Certains escrocs recourent à des stratagèmes de plus en plus perfides. Ils ont ainsi poussé notre lectrice Cécile (nom d’emprunt) à autoriser trois versements frauduleux en prétendant que son action allait précisément annuler un piratage en cours! Il y a quelques mois, la Lausannoise reçoit, sur son portable, un appel affichant le numéro de Cornèrcard (+41 91 800 41 41), société émettrice de sa carte de crédit Visa.
Notre lectrice est persuadée d’être contactée par un collaborateur de l’entreprise: «Mon interlocuteur a affirmé qu’un piratage de ma carte était en cours depuis le Nigeria et qu’il voulait annuler les transactions. Pour cela, je devais lui transmettre les codes SMS que j’allais recevoir.»
Par trois fois, elle s’exécute. L’individu affirme alors que les virements ont été bloqués. Ouf! Mais, aussitôt après avoir raccroché, un SMS et un courriel de Cornèrcard lui parviennent, l’enjoignant à prendre contact dans les plus brefs délais.
Elle appelle immédiatement: «Une dame m’a expliqué que je venais d’être piratée! J’ai été extrêmement choquée.» Les malfrats n’y sont pas allés de main morte: ils ont effectué trois payements en faveur de trois sites internet basés à Malte et à Gibraltar pour un montant de 4847 fr.!
But: obtenir les codes de sécurité
La Visa de Cécile est dotée d’un «3-D Secure»: ce système de sécurisation des paiement en ligne permet au titulaire de valider chaque transaction débutée avec sa carte en introduisant un code de confirmation reçu par SMS. Ce sont précisément ces codes qu’ont demandés les arnaqueurs.
Stratégie diabolique! Ils ont d’abord endormi la méfiance de notre lectrice en faisant apparaître le numéro de sa banque sur son téléphone grâce à la technique de «spoofing» (lire «On ne sait plus à quel numéro se vouer»), puis en s’identifiant comme des employés de l’établissement. Ils ont ensuite poussé leur victime à obtempérer dans l’urgence d’un soi-disant piratage nigérian en cours. Cette stratégie du stress est redoutablement efficace selon le neuropsychologue Radek Ptak (lire encadré).
L’événement pose aussi de nombreuses questions. Comment les malfrats connaissaient-ils les numéros de carte et de portable de notre lectrice? Cette dernière assure n’avoir jamais transmis ces informations auparavant, par exemple dans un courriel d’hameçonnage (phishing).
De son côté, Cornèrcard affirme «n’avoir aucune preuve suggérant un problème interne», comme un vol de données ou la complicité d’un collaborateur véreux. D’autres scénarios sont toutefois possibles, notamment le hacking d’un site où Cécile aurait effectué des achats.
Quoi qu’il en soit, le choc est violent pour notre lectrice: «Je suis complètement bouleversée par cette histoire, écrit-elle peu après l’attaque, j’en fais des cauchemars et je dois avouer que, dès que j’y pense, je me mets à pleurer.» Et l’infortunée Lausannoise n’est pas au bout de ses mauvaises surprises!
Pendant des semaines, Cornèrcard ne lui donne aucune nouvelle sur le traitement du préjudice. Cela malgré plusieurs relances! Induite en erreur par le numéro affiché, notre lectrice estime qu’elle est victime de la situation et n’a pas commis de faute. Mais l’émetteur de sa carte ne l’entend pas de cette oreille.
Aucun geste pour la fidèle cliente
Un mois et demi plus tard, Cornèrcard finit par écrire à sa cliente, en lui annonçant qu’elle ne doit pas espérer une restitution des sommes versées: «Lorsqu’une transaction est autorisée par un code SMS correct, nous n’avons pas les moyens pour engager une contestation et demander un remboursement à la banque contractante.»
