Christophe vient de recevoir un courriel de la Direction générale des finances publiques, lui annonçant une bonne nouvelle : le remboursement de 312 euros liés à son impôt sur le revenu. Bien qu'il voie le logo bleu-blanc-rouge de la République française, Christophe pense qu'il s'agit d'un faux, le texte étant plein de fautes d'orthographe, et signé « conseil général de la Côte-d'Or »…

Mais d'autres mails, bien imités, peuvent semer le doute : vraie relance ou tentative d'escroquerie ? Pour le savoir, vous pouvez soumettre au site Phishing-initiative.com l'adresse URL du domaine auquel ils renvoient. Si cette adresse a déjà été analysée, vous obtenez tout de suite une réponse.

Sinon, il vous faut attendre un peu. « Quand il s'agit d'un site de phishing , nous l'envoyons aux navigateurs Firefox, Safari, Internet Explorer et Chrome afin qu'ils la bloquent, explique Thomas Gayet, le président de l'association Phishing-Initiative. Dès lors, une personne qui voudra le visiter verra s'afficher une fenêtre rouge le mettant en garde contre le danger d'aller plus loin. »

En général, les sites frauduleux vous demandent le numéro de votre carte bancaire, la date d'expiration de celle-ci et son cryptogramme : autrement dit toutes les informations nécessaires pour faire des achats en ligne, sur des sites non sécurisés – comme Amazon, Fnac ou PriceMinister. Ces informations, en revanche, ne suffisent pas sur des sites de commerce en ligne exigeant l'authentification du porteur, grâce, par exemple, à l'envoi par SMS d'un code de validation, comme le propose le système 3D Secure.

50 % ÉQUIPÉS DE 3D SECURE

Hélas, en 2012, seuls 50 % environ des e-commerçants étaient équipés de 3D Secure : la Fédération e-commerce et vente à distance (Fevad) estime que ce système déroute les clients et conduit à l'échec de 20 % de leurs transactions. Toutefois, certains poids lourds comme Voyages-sncf, Air France, Orange et Mistergooddeal s'y sont mis, sous l'impulsion de l'Observatoire de la sécurité des cartes de paiement de la Banque de France. Et pour cause : avec 9,2 % des transactions, l'e-commerce concentrait encore 61 % du montant des fraudes aux cartes bancaires, soit 450,7 millions d'euros.

Si, après la récupération frauduleuse de vos données, votre compte a été débité, tout n'est pas perdu : vous pouvez demander à votre banque de vous rembourser les sommes extorquées, comme le prévoit le code monétaire et financier (article 133-18).

Ce remboursement est censé être intégral et immédiat. Mais en réalité, les banques y mettent de nombreux freins, comme l'a montré le résultat d'un appel à témoignages, publié en février 2012 par l'UFC-Que choisir.

Elles réclament souvent un dépôt de plainte, alors que, sur instruction du ministère de la justice en date d'août 2011, les commissariats et les gendarmeries refusent de les enregistrer, puisque ce n'est pas nécessaire.

DES VICTIMES NON REMBOURSÉES

Les banques peuvent également mettre trois mois pour rembourser leurs clients. Certaines leur facturent des frais d'incident de paiement liés au débit qu'elles auraient dû combler ! Toutes ne prennent pas en charge les frais d'opposition et de remplacement de la carte bancaire.

Certaines victimes ne sont pas du tout remboursées. C'est le cas d'Alexandre, un consommateur du Nord, qui a fait état sur notre blog SOS conso de la mésaventure suivante : fin mai 2013, il reçoit un courriel du Crédit mutuel l'avisant que « sa carte de clés personnelles est révoquée » et qu'il ne « pourra plus effectuer d'opérations protégées sans avoir activé une nouvelle carte ». La « carte de clés » personnelle est une grille comportant 64 chiffres, disposés différemment pour chaque titulaire d'une carte bancaire.

Comme lors d'une partie de bataille navale, le client est invité par SMS à y puiser un code, (« cocher A1 B3 »), pour valider son achat.

Pour activer la nouvelle carte, Alexandre clique sur le lien inséré dans le courriel et saisit son identifiant ainsi que son mot de passe. Puis, « plus rien ne se passe ». Il se déconnecte et vaque à ses occupations. Quelques heures plus tard, il constate que des achats en livres sterling ont été débités de son compte. Pensant qu'il a été victime de phishing, il fait opposition, mais des prélèvements continuent, jusqu'à la fin juin 2013.

CRÉDIT MUTUEL NORD-EUROPE ACCUSÉ

Lorsqu'il en demande le remboursement (environ 900 euros) à la Fédération du Crédit mutuel Nord-Europe, le service clients le lui refuse : les achats ont été validés grâce à la saisie de chiffres que lui seul pouvait connaître. Il l'accuse d'avoir « communiqué l'ensemble de ses informations personnelles (…) ; ce qui constitue une négligence ».

Le service client, auquel le médiateur de la banque donne raison, assure que, « au regard de ses connexions régulières » sur le site du Crédit mutuel, Alexandre ne « pouvait ignorer que des e-mails pirates étaient diffusés sur Internet ».

Pourtant, Alexandre nie avoir communiqué les données de sa carte bancaire ou de sa carte de clés, ni même avoir reçu un quelconque SMS. Et il n'est pas le seul : l'UFC-Que choisir du Nord - Pas-de-Calais indique avoir reçu une dizaine de témoignages comme le sien, en quelques mois. extraits blog lemonde