Abonnez-vous pour 1€

Attention à votre numéro de compte: des escrocs peuvent s’en servir pour passer une commande sur Amazon, Zalando…! (vidéo)

Vidéo
Attention à votre numéro de compte: des escrocs peuvent s’en servir pour passer une commande sur Amazon, Zalando…! (vidéo)

C’est une pratique qui pourrait vous faire perdre beaucoup d’argent en quelques secondes à peine. Elle a été mise en évidence par Approach, société belge spécialisée dans la cybersécurité, et rapportée par la RTBF : des escrocs peuvent commander et payer des articles en ligne en ayant simplement votre numéro de compte en banque IBAN.

Cette arnaque est possible sur des sites d’e-commerce allemands (comme Amazon.de ou Zalando.de) car ils autorisent le payement via la domiciliation SEPA. Il suffit ensuite d’introduire n’importe quel numéro de compte et la plateforme permet l’achat des articles sélectionnés, sans vérifications ultérieures pour s’assurer que l’acheteur et le titulaire du compte sont la même personne.

« C’est assez incroyable mais c’est possible ! Et ça montre bien qu’en cybersécurité les failles ne sont pas forcément très techniques, elles sont parfois très simples », explique au micro de nos confrères Pierre Alexis, consultant chez Approach. La société belge a réalisé un test et a pu se faire livrer une commande d’un montant de 200 euros. Elle a simplement utilisé le numéro de compte d’un employé, passer la commande sous un faux nom et… bingo !

Le paiement « SEPA » est répandu sur les sites en Allemagne mais pas chez nous (même si c’est en développement) ou en France. En Belgique, une entreprise peut retirer de l’argent directement sur le compte en banque d’une personne si et seulement si elle a obtenu un mandat signé par la personne en question l’y autorisant.

Néanmoins, il faut garder en mémoire que depuis 2009, c’est au marchand d’obtenir un mandat du client pour une domiciliation (avant 2009, c’était au client de contacter sa banque pour autoriser le prélèvement du marchand). « Depuis ce changement, une domiciliation SEPA permet à n’importe quel marchand d’aller retirer de l’argent sur le compte de n’importe qui. Ces marchands ne peuvent le faire qu’à condition d’avoir un mandat valide du titulaire du compte. Ce qui n’est pas du tout le cas ici. À aucun moment Amazon ne connaît l’identité du consommateur qui achète sur son site et ne récolte encore moins de signatures valides. C’est donc à la fois la faute de ces sites qui ne prennent pas les mesures de sécurité nécessaires pour récolter des mandats valides. Mais aussi la faute au standard SEPA qui ne vérifie pas que les commerçants disposent bien du mandat pour prélever sur un compte », précise Pierre Alexis.

Notre sélection vidéo