France : Quand le Crédit mutuel refuse de rembourser le phishing

21 Jan
Credit9Nombre de lecteurs du blog Sosconso ne lisent pas la chronique Sosconso du Monde. Et inversement. C’est pourquoi nous nous permettons d’évoquer, aujourd’hui, la mésaventure d’Alexandre, relatée dans la chronique papier intitulée « les e-mails pirates, la banque et le client », du Monde du 17 janvier. Fin mai 2013, Alexanre reçoit un courriel du Crédit mutuel l’avisant que sa « carte de clés personnelles est révoquée »…
Sans titre
Le mail précise qu’il ne « pourra plus effectuer d’opérations protégées sans avoir activé une nouvelle carte ».
La « carte de clés » personnelle est une grille comportant 64 chiffres, disposés différemment por chaque titulaire d’une carte bancaire.
Comme lors d’une partie de bataille navale, le client est incité par SMS à y puiser une code (par exemple « cocher A1B3 »), pour valider son achat.
Pour activer sa nouvelle carte Alexandre clique sur le lien inséré dans le courriel, et saisit son identifiant ainsi que son mot de passe.
Sans titrePuis, dit Alexandre, « plus rien ne se passe ». Il se déconnecte et vaque à ses occupations. Quelques heures plus tard, il constate que des achats en livres sterling sont débités de son compte.
Il se dit qu’il a été victime de « phishing » (hameçonnage): le mail qu’il a reçu était sans doute destiné à lui extorquer ses données personnelles.
Il fait opposition sur son compte – mais des prélèvements continueront jusqu’à la fin juin 2013 ! Il va à la gendarmerie, où l’on refuse de prendre sa plainte, conformément à une instruction du ministère de la justice, en date d’août 2011. Il parvient juste à déposer une main courante.
Lorsqu’ Alexandre demande à la Fédération du Crédit mutuel Nord-Europe le remboursement des sommes prélevées sur son compte (environ 900 euros), le service client le lui refuse.
En effet, lui explique-t-il, les achats auraient été validés grâce à la saisie de chiffres que lui seul pouvait connaître. Le service client l’accuse d’avoir communiqué l’ensemble de ses informations personnelles.
Credit3
On l’accuse d’avoir commis une « négligence ».
Pire, lui dit-on: il ne pouvait ignorer que le Crédit mutuel a été victime d’une cyberattaque – comme l’expliquait très bien cet article de Libération:
Crédit6
Le service client rappelle à Alexandre que « de nombreux messages d’alerte ont été publiés », sur le site du Crédit mutuel, afin que les clients ne tombent pas dans le panneau. Au vu de ses « connexions régulières », il ne pouvait les ignorer. Avant de cliquer, il aurait donc dû appeler son agence ou s’y rendre…
credit7Le médiateur, que, dans les banques,  on devrait plutôt nommer « la Voix de son maître », donne naturellement raison au service client.
Pourtant, Alexandre nie avoir communiqué les données de sa carte bancaire ou de sa carte de clés, ou même avoir reçu un quelconque SMS.
Et il n’est pas le seul: l’UFC Que-Choisir du Nord-Pas-de-Calais indique avoir reçu une dizaine de témoignages comme le sien, en quelques mois. Elle va d’ailleurs lancer un appel à témoignages sur le Réseau anti-arnaques , pour savoir si d’autres encore sont dans ce cas.
Comme l’UFC ne suspecte a, a priori, ses correspondants de mensonge, elle déplore que la banque « n’apporte pas, comme elle le devrait, la preuve de la négligence de ses clients ».
Quant à Alexandre, a-t-il vérifié que les établissements auprès desquels des achats ont été effectués réclamaient bien une authentification par SMS, comme le prétend le Crédit mutuel?
Ne peut-il pas demander à son opérateur de témoigner qu’il n’a pas reçu de SMS au fur et à mesure des achats?
Le Crédit mutuel peut-il vraiment accuser ses clients de »négligence », alors qu’il reconnaissait, dans l’article de Libération, que la cyberattaque frôlait le sans-faute: «Ce qui nous impressionne, c’est la sophistication du système. Là, on atteint la perfection» , reconnaissait un porte-parole.
De fait, continuait Libération, « les écrans successifs du site pirate copient à la perfection celui de la banque: même déroulé des écrans, même typographie, syntaxe quasi parfaite et peu de fautes d’orthographe — le talon d’Achille du phishing. «sont des Français qui ont fait cela» , soupçonne t-on au Crédit Mutuel. »
Cette affaire illustre en tout cas la difficulté que les clients des banques ont, à obtenir le remboursement des sommes extorquées, en cas de phishing.
Le code monétaire et financier(article L 133-18)  dit que ce remboursement doit être intégral et immédiat. En réalité, les banques mettent de nombeux freins, comme l’a montré le résultat d’un appel à témoignages publié en février 2012 par l’UFC-Que Choisir.
Elles réclament souvent un dépôt de plainte, alors que ce n’est pas nécessaire et que, de ce fait, commissariats et gendarmeries ont reçu instruction de ne plus les accepter. Après cela, elles peuvent mettre trois mois à rembourser leurs clients. Certaines ont le culot de prélever des frais d’incident de paiement, sur les trous qu’elles auraient dû combler. Toutes ne prennent pas en charge les frais d’opposition et de remplacement de la carte bancaire. (…)
Sources from  Sosconso

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :