Faux SMS d'Ameli et détournement d'Apple Pay : comment un couple s'est fait voler plus de 3.700 euros

Mi-août, Guillaume et Laura sont tombés dans le piège de malfaiteurs qui se faisaient passer pour l'Assurance Maladie. Non seulement les malfrats ont réussi à récupérer les informations de leur carte bancaire, mais ils ont en plus réussi à les intégrer dans un iPhone grâce à Apple Pay. Ils ont ainsi dépensé plus de 3.700 euros dans des commerces, sans que la banque ne détecte la fraude. Mais cette dernière refuse de rembourser le couple, sous prétexte que les dépenses ont été effectuées depuis un iPhone, et qu'elles sont dues à une erreur de leur part. Témoignage.
François Manens
Les escrocs sont passées par Apple Pay pour effectuer 3.700 euros d'achat. avec la carte de Guillaume et Laura.
Les escrocs sont passées par Apple Pay pour effectuer 3.700 euros d'achat. avec la carte de Guillaume et Laura. (Crédits : MIKE SEGAR)

Arnaques au CPF, faux messages des impôts, phishing au colis... Le flot de SMS frauduleux destinés à dérober des informations bancaires paraît ininterrompu. A chaque nouvelle campagne, les malfaiteurs ciblent des milliers de personnes, et ils réussissent leur coup pour peu qu'une poignée de leurs cibles se laisse piéger.

La Tribune a recueilli le témoignage de deux d'entre elles, Guillaume et Laura [les noms ont été changés, ndlr]. Courant août, ce couple, pourtant sensibilisé aux enjeux de la cybersécurité, a mordu à un faux message de l'Assurance maladie, et donné non seulement ses informations de carte bancaire mais aussi un code à six chiffres. Ce dernier a permis aux malfaiteurs d'activer Apple Pay sur un iPhone en leur possession, et de dépenser plus de 3.700 euros en achats sur le compte de Guillaume.

Face aux protections contre la fraude en ligne toujours plus renforcées, les cybercriminels ont donc trouvé un nouveau moyen de vider le compte de leurs victimes. Et pour l'instant, ni les banques ni Apple ne couvrent ce risque d'arnaque, estimant que l'erreur de la victime est trop importante...

Trois minutes d'inattention suffisent

Le 15 août au matin, Guillaume et Laura sont au camping avec leurs deux enfants en bas âge, lorsque cette dernière reçoit un SMS (ci-dessous) : l'Assurance maladie la prévient que sa carte vitale est enfin disponible ! C'est un véritable soulagement pour la trentenaire : elle attend ce renouvellement depuis quatre mois, car la puce de son ancienne carte ne fonctionnait plus. « Faites impérativement votre demande avant le 17/08/2022 », ordonne le message, en dirigeant vers un site web. « Je me suis quand même dit qu'ils étaient gonflés. J'attends plus de trois mois, par contre eux se permettent d'exiger une réponse sous deux jours ?! », se souvient Laura.

Phishing Ameli

Puisqu'elle n'a pas sa carte sur elle, elle se tourne vers son mari, Guillaume. Il lui dicte son numéro de carte, elle entre son prénom, son nom et son adresse puis elle appuie sur la touche envoyer. « J'étais étonné qu'on me fasse payer pour l'envoi de ma carte vitale, mais le site ressemblait à une plateforme de livraison classique, comme on en voit sur les sites de vente, avec différentes options d'envoi. J'ai choisi celle à 95 centimes », regrette-t-elle.

Pour conclure la transaction, on lui demande d'envoyer un code à 6 chiffres. Guillaume le reçoit dans la foulée, dans un SMS en provenance d'un canal utilisé par la Banque Populaire, où le couple a ses comptes. Il ouvre rapidement le message et lit les 6 chiffres affichés, sans faire attention au reste de la phrase. En l'espace d'à peine trois minutes, le couple, pourtant sensibilisé aux bases de la cybersécurité, a fait une succession d'erreurs qui va lui coûter plus de 3.700 euros. Des erreurs « évidentes » de leur propre aveu, mais plus courantes qu'on le croit. En 2019, Orange estimait à 2 millions le nombre de Français victimes de phishing chaque année, et avec l'augmentation du nombre de campagnes de messages frauduleux pendant le covid, ce nombre a certainement explosé. Il suffit de quelques minutes d'inattention de la part des victimes ou d'une étourderie passagère -comme ce matin d'août- pour que les malfaiteurs s'engouffrent et réussissent leur coup.

3.700 euros dépensés dans des PMU

Deux jours après cet épisode, le couple toujours en vacances cherche à acheter en ligne des places pour un parc d'attractions, mais le paiement avec la carte de Guillaume est refusé. Dès l'ouverture de son agence bancaire le lendemain, il appelle une conseillère, qui lui apprend que les transactions en ligne sont bloquées car le service des fraudes a des suspicions sur l'activité du compte.

La conseillère n'évoque alors qu'une tentative d'opération de quelques dizaines d'euros... que le couple confirme avoir effectué. C'est le lendemain - quatre jours après le phishing réussi - que la catastrophe se révèle. Le service des fraudes de la Banque Populaire joint directement Guillaume, et lui demande s'il a effectué des achats à Toulouse, soit à plusieurs centaines de kilomètres de l'endroit où il passe ses vacances...

Dans la foulée, le couple fait opposition sur sa carte, et déclare l'incident sur Perceval, la plateforme officielle de signalement pour les fraudes à la carte bancaire. Mais c'est trop tard, le mal est fait. Le lendemain et les jours suivants, plus de 3.700 euros de dépenses apparaissent sur le compte de Guillaume : les malfrats ont atteint le plafond bimensuel de 4.500 euros autorisé par sa carte.

Leurs achats, datés du 18 août et compris entre 100 et 400 euros, ont en majorité été effectués dans des bars PMU ainsi que dans une poignée de magasins comme Sephora. Une question se pose alors : comment les malfaiteurs ont-ils réussi à faire des achats à l'autre bout de la France, alors que la carte bancaire n'a pas quitté le portefeuille de Guillaume et que les transactions en ligne étaient bloquées ?

Les arnaqueurs utilisent Apple Pay

Pour répondre en partie à cette énigme, il faut remonter au soir du phishing. Lorsque Guillaume a dicté le code de validation envoyé sur son smartphone, il n'a pas lu la suite du message, pourtant essentielle : « 111111 (valable 30mn) pour activer la carte XXXX-1111. Ref 111 » [ndlr : tous les chiffres ont été remplacés par des 1].  Ce SMS cryptique s'avère être un code d'activation du service de paiement Apple Pay. Autrement dit, Guillaume a involontairement validé l'utilisation de sa carte bancaire sur un iPhone en possession des malfaiteurs.

Pour rappel, Apple Pay permet de payer avec son iPhone sans contact. Une fois la carte enregistrée, il suffit de valider chaque utilisation avec l'authentification biométrique (Face ID ou Touch ID) ou le code PIN du smartphone. Sur sa page dédiée, la Banque Populaire vante les avantages du service : l'application ne stocke pas les données de la carte sur l'appareil et ne les transmet pas au moment du paiement.

« Chaque paiement Apple Pay fait l'objet d'une demande d'autorisation systématique vers votre banque », complète la banque. Autrement dit, même en cas de vol de smartphone, Apple Pay ne devrait ni être utilisable ni fuiter les informations de carte bancaire de la victime. L'utilisateur peut aussi bloquer le service à distance si l'appareil est connecté à son compte iCloud.

Puisque le service est reconnu pour sa sécurité, les banques définissent le plafond des paiements par Apple Pay bien au-dessus de ceux du paiement sans contact classique. Concrètement, un client de la Banque Populaire avec une carte Visa ne pourra payer que jusqu'à 50 euros en sans contact avec sa carte, et il devra dans tous les cas rentrer son code PIN au bout d'un certain nombre de transactions.

Parallèlement, il pourra payer jusqu'à au moins 400 euros - d'après les relevés de compte de Guillaume auxquels nous avons eu accès - en une fois avec Apple Pay, même s'il est mentionné dans les conditions générales d'utilisation du service que le plafond est « généralement limité à 300 euros maximum par opération de paiement en France ». Grâce à cette absence de filet, les arnaqueurs ont multiplié les dépenses de plus de 100 euros avec Apple Pay, jusqu'à atteindre le plafond bimensuel de la carte, à 4.500 euros. Puisque les victimes avaient réalisé quelques dépenses au début du mois, les voleurs n'ont récupéré « que » 3.700 euros...

