ING et Apple Pay : Fraude ou négligence des clients ?

Carte bancaire ING

Depuis quelques jours, quelques témoignages se déversent sur la communauté d’ING ou les réseaux sociaux. Le contenu est toujours le même. Des clients, se considérant victimes, témoignent de dépenses à leur insu via Apple Pay sur leur compte bancaire ING
D’un regard client, la banque est responsable. Certains vont même jusqu’à avancer le piratage du système d’information d’ING permettant à un fraudeur d’avoir accès à leurs données.
Pour la banque, la position est toute autre. Le client est responsable, et partant de cette conclusion, aucune indemnité n’est versée.

« J’ai reçu un appel provenant d’ING »

Plusieurs témoignages indiquent que le client s’est senti en confiance, car le numéro d’appelant est celui d’ING. Sur le téléphone s’est donc affiché le numéro « 01 57 22 54 01 ». Pour certains clients, qui avaient ce numéro en contact, c’est donc le nom qu’ils ont assigné qui s’est affiché.

La présentation du numéro

Il faut savoir que partout dans le monde, le numéro de l’appelant est présenté par l’opérateur de l’appelant. Il met en forme un certain nombre de données, et va transmettre les éléments à l’autre opérateur pour présenter l’appel.
Si vous appelez en numéro masqué, votre opérateur présentera votre numéro à l’opérateur de votre correspondant en précisant qu’il ne faut pas divulguer le numéro. Cette mesure permet aux secours et autres services de pouvoir tout de même vous identifier, malgré la configuration de votre terminal.
Dans la théorie, les opérateurs des appelants doivent filtrer les numéros qui sont présentés par leurs clients. Toutefois, certains opérateurs destinés surtout aux professionnels ne font pas ce contrôle. Il est donc facile de changer le « from » du numéro appelant et indiquer ce qu’on souhaite, à l’instar d’une adresse email.
Cette pratique est d’ailleurs souvent utilisée par des centres d’appels. Ils vont appeler de France ou d’ailleurs dans le monde et utiliser un numéro géographique, voir même un numéro de la société qu’ils représentent. On voit même certaines sociétés de recouvrement basées à l’étranger faire afficher le numéro de téléphone d’études d’huissiers avec lesquels elles ont des accords pour « faire peur aux débiteurs ».
Souvent, lorsqu’on est démarché par téléphone, il n’est pas rare de se dire que le numéro est bidon, car les propos et le discours de notre interlocuteur n’est pas cohérent avec la zone du numéro d’appel.
Dans le cas qui nous intéresse, ING a tout simplement eu un usurpateur qui a présenté leur numéro avec un opérateur n’ayant pas filtré les numéros présentés. ING n’a aucun pouvoir de contourner ce mécanisme, c’est à l’opérateur appelant de faire le contrôle, et s’assurer que son client ne tente pas d’usurper un numéro.
Le principe est identique sur les SMS, et c’est d’autant plus simple que certains opérateurs d’envois de SMS acceptent d’envoyer des SMS avec uniquement un nom en expéditeur, sans aucun numéro d’envoi.

« ING assure de ne jamais demander les codes, mais le font »

ING n’est pas l’exception, Fortuneo et d’autres acteurs en font de même. Ils vous demandent sur un serveur vocal interactif de fournir votre identifiant et votre mot de passe. Ce dispositif, vise à vous identifier et ainsi vous permettre d’échanger avec un conseiller sans questions complémentaires.
Ce système est mauvais, car une communication est rarement chiffrée. L’interception est facile, et pire dans certaines sociétés les appels entrants / sortants sont systématiquement enregistrés. La pratique est donc mauvaise de la part de ces établissements qui envoient un signal contradictoire avec les consignes qu’ils donnent.
Pour autant le sens de leur message c’est plus de dire, qu’un humain ne vous demandera jamais le code lorsqu’il vous contacte. C’est d’ailleurs ce que les clients ont tous globalement assimilé, mais cela peut se retourner contre la banque, ING ici, lors d’une situation vécue comme une injustice par les clients.

« ING s’est fait pirater son système informatique »

Dans les témoignages, certaines personnes soutiennent que ING est à l’origine d’une brèche de sécurité et que les données des clients sont dans la nature.
Pour justifier cette théorie, plusieurs s’appuient sur le fait que le fraudeur savait qu’ils étaient clients d’ING et connaissait leurs numéros de téléphone, noms et prénoms.
Si fuite de données il y avait du côté d’ING, la banque ne chercherait pas à s’attirer les mauvais commentaires des clients déçus et se sentant victimes. Mais le plus important, le fraudeur ne se serait pas « amusé » à faire du démarchage Apple Pay, il aurait eu bien plus à gagner sur un chantage avec ING ou en vendant la base.
ING totalise environ 1 million de clients. Si une fuite de données était avérée, il y aurait au moins 1 000 témoignages de victimes. Ce qui n’est pas le cas tous canaux confondus. Les systèmes de protection chez Mastercard se seraient déclenchés très rapidement afin d’interrompre l’attaque. Nous aurons l’occasion d’aborder ces mesures dans un prochain article. Mais si quelque chose d’envergure était en cours, Mastercard aurait déjà activé des contres mesures et le remplacement des cartes ne serait pas possible pour ING.