Surtout, l’entreprise souligne qu’elle considère sa cliente comme pleinement responsable: «Conformément aux conditions générales, le titulaire de la carte s’engage à protéger scrupuleusement la carte et ses données contre l’accès de tiers.» En communicant des codes de sécurité, notre lectrice n’a pas respecté son devoir de diligence. «Nous vous informons donc que le montant de 4876 fr. reste à votre charge», assène l’établissement.
Contacté par Bon à Savoir, Cornèrcard a refusé de réévaluer le cas, excluant tout geste commercial, fût-il minime.
Certes, notre lectrice n’aurait pas dû transmettre les SMS reçus, mais il ne nous semble pas excessif de considérer que sa responsabilité est atténuée par le caractère particulièrement insidieux de l’arnaque. Cet argument a laissé Cornèrcard de marbre, tout comme la longue fidélité (trente ans) de sa cliente.
Médiation sans effet
Une telle fermeté ne surprend pas Marco Franchetti, l’Ombudsman des banques suisses: «Les escrocs ont une imagination sans limites pour tromper la vigilance des clients, mais la question est de savoir qui doit supporter le dommage subi. En droit suisse prévaut la conception selon laquelle le client qui effectue des paiements volontaires, même sans être conscient d’avoir affaire à des arnaqueurs, doit en principe en supporter les conséquences.»
Si aucune faute ne peut leur être imputée, les intermédiaires financiers considèrent qu’ils n’ont strictement aucune responsabilité, relève encore l’Ombudsman. Cela implique que le succès est moindre en procédure de médiation. «Il peut arriver qu’ils acceptent, à bien plaire, un dédommagement, mais c’est plutôt rare selon mon expérience.»
Effectivement, cela ne se produira pas pour notre lectrice lors de sa demande de médiation. Cornèrcard va se retrancher derrière ses conditions générales. En toute légalité: «A ma connaissance, jusqu’à ce jour, précise Marco Franchetti dans ses conclusions, aucune décision du Tribunal fédéral n’a mis en doute la validité de dispositions contractuelles selon lesquelles le client supporte les risques lorsque la transaction est autorisée par un moyen d’authentification sécurisé.»
Le travail du médiateur, qui n’a aucun pouvoir de contrainte, s’est donc arrêté là.
Intraitable, Cornèrcard avait tout de même promis à notre lectrice que la personne responsable du dossier la recontacterait. Elle ne l’a pas fait. En outre, une plainte, déposée à la police n’a, à ce jour, donné aucun résultat. Enfin, sa protection juridique a renoncé à intervenir dès qu’elle a été informée des démarches infructueuses de l’Ombudsman.
Malgré tous ses efforts, notre lectrice s’est heurtée à un mur. Attendant le résultat de la médiation, elle n’avait pas payé le montant débité sur sa carte. Mois après mois, Cornèrcard lui a facturé des intérêts.
Sébastien Sautebin
Sous stress, on perd ses facultés
Certains lecteurs estimeront peut-être que Cécile a été naïve de transmettre ses codes SMS. Pourtant, dans l’urgence, tout devient différent, comme l’explique Radek Ptak, neuropsychologue responsable du Service de neurorééducation aux Hôpitaux universitaires genevois (HUG).
«En situation de stress, plus une décision rapide est demandée, plus les capacités de réflexion sont diminuées et moins la pensée rationnelle peut s’exprimer.» La sensation d’urgence perturbe certaines de nos capacités: le stress limite notre accès à des souvenirs en bloquant certaines structures neuronales impliquées dans la mémorisation. «Et il perturbe la perception des conséquences de notre choix. Des éléments liés à la mémoire comme, dans le cas précis, des conseils de sécurité fournies par les banques, ne sont pas disponibles à ce moment-là. La capacité de décision et la mémoire sont terriblement influencées par le stress.»
En affichant le numéro de la banque, les malfrats ont aussi joué sur le sentiment de confiance de notre lectrice, influençant ainsi, négativement, sa prise de décision rationnelle.
