Fraude à l’usurpation d'identité

Vous avez reçu un courriel de votre hôtel en Espagne vous demandant de saisir vos coordonnées bancaires ? Un appel affichant le nom de votre banque ? Méfiance ! Il peut s'agir d'une tentative d’usurpation de votre identité ou de spoofing afin de vous soutirer de l’argent à votre insu. 

Description de la fraude

• Vous recevez un e-mail d’une personne basée à l’étranger qui vous propose une offre surprenante. Faire transiter une somme d’argent sur votre compte avant de le transférer à une autre personne, contre rémunération.
• Vous recevez un message sur votre téléphone vous indiquant que votre abonnement arrive à échéance. Le message vous invite à reconfirmer vos données personnelles.

Méthode utilisée

Ces diverses méthodes ont un point commun : récupérer vos données personnelles. Il peut s’agir de votre pièce d’identité, de vos coordonnées bancaires, de votre numéro de sécurité sociale, etc. Cet hameçonnage s’appelle « phishing », de l’anglais « fishing » = pêche et « phone = téléphone. Le fraudeur réussit à voler vos données personnelles, puis, une fois ces données en poche, il les utilise à des fins frauduleuses.

Selon ce que vous lui avez donné, il va pouvoir faire des achats en ligne ou même ouvrir un compte bancaire en votre nom auprès d’une banque en ligne. Avec une pièce d’identité et des échantillons audio disponibles sur les réseaux sociaux par exemple, il peut générer une vidéo deepfake avec votre visage et valider l’ouverture du compte en ligne. Cela permettra ensuite à l’escroc d’écrire des chèques ou de souscrire un crédit en votre nom.

Conseils pour éviter l’usurpation de vos données personnelles

• Ne communiquez pas vos informations personnelles sensibles à une personne dont vous n’êtes pas sûr de l’identité. Ne répondez pas aux appels et aux mails non-sollicités et non-identifiés.
• Quand vous créez un profil en ligne, ne donnez toujours que le strict minimum des informations personnelles. Contentez-vous de celles qui sont obligatoires pour l’inscription au service. Si vous devez donner une copie de votre pièce d’identité, utilisez le générateur de justificatif d’identité à usage unique.
• Soyez toujours vigilant quand vous interagissez avec une personne sur Internet ou par téléphone, dès qu’elle vous demande des informations personnelles. Ne répondez pas aux messages qui vous semblent douteux !
• Vérifiez que votre adresse de messagerie ou votre numéro de téléphone ne sont pas visibles publiquement.
• Utilisez des mots de passe différents et complexes pour chaque site où vous renseignez des données personnelles. Ne communiquez jamais vos mots de passe à une autre personne.
• Privilégiez l’authentification à deux facteurs, lorsque cela vous est proposé sur les sites où vous rentrez des informations personnelles. En plus d’un mot de passe pour vous connecter sur le site, vous recevrez alors un code à usage unique envoyé sur votre téléphone par exemple.
• Evitez de vous connecter à votre application bancaire depuis un wifi public.

Comment réagir à une usurpation d’identité ?

1. Déposez plainte auprès du commissariat de police ou de la gendarmerie. Vous pouvez aussi porter plainte en ligne. La plateforme PHAROS vous permet également de signaler une escroquerie sur Internet.
2. Prévenez toutes les banques et assurances auprès desquelles vous avez un contrat.
3. Vérifiez si d’autres comptes ont été ouverts en votre nom. Il suffit de faire une demande auprès de la CNIL pour exercer votre droit d’accès au fichier national des comptes bancaires.
4. Vérifiez si vous êtes fiché à la Banque de France pour incident de remboursement de crédit.
5. Plus de conseils grâce à l'outil de diagnostic 17Cyber qui identifie le type de problème et vous propose des recommandations adaptées à votre situation.

Description de la fraude

• Vous recevez un appel d’un conseiller de votre banque qui vous alerte sur une tentative de piratage de votre compte.
• Vous recevez un e-mail avec le logo de votre banque allemande, d'une assurance, d’une administration, du transporteur de votre colis, de votre plateforme de streaming, de votre hôtel ou encore de la plateforme de voyages sur laquelle vous avez réservé. L’e-mail vous demande de saisir vos coordonnées bancaires et votre mot de passe, ou de cliquer sur un lien.
• Vous vous retrouvez sur l’interface d’un site qui semble authentique et vous demande de rentrer des informations confidentielles (carte de crédit, pièce d’identité à télécharger).
• Vous tombez dans le piège et renseignez toutes les informations demandées. Peu de temps après, une somme importante est prélevée sur votre compte bancaire.

Méthode utilisée

L’escroc cherche à instaurer un climat de confiance en se faisant passer pour une personne que vous connaissez ou qui est crédible à vos yeux. Pour cela, il utilise une adresse mail similaire à celle de la personne qu’il cherche à imiter, ou affiche un numéro enregistré dans votre répertoire lorsqu’il vous appelle.

L’imitation peut aller encore plus loin, à l'aide de logiciels d’intelligence artificielle. L’escroc peut par exemple imiter la voix d’un de vos proches ou de votre conseiller bancaire et vous demander d’effectuer un virement, en insistant sur l’urgence de la situation. Vous finissez par obtempérer sans vous rendre compte de la supercherie. Vous êtes victime de spoofing.

• Ne répondez pas à un e-mail qui vous semble douteux. Une banque ne vous demanderait jamais de renseigner des informations personnelles par mail.
• Si vous recevez un mail de votre banque qui vous semble douteux, restez vigilant et cherchez des erreurs d’orthographe, de grammaire, ou des phrases qui n’ont aucun sens. Ne cliquez sur aucun lien et ne téléchargez aucune pièce jointe.
• Ne partagez jamais vos données bancaires au téléphone ! Ne cédez pas face aux menaces et au sentiment d’urgence.
• Raccrochez, puis vérifiez auprès de l’organisme si le coup de téléphone provient vraiment de ses services. Appelez le service client ou connectez-vous directement sur votre compte en ligne.
• Vérifiez régulièrement vos relevés de compte bancaire afin de repérer toute opération anormale et pouvoir réagir rapidement.

Comment différencier un professionnel européen d’un escroc ?

Un professionnel qui propose des produits financiers doit être autorisé à exercer son activité. S’il s’agit d’un établissement enregistré dans un autre pays européen, vérifiez le registre du pays d’origine. Pour les établissements de monnaie électronique et de paiement, vous pouvez consulter le registre tenu par l’Autorité Bancaire Européenne pour savoir lesquels sont autorisés.

Même si le mail a pour objet « vérification requise », « sécurisation de votre compte », « confirmation des données » ou « mise à jour de vos données d’utilisateur », cela ne signifie pas nécessairement qu’il provient d’une source fiable. Fiez-vous plutôt à l’adresse e-mail. S’agit-il d’une adresse officielle ? Coïncide-t-elle avec le nom de la société ? Ou se termine-t-elle par gmail.com ? Vérifiez si les mots sont correctement écrits, comme suport-client@banque.fr. Une ou deux lettres manquantes peuvent trahir l’authenticité de l’adresse mail utilisée, à condition d’être assez attentif.

Que faire si vous êtes victime ?

• Cessez tout contact avec votre interlocuteur, même s’il vous relance.
• Signalez l’escroquerie sur signal-spam.fr
• Changez immédiatement vos mots de passe communiqués
• Si vous avez donné vos coordonnées bancaires, faites opposition sur votre carte et surveillez vos comptes.
• Si votre compte a déjà été débité, déposez plainte auprès de la Police et mettez-vous en relation avec votre conseiller bancaire dans les plus brefs délais. Plus d’informations dans notre article "payer en Europe".
• Demandez un remboursement des sommes prélevées à votre banque. Si elle refuse de vous rembourser, elle doit prouver qu’il y a eu une négligence grave de votre part lors de la fraude.
• Plus de recommandations sur l'outil cybermalveillance.gouv.fr

L’Union européenne a pris des mesures afin de lutter contre les fraudes à l’usurpation. Grâce à la directive sur les services de paiement qui entrera en application en 2026, les consommateurs seront mieux protégés contre ce type de fraudes.

Le texte prévoit notamment plusieurs obligations pour les banques :

• Sensibiliser davantage les consommateurs aux risques de fraude.
• Renforcer le système d’authentification forte.
• Vérifier, pour chaque virement bancaire, que le numéro IBAN du bénéficiaire correspond au nom du compte.

L’Europe veut également renverser la responsabilité dans les cas de fraude pour protéger les victimes. Jusque-là, quand vous perdiez de l’argent suite à un spoofing, la banque vous remboursait uniquement lorsqu’elle ne vous avait pas demandé d’authentification forte au moment du paiement.

Désormais, il existera un droit au remboursement en cas d’escroquerie par usurpation d’identité bancaire. Donc suite à un faux conseiller bancaire qui vous aurait manipulé pour vous soutirer de l’argent, la banque sera tenue pour responsable. Vous serez entièrement remboursé du montant prélevé sur votre compte, à condition de déposer plainte à la police et de prévenir la banque dans les plus brefs délais. Seule exception : une négligence grave de votre part. Par exemple, si vous vous faites avoir plusieurs fois par le même type de fraude. Dans ce cas, la banque n’est pas tenue de vous rembourser.