Le scénario globalisé de l’attaque contre quelques clients ING

L’entrée en relation

Nous pouvons résumer la situation ainsi. Le client d’ING est contacté par un numéro correspondant à un numéro d’ING. L’escroc explique que des transactions frauduleuses sont détectées sur le compte via Apple Pay. Il explique au client ING qu’il doit l’authentifier. Pour cela, il dirige sa victime vers un message audio demandant d’annoncer l’identifiant du compte et le mot de passe. Plusieurs clients d’ING s’exécutent et vont donc communiquer ces données pourtant sensibles au fraudeur, car ils pensaient être en ligne avec ING.

La “sécurisation”

A la suite de cette opération, le fraudeur explique qu’il va falloir sécuriser Apple Pay. Pour cela, Apple Pay doit être activé via un code. La mesure vise à désactiver Apple Pay sur l’équipement frauduleux, car “Apple Pay ne peut être activé que sur un seul téléphone”, selon les dires de l’escroc, ce qui est faux en réalité.
Le client ING réceptionne alors un SMS contenant un code d’activation. Code qu’il va délivrer au fraudeur lui permettant de finir sa fraude.

Le point faible : le client.

Il y a bien une négligence du client en ayant communiqué à la fois son identifiant et son mot de passe ING. A cela s’ajoute la communication d’un code à usage unique et valable quelques minutes. A ce stade, la faiblesse de sécurité se situe côté client, sans le code éphémère, le fraudeur n’aurait pu aller au bout de la fraude.
Un fraudeur peut avoir des données via diverses sources, la principale étant une campagne de phishing. Il y a malheureusement bien plus de personnes qu’on ne l’imagine qui sont attirées dans ces attaques et délivrent des données personnelles comme le numéro de carte et bien d’autres renseignements.
Toutefois, une chose nous intrigue dans les scénarios relatés par les clients d’ING. Pourquoi demander les informations d’accès au compte. Quel est donc l’intérêt pour le fraudeur de connaître cela si c’est pour ajouter une carte dans Apple Pay.

Notre scénario de la fraude

Notre théorie, qui n’engage de nos esprits tordus est la suivante :
Le fraudeur ne connaissait ni le numéro, ni la date d’expiration, ni même le cryptogramme de la carte ING.
Il a donc demandé les informations d’accès au compte afin de pouvoir se connecter sur l’application ING. En installant l’application d’ING sous iOS (iPhone), le fraudeur n’avait pas besoin de connaître les données de la carte. Une fois authentifié, il lui suffisait d’aller dans le menu « carte » et cliquer sur le bouton « Ajouter à Wallet ».
A cet instant, le client ING réceptionne un SMS « ING: Saisissez le code XXXXXX pour ajouter votre carte ING dans Apple Pay. ». Le fameux code qu’il communique au fraudeur, permettant à ce dernier de laisser l’application ING déployer le token (carte virtuelle dédiée à Apple Pay), dans son Wallet. Il avait par la même occasion un visuel sur les capacités de dépenses (solde et plafond) du client ING.

Une facilité d’ajout demandée par Apple

Apple demande justement aux émetteurs de cartes de proposer un ajout facilité de la carte dans Wallet. Le fraudeur a donc détourné cette simplicité et promotion d’Apple Pay afin de pouvoir ajouter une carte sur son iPhone.

Alors elles viennent d’où ces données sur les clients ?

Si notre théorie s’avère exacte, les données des clients ING ne proviennent certainement pas d’une campagne de phishing, car le fraudeur aurait pu se passer de la partie identifiant et mot de passe du compte. Bien que depuis, ING impose l’activation d’une carte en les appelant ou en passant par l’application, lorsque cette dernière est ajoutée manuellement ou scanné sur Wallet.
Le fraudeur connaissait donc le nom et prénom du client d’ING. Il connaissait également son numéro de téléphone, et savait qu’il avait son compte chez ING. Partant de là, la provenance des données peut s’avérer très large, et elles peuvent être tout simplement issues de bases commerciales destinées au démarchage.

Une interprétation bien personnelle du RGPD pour certaines entreprises

De nombreuses entreprises, malgré le RGPD, sont plus que limites sur le traitement des données personnelles. Elles compilent et enrichissent de la donnée afin de revendre vos profils.
Ces bases sont alimentées par des opérations commerciales (offres de remboursements, concours, demande de devis / tarifs…). Ces sociétés agrègent toutes ces données, les enrichissent et peuvent ainsi sortir des données personnelles en associant ces dernières à un établissement. Il devient alors possible pour certaines personnes d’acheter une base, par exemple de toutes les personnes qui sont fichés et ayant par exemple un contrat d’énergie