La fuite de données qui a suivi la cyberattaque contre l’opérateur Free a laissé échapper des millions d’IBAN. Des prélèvements peuvent être effectués à votre insu par des entreprises peu scrupuleuses.

Depuis qu’elle a été rendue publique, la fuite de données de l’opérateur Free a largement fait le tour de médias. Le fournisseur d’accès à Internet français a informé ses abonnés le 28 octobre qu’une liste contenant des noms, prénoms, dates et lieux de naissance, numéros de téléphone, identifiants abonnés et IBAN ont été dérobés par un cybercriminel.

La base de données a été mise en vente sur un célèbre forum de hackers. On rappelle que les informations d’identification (nom, adresse mail) peuvent être réutilisées pour des campagnes de phishing, en usurpant une banque ou Netflix.

L’IBAN est peut-être encore plus intéressant, s’il est couplé à d’autres infos. Dans un précédent article, Benoit Grunemwald, expert en cybersécurité chez ESET, nous avait expliqué que « des sociétés peu scrupuleuses se livrent à des malversations pour faire souscrire à des abonnements frauduleux à partir de cet IBAN. »

Comment s’y prendrait-elle ? Jonathan, photographe et passionné de tech, a présenté la manœuvre sur le réseau social X (ex-Twitter) et nous l’a expliquée.

Comment une entreprise peut vous prélever de l’argent avec votre IBAN ?

Si on devait résumer la manipulation en une phrase : une entreprise peut automatiser des prélèvements depuis votre compte, via la plateforme de paiement professionnel Stripe (l’exemple utilisé ici), et à partir d’un simple IBAN.

Quelques conditions existent naturellement :

  • le client Stripe doit fournir un numéro Siret, mais cette première mesure est facilement contournable puisque n’importe qui peut créer son entreprise ou passer un accord avec une société déjà existante. Dans ce cas précis, Jonathan a utilisé celui de son entreprise.

La seconde étape est probablement la plus simple :

  • Le client Stripe créé un lien de paiement sur Stripe, intègre le numéro IBAN et réalise le prélèvement. C’est aussi facile que ça. L’intéressé a testé avec son propre compte bancaire, en lançant des paiements à hauteur de 90 centimes.
Il suffit de donner l'IBAN de la « cible » sur Stripe. // Source : Jonathan / Photographe
Il suffit de donner l’IBAN de la « cible » sur Stripe. // Source : Zojo

Dès que la banque est informée du mandat de prélèvement, un paiement sera effectué à partir de votre compte bancaire. Concrètement, l’argent sera prélevé, mais l’entreprise ne pourra pas y toucher tant que le débiteur n’a pas accepté le mandat de prélèvement. Notons qu’il y a un délai de sept de jours pour confirmer ou non l’authenticité du paiement.

Dans le cas de Jonathan, 90 centimes ont bien été prélevés sur son compte.

Le prélèvement de 90 centimes sur le compte bancaire. // Source : Zojo
Le prélèvement de 90 centimes sur le compte bancaire. // Source : Zojo

À priori, vous êtes donc averti que l’on vous retire de l’argent. Mais il existe encore une fois des moyens de camoufler la procédure. « On peut donner n’importe quelle information d’identité sur Stripe. Il n’est pas possible de se faire passer directement pour une autre entreprise, mais une organisation malveillante peut très bien donner un autre nom similaire », nous explique Jonathan.

Un cybercriminel pourrait se présenter comme l’entreprise « Freee » pour piéger des internautes peu attentifs.

Des victimes de prélèvements illégaux à partir d’un IBAN

Ce mode opératoire a déjà utilisé, notamment dans un cas célèbre impliquant la SFAM, aujourd’hui nommée Indexia. Cette société d’assurance souscrit des prélèvements à l’insu des personnes qui ont récemment acheté des produits technologiques.

Une organisation malveillante qui chercherait à dérober des fonds de la même manière pourrait parfaitement automatiser des milliers de paiements, et miser sur les quelques victimes qui n’auraient pas fait preuve de vigilance.

Selon les applications bancaires, il est possible de configurer et bloquer des mandats de prélèvements. Soyez prudent et méfiant quant aux notifications de prélèvements, c’est souvent dans ces moments où l’on fait le moins attention que l’on se fait piéger.

Rappelons aussi que le hacker a gardé secret l’ensemble de la base de données pour les acheteurs malveillants. Vous ne saurez pas donc si vous êtes concerné par la fuite sur des sites comme haveibeenpwned, mais vous serez normalement prévenu par Free.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !