Lecteur, consommateur, fan de droit bancaire ou de cybersécurité, cet article risque de vous retenir votre attention suite à une décision de justice récente. Cette décision redéfinit la fraude bancaire, un arrêté de la chambre commerciale de la cour de cassation oblige désormais une banque à rembourser ses clients qui ont été victime d’hameçonnage ou phishing en anglais. Si vous ne connaissez pas encore cette méthode pour arnaquer les gens, le phishing est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

Qu’est-ce qu’une attaque par phishing ?

Les attaques par phishing, également appelées par hameçonnage, trompent une victime en l’incitant à effectuer des actions qui profitent à l’attaquant. Ces attaques vont du plus simple au plus sophistiqué et peuvent être repérées lorsque l’utilisateur est correctement sensibilisé. Le « phishing » fait référence à une tentative de vol d’informations sensibles, généralement sous la forme de noms d’utilisateur, de mots de passe, de numéros de carte de crédit, d’informations sur les comptes bancaires ou d’autres données importantes pour pouvoir utiliser ou vendre les informations volées. En se faisant passer pour une source réputée avec une demande alléchante, un attaquant attire la victime pour la piéger, de la même manière qu’un pêcheur utilise un appât pour attraper un poisson.

Il existe plusieurs techniques de phishing comme par exemple :

• Fraude par avance de fonds : Cette attaque courante de phishing par e-mail a été popularisée par l’e-mail du « Prince nigérian » dans laquelle un prétendu prince nigérian dans une situation désespérée se propose d’offrir à la victime une grosse somme d’argent contre l’avance d’une petite somme initiale.
• Arnaque de désactivation de compte : En jouant sur l’urgence créée chez une victime qui pense qu’un compte important va être désactivé, les attaquants peuvent tromper certaines personnes en leur faisant remettre des informations importantes, telles que des informations de connexion.
• Escroquerie par contrefaçon de site web : Ce type d’escroquerie est généralement associé à d’autres escroqueries telles que l’arnaque de désactivation de compte. Dans cette attaque, l’attaquant crée un site web qui est pratiquement identique au site web légitime d’une entreprise que la victime utilise, une banque par exemple.

Qu’est-ce que ce nouvel arrêté de la cour de cassation change ?

Avant cette jurisprudence, se faire rembourser les sommes volées était une galère sans précédent. Depuis le 12 juin 2024n la chambre commerciale de la Cour de cassation a confirmé la décision du tribunal judiciaire de Béthune. Le tribunal avait ordonné au Crédit Mutuel d’Estaires (Hauts de France) de rembourser plus de 1500 euros à un couple victime d’une campagne de phishing. Le pauvre couple s’est vu arnaqué de cette somme qui a été prélevée sur leur compte bancaire suite à trois paiements fait à distance.

Les détails de cette affaire sont d’un grand intérêt car cette situation peut impacter n’importe qui. Mr X, la cible de l’hameçonnage a reçu un mail frauduleux qui l’invitait à activer une, soi-disant, nouvelle carte vitale. Mr X a mordu à l’hameçon car il pensait que le mail était vrai et a bien entendu donné ses coordonnées bancaires. Suite à cela, de l’autre côté, Mme X, la femme de Mr X, a reçu des demandes de confirmation de paiement sur son téléphone mobile. Mme X a du saisir le code confidentiel à six chiffres du compte bancaire par le biais du système 3D secure pour valider les paiements.

Je vous entends peut-être penser que cela ne vous arrivera jamais mais pensez une seconde à une affreuse journée comme des millions de français peuvent vivre actuellement. Dans ce rythme de fou il n’est pas souvent évident de faire la part des choses et mettre au second plan des aspects sécuritaires financiers car ils n’ont pas le même degré d’importance, la même priorité pour nous qui rêvons de calme et de sérénité.

Quelles sont les conclusions de la Cour de cassation ?

La bonne nouvelle est dans les conclusions de la Cour, profitez, c’est du droit et un délice pour les nous, les consommateurs : « ayant retenu, dans l’exercice souverain de son pouvoir d’appréciation des éléments de preuve qui lui étaient présentés, que si la banque soutenait que l’opération ne pouvait être liée qu’à la négligence de son client, ayant été réalisée par le biais d’un système offrant une protection spécifique liée notamment à l’utilisation d’un code à usage unique envoyé par SMS sur le téléphone du client, elle n’en rapportait pas la preuve, le tribunal, qui n’était pas tenu de procéder à une recherche sur le caractère suspect du courriel auquel Monsieur avait répondu, que ses énonciations rendaient inopérante ni à s’expliquer sur les éléments de preuve qu’elle décidait d’écarter, a légalement justifié sa décision. »

En clair, derrière cette longue phrase, son contenu judiciaire est très clair : il ne suffit pas à la banque d’affirmer une négligence pour la prouver. Champagne !

La Cour de cassation à clairement confirmé que le tribunal de Béthune avait correctement appliqué la loi en demandant à la banque de prouver la négligence de son client. Dans l’impossibilité de le faire, la banque était tenue de rembourser la somme totale volée. Cette décision que vous pouvez retrouver ici, met en avant l’importance pour les institutions financières de fournir des preuves vraiment solides en cas de litige et vient surtout renforcer la protection des consommateurs de plus en plus victimes de fraudes bancaires en ligne.

En conclusion la Cour de cassation a fait un excellent travail car les autorités se moquent très clairement de toutes ses campagnes de phishing. Je n’irais pas jusqu’à dire qu’ils ne font rien, juste que nous ne sommes pas clairement protégés contre ça et les victimes sont de plus en plus nombreuses. Par contre, je pense savoir que cela ne peut pas être évident pour tout le monde mais cessez de donner vos accès bancaires (et/ou autres informations) dès que vous recevez un mail ou sms qui vous parle d’un colis, une amende, une carte vitale, etc. Je compte sur vous pour redoubler de vigilance !

(Crédits photos de l’article : Depositphotos)