trop souvent, les chargés de clientèle ne sont pas suffisamment formés à la détection de faux documents. Ce n’est pas leur métier : beaucoup se contentent de vérifier les pièces d’identité à partir d’une simple photocopie – rendant impossible le contrôle des sécurités passives propres aux documents présentés (filigrane et non-fluorescence notamment) –, et cela une fois l’ouverture du compte réalisée. Or il existe des systèmes qui, automatiquement et en seulement 3 secondes, indiquent si un document est conforme ou non. 15 à 20 % des établissements bancaires français seulement en sont équipés. On peut d’ailleurs dresser une ligne de séparation entre pays latins et pays anglo-saxons : alors que la France, l’Italie et l’Espagne sont assez peu disciplinées dans ce domaine, et appliquent la directive a minima, la Grande-Bretagne, l’Allemagne, la Hollande et les pays scandinaves appliquent scrupuleusement ces obligations. Améliorer le contrôle d’identité dans les banques sur revue-banque.fr
Donc les obligations réglementaires existent (heureusement) mais sur le terrain on se rend rapidement compte que seul le minimum est mis en oeuvre. Manque de moyens ? Manque de sensibilisation ? Manque de formation ? Manque de volonté ? Manque de temps ? La sécurité coûte chère, même pour les banques. Elles préfèrent donc transférer le risque de fraude sur une assurance. Perdre du temps à vérifier un papier d’identité ou de comparer des signatures de chèques ne semble donc pas faire partie de leurs priorités.
Quoi faire alors ?
De nombreux témoignages sur Internet ou dans les médias traditionnels (je me rappelle d’un reportage d’Envoyé Spécial sur ce thème) ont largement démontré que l’usurpation d’identité est un véritable fléau aujourd’hui. Je ne rentrerai pas dans le débat lié aux nouvelles générations de papiers d’identité qui sont censées apporter une sécurité supplémentaire. Tout ce que je sais c’est que la biométrie n’aurait servi à rien dans le cas de la fraude dont j’ai été victime. Pourquoi ? Parce qu’un simple contrôle comparatif (la tête de l’escroc avec la photo de ma carte d’identité dont la banque a une copie) aurait suffi à démasquer le fraudeur. Pas besoin de haute technologie, juste d’une procédure simple, rapide et efficace. Je rajouterai même de bon sens.
Dans le cas des vols plus classiques de cartes ou de chéquiers, il faudrait peut-être penser à changer son fusil d’épaule et réfléchir à d’autres modes d’envoi de ces moyens de paiement. Privilégier les courriers recommandés ? Privilégier les envois directement à l’agence et l’envoi du code confidentiel par courrier recommandé (ou directement en agence) avec juste un e-mail ou un SMS indiquant au client qu’il doit se rendre à l’agence pour récupérer ces moyens de paiement ?
Dans tous les cas, la priorité est de renforcer les contrôles d’identité en agence bancaire. De la création de compte au retrait de carte bancaire en passant par les retraits d’espèces au guichet (ou les remises de chèques), ma petite expérience confirme une nouvelle fois (si je me fie aux témoignages publiés sur Internet par des centaines de victimes) que les moyens mis en place actuellement sont loin d’être suffisants.
Concernant plus globalement les fraudes aux cartes bancaires, j’insiste aussi sur le fait qu’il faut aller porter plainte. Même si ce n’est pas indispensable pour être dédommagé par la banque, il est important de montrer aux autorités l’importance des fraudes de ce type. Il me semble normal d’avoir, dans un Etat de droit, la possibilité pour une victime de porter plainte pour espérer un minimum de justice et ne pas donner aux fraudeurs en tout genre un sentiment d’impunité (qui reste assez vrai dans le cadre des délits commis sur Internet).
Etre victime d’usurpation d’identité peut transformer une vie en vrai cauchemar. Car ensuite, comment prouver son identité à la Justice ? Aux personnes qui vont vous réclamer de l’argent ? Usurper une identité en ligne est très simple. Usurper une identité dans la vie réelle n’est pas plus difficile. Internet a facilité l’achat de faux documents. La criminalité physique a rapidement trouvé en Internet un lieu de convergence avec la cybercriminalité. On trouve tout sur les forums cybercriminels : de la photocopie photoshopée (qui trompera déjà pas mal de services en ligne…) au vrai faux papier en passant par les justificatifs de domicile (facture de téléphone, d’électricité…).
Pour mon cas personnel, normalement je serai intégralement remboursé. Par contre, maintenant je sais que quelqu’un possède un faux document d’identité et qu’il peut usurper mon identité pour monter des arnaques et escroqueries en tout genre.
Et vous, que pensez-vous de ce témoignage ? Avez-vous déjà connu ce genre de fraudes ?
Que pensez-vous des mesures de sécurité mises en place par votre banque pour lutter contre l’usurpation d’identité ? Avez-vous des idées pour améliorer le système ?
Les envois à l’agence ? Non merci ! Je préfère garder mes 1/2 journées de RTT pour des vacances plutôt que pour aller dans ces établissements qui ferment à 17h30…
(Je dois encore avoir un chéquier qui dort depuis un an ou deux dans un tiroir de ma banque, que je ne suis jamais allé chercher…)
Renforcer les contrôles d’identité, c’est bien. Ne pas avoir besoin de contrôle d’identité du tout, c’est encore mieux.
Les banques directes sont une petite révolution sur ce point : un secret envoyé à l’ouverture du compte, avec lequel se connecter sur son compte en ligne, et voilà.
Les moyens de paiement sont envoyés par la Poste, et une fois reçus, il suffit de les activer sur son compte en ligne. Plus simple, et plus sûr.
Concernant les mesures de sécurité (au moins informatives) mises en place par la Société Générale, l’espace client contient désormais la section « Internet et vous ». Ces informations permettent de se renseigner sur les fraudes les plus fréquentes : phishing, spam, usurpation d’identité et autres types de menaces. Les numéros de services d’urgence sont également communiqués.
A voir si les vraies mesures de vérification d’identité sont appliqués dans les agences…
L’envoi en recommandé AR ou le retrait en agence est une nécessité. Reste le problème des faux papiers…
L’envoi en agence pose le problème des heures d’ouverture de l’agence comme dit plus haut. Cependant certaines banques le font. En belgique non seulement la banque le fait, mais en plus c’est le moment où on choisit le code secret de la carte (composé sur un clavier identique aux retraits chez les commerçants).
Pour le recommandé, quasiment toutes les banques le permettent, mais c’est payant…
Reste ce qui est utilisé par les banques en ligne, c’est à dire envoi de carte et code par courrier simple, mais carte bloquée, il faut passer par le site web de la banque pour la débloquer (exemple Boursorama : il faut entrer les 4 derniers chiffres de la carte).
Quand aux chèques, il est grand temps d’abandonner ce moyen de paiement coûteux, non sécurisé, qui ne sert à rien à part nous faire perdre du temps, au profit des virements comme nos voisins européens.
Rien que la semaine dernière, je dépose 5 chèques pour 100 € sur un compte professionnel. Le suivi du compte en ligne m’indique 2 jours plus tard 200 € de dépôt. Après prise de contact, le guichetier à qui j’avais remis les chèques avait inclus un 6ème chèque, destiné à un autre client de la banque… Donc non seulement l’endossement était différent, mais l’ordre aussi. C’est dire la qualité des procédures…
Du temps où j’étais à la banque postale, il suffisait de faire une croix en guise de signature sur les chèques pour qu’ils passent, alors que les virements eux étaient trop vérifiés, ma signature (qui n’est pas exactement identique à chaque fois), ne leur convenait pas et mes virements me revenaient refusés… Pratique quand on a des factures à payer.
Enfin, et pour finir sur les banques françaises, c’est la totalité de leurs procédures de sécurité qui sont ridicules et inefficaces, en partant des claviers virtuels sur les sites qui n’empêchent aucun phishing mais font simplement chier tous leurs clients, jusqu’à la gestion des prélèvements automatiques, une banque en ligne par exemple me confirmait dernièrement que toute demande de prélèvement automatique était autorisée si elle émanait d’une entité avec un numéro national d’émetteur, même si le client de la banque n’avait jamais envoyé d’autorisation de prélèvement, car « vous comprenez les gens ils oublient d’envoyer l’autorisation » et « si vous avez donné le RIB c’est que vous voulez être prélevé » (info : le RIB n’est pas une info confidentielle et devrait pouvoir être communiquée publiquement sans risque). N’est-ce pas rassurant ?
Plus d’un an plus tard, force est de constater que la situation sur le terrain reste toujours problématique. On peut légitimement penser que la formation du personnel d’agence reste très incertaine…
Deux expériences personnelles récentes :
– Je me déplace à la Caisse d’Epargne, ayant perdu les codes d’accès à mon compte. Je donne mon nom et mon numéro de compte. Mon interlocutrice m’imprime sur le champs les nouveaux codes d’accès et je repars de l’agence :)… A sa défense (et au contraire pour charger la banque), c’était une employée fraîchement arrivée pour l’été.
– Plus proche de ce que décrit cet article, je me déplace au Crédit Agricole (qui m’a prévenu par téléphone) pour récupérer ma nouvelle carte bancaire. On me donne ma carte et on me fait signer un contrat porteur. Zéro contrôle d’identité. Le code secret est envoyé séparément par voie postale (courrier simple).
La véritable explication est certainement économique : les banques souscrivent les assurances nécessaires, la formation demande un effort important…pourquoi aller se compliquer la vie ?
Quant au ressenti du client ? Là c’est peut être autre chose.
Bonjour ;
Je me présente moi c’est LOUIS DUARTE la plus part de ceux qui se disent prêteurs sont tous des escrocs je suis a la recherche de prêt ça fait 5 mois je me suis fait escroqué par les genres. Mais actuellement moi j’ai visité un site d’annonce de prêt entre particulier sérieux partout dans le monde et j’ai connu une dame formidable, du nom de Mme ROSE de nationalité Française qui aide toute personne habitant la France, et suisse Belgique , Martinique, Guadeloupe, Réunion , Nouvelle Calédonie, Honolulu , la Polynésie et autres en leur faisant des prêts et qui m’a accordé un prêt de 60.000€ que je dois rembourser sur 20ans avec un très faible intérêt de sa part soit 3% sur toute ma durée de prêt et là le lendemain matin j’ai reçu l’argent sans protocole. Besoin de crédit personnel , vos banque refuse de vous accordez de prêt, vous étés en CDI et autre de vous adressez à lui et vous serrez satisfait mais attention à vous qui n’aimez pas rembourser les prêts. J’ai vite décidé de publier sont é-mail pour vous mettre en contacte avec l’agence du bon prêteur qui ma sauvé. Voici son e-mail :roselapache@yahoo.fr
Mon cas est différent, on a usurpé mon identité mais comment le prouver ???? il y a quelqu’un qui a passé des commandes à mon nom, je ne comprends pas comment ils ont pu avoir mon numéro de téléphone ni mon adresse qui n’était pas vraiment exact, même le policier qui m’a convoqué m’a dit qu’il n’y avait pas que mon nom mais on est plusieurs, et la personne qui a été escroqué à porter plainte contre inconnue, mais le fait d’être soupçonnée ça change la vie, surtout quand on sait qu’on a rien fait mais ça nous touche au plus profond. je ne comprends pas comment on peut accéder à tes coordonnées personnelles.
Notre Start-up va bientôt proposer un prototype d une application web anti usurpation d’identité pour les banques au service des clients
Une véritable assurance anti usurpation d’identité.