Récemment, plusieurs entreprises ont subi des attaques informatiques entraînant des fuites de données massives. Parmi les organisations affectées (telles que Boulanger, Ornikar, Truffaut, Free, etc.), beaucoup tentent de rassurer en précisant que les mots de passe n’ont pas été exposés. Cependant, un aspect souvent sous-estimé dans ces fuites est la divulgation des numéros IBAN.
L’IBAN (International Bank Account Number), qui correspond au RIB en France, se compose de 27 chiffres et inclut votre numéro de compte et le code BIC, qui identifie votre banque1. À première vue, la divulgation d’un IBAN peut sembler bénigne puisqu’il est communément admis qu’avec un IBAN, on ne peut que transférer de l’argent sur le compte correspondant. Toutefois, la réalité est bien plus nuancée.
En effet, un individu malintentionné qui a accès à votre IBAN et à d’autres informations personnelles peut facilement souscrire à des services en utilisant votre identité. Normalement, un mandat de prélèvement SEPA (Single Euro Payments Area) doit être complété, qu’il soit sous forme papier ou dématérialisée. Cependant, cette procédure se réduit souvent à une simple validation en ligne. Pour les prélèvements SEPA de type Core, le mandat est conservé par le créancier, comme un opérateur de téléphonie, qui se charge ensuite de contacter votre banque pour obtenir les fonds, sans vérifications approfondies, surtout si le créancier est une entité reconnue. Il est donc relativement aisé pour quelqu’un de détourner de l’argent en usurpant votre identité grâce à l’IBAN.
Les fraudeurs peuvent également opter pour une méthode qui non seulement vous fait perdre de l’argent, mais leur permet aussi d’en gagner davantage. Ils procèdent par exemple en souscrivant à un abonnement téléphonique avec votre IBAN, reçoivent un iPhone (ou un autre smartphone coûteux) qu’ils revendent immédiatement. Lorsque vous découvrez la fraude, vous bloquerez les prélèvements et devriez normalement être remboursé, mais le fraudeur aura déjà tiré profit de la vente du téléphone. Pendant ce temps, l’acheteur du smartphone, qui l’a acquis de manière illégitime, se retrouvera avec un appareil bloqué et inutilisable.
Attention aux arnaques : protégez-vous des pièges en suivant notre série sur le Club iGen
Changer votre IBAN n’est malheureusement pas une option, puisqu’il est directement lié au numéro de votre compte bancaire2. Nous vous conseillons donc de surveiller attentivement vos relevés bancaires, surtout si vous avez récemment été victime d’une fuite de données, et de contacter rapidement votre banque en cas d’activité suspecte.
Un établissement requérant votre IBAN et votre BIC pourrait très bien se contenter du premier. ︎
À moins de changer de banque, ce qui entraîne d’autres défis pratiques. ︎