Une victime peut-elle faire l'erreur de trop ?

« Quand je refais le scénario, c'est 100% de ma faute », reconnaît avec amertume Guillaume. Avec un œil alerte, le piège paraît évident : le message provient d'un numéro de téléphone portable (il commence par un 06) et il contient un lien plus que louche. De même, avec du recul, la situation dans son ensemble aurait dû l'alerter : non seulement l'Assurance maladie demanderait de payer les frais de livraison, mais en plus elle passerait par un site tiers ?

« L'Assurance Maladie ne demande jamais la communication d'éléments personnels (informations médicales, numéro de sécurité sociale ou coordonnées bancaires) par e-mail en dehors de l'espace sécurisé du compte Ameli. Tous les messages de ce type en dehors de l'espace du compte Ameli sont des tentatives de phishing », rappelle l'organisme dans son message de prévention suite à la campagne de phishing massive de cet été.

Guillaume aurait aussi pu se rendre compte de la supercherie lors du paiement. Normalement, il valide ses transactions en ligne avec Sécur'Pass, le système de vérification - biométrique ou doté d'un code à quatre chiffres - de la Banque Populaire, accessible dans l'application. « Cela fait plus d'un an que je ne valide plus mes achats par SMS. Je le sais, et pourtant je n'ai pas fait plus attention que ça au message. D'ailleurs, quand nous avons été alertés de la fraude, je n'avais aucun souvenir d'avoir entré un code », raconte-t-il.

Pour couronner le tout, il n'a pas vu l'email de la Banque Populaire qui le prévenait de l'activation d'Apple Pay sur un autre iPhone. « En vacances, je ne regardais pas mes mails. Mais est-ce que je l'aurais vu même si je m'étais connecté ? Je ne suis même pas sûr, il commence par "ne pas répondre" et j'avais la tête ailleurs », se projette Guillaume. Bref, le couple s'est raté sur toute la ligne, alors qu'ils sont pourtant tous deux conscients des dangers du phishing.

« Dans plein d'autres contextes, cela ne nous serait pas arrivé. Par exemple, je reçois régulièrement des messages qui indiquent que Netflix ne serait pas payé, et j'ai le réflexe de les ignorer ou de vérifier directement sur l'application quand j'ai un doute. Mais cette fois, je ne me suis posé aucune question », constate-t-il.

A sa décharge, le couple a joué de malchance car Laura attendait vraiment une carte vitale, ce qui a renforcé la crédibilité du message frauduleux. Mais surtout, ils ont agi très rapidement à peine le message reçu, alors que la précipitation fait le jeu des malfaiteurs. Plus les victimes décident vite, moins elles feront attention aux multiples incohérences du phishing. C'est pourquoi le message reçu par Laura donnait deux jours pour répondre : un délai suffisamment long pour être crédible, mais suffisamment court pour pousser les victimes à céder rapidement.

Quid de la responsabilité des banques et d'Apple Pay ?

Même si la victime reconnaît ses torts, l'affaire laisse plusieurs zones d'ombres : pourquoi la Banque Populaire a-t-elle bloqué les transactions en ligne alors que la fraude passait par Apple Pay ? Qu'a-t-elle réellement détecté ? Pourquoi ne met-elle aucun plafond aux transactions effectuées via Apple Pay ?

Un petit tour sur des forums de consommateurs permet de voir que le cas de Guillaume et Laura est loin d'être isolé. Toutes les victimes expliquent que leur banque ne les rembourse pas, avec à chaque fois la même justification : les paiements ont été effectués depuis un iPhone. De son côté, Apple se présente comme un simple intermédiaire, dont la responsabilité n'est engagée qu'en cas de problème technique de son logiciel.

Le cas de Guillaume et Laura n'échappe pas à la règle : la Banque Populaire a refusé de les rembourser suite à la soumission de leur formulaire de fraude. « A aucun moment nous nous sommes dit que nous pourrions ne pas être remboursés, et d'ailleurs, la conseillère n'évoquait même pas cette éventualité. Mais aujourd'hui, nous n'avons plus aucun espoir », constatent-ils. Après une première réclamation par courrier, la Banque Populaire leur a proposé un geste commercial à hauteur de 250 euros.

Même s'il reconnaît volontiers ses torts, Guillaume s'étonne de la situation : « Je dois passer par deux niveaux de validation pour un achat de 20 euros par internet, mais par contre, un seul SMS suffit pour valider une carte sur Apple Pay ? ». Son témoignage révèle en effet une asymétrie de protection et de détection entre les transactions en ligne, très surveillées, et celles par Apple Pay qui semblent profiter de standards moindres.

Apple Pay apparaît dès lors comme un outil de choix pour les malfaiteurs qui souhaitent s'assurer de récupérer leur butin : ils profitent du moindre encadrement des banques à la fois sur l'activation du service, sur son utilisation, et sur les contrôles des transactions. Concrètement, Apple Pay leur donne accès à de grandes sommes d'argent, avec moins de risque de blocage. Seul ombre au tableau : ils doivent demander un code supplémentaire à la victime pour activer Apple Pay, au risque qu'elle se rende compte de la supercherie. Mais le risque en vaut la chandelle, et cette technique pourrait donc être de plus en plus intégré aux arnaques, du moins tant que le cadre restera inchangé.

Contactés, Apple et la Banque Populaire n'ont pas donné suite à nos demandes d'entretien.

Mise à jour du 18/10/2022 : deux mois après les faits, et après avoir contacté le médiateur de la Banque Populaire, Guillaume a reçu un remboursement pour la fraude.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaires 10
à écrit le 14/09/2022 à 2:19
Signaler
L'article répète 3 fois qu'ils étaient "sensibilisés" (le journaliste s'est-t-il relu ?) alors que le contenu montre tout le contraire. Par ailleurs la victime se trompe en ne disant qu'il n'y a pas eu 2 niveaux d'authentification, en effet il a bien...

à écrit le 13/09/2022 à 16:18
Signaler
Et avec Google Pay il n'y a pas d'arnaque ?

à écrit le 13/09/2022 à 15:12
Signaler
"ce couple, pourtant sensibilisé aux enjeux de la cybersécurité" Qu'est-ce que cela aurait été sinon.

à écrit le 13/09/2022 à 14:08
Signaler
je n'arrive pas a comprendre comment certaines personnes se font prendre par ces emails frauduleux, il ne faut pas avoir l'éclairage a tout les étages; COMPLEMENTEMENT ABBERANTs. .......!!!!!!

à écrit le 13/09/2022 à 14:07
Signaler
je n'arrive pas a comprendre comment certaines personnes se font prendre par ces emails frauduleux, il ne faut pas avoir l'éclairage a tout les étages; COMPLEMENTEMENT ABBERANTs. .......!!!!!!

à écrit le 13/09/2022 à 12:49
Signaler
''et donné non seulement ses informations de carte bancaire mais aussi un code à six chiffres.'' Y a pas à dire faut vraiment être c , surtout que c'est dit pratiquement dans tous les services publics de ne pas donner d'informations concernant les c...

à écrit le 13/09/2022 à 12:06
Signaler
le renouveau ? la responsabilité de FRANCE CONNECT ne serait elle pas responsable ?

à écrit le 13/09/2022 à 9:19
Signaler
Mars 2022 : L'attaque a été détectée "en fin de semaine dernière", détaille la Caisse nationale d'assurance maladie (Cnam) dans un communiqué du jeudi 17 mars: des "personnes non autorisées" se sont connectées aux "comptes amelipro" de 19 soignant...

à écrit le 13/09/2022 à 8:14
Signaler
C"est pourtant simple de ne pas se faire piéger. Il ne faut répondre à rien. S'il y a vraiment besoin d'être contacté, d'autres moyens existent. Le courrier et surtout la Lettre Recommandée. L'arme absolue.

le 13/09/2022 à 12:39
Signaler
C’est surtout qu’en cas de doute, ne jamais ouvrir les liens proposés, vérifier en ouvrant le site incriminé de façon indépendante du mail

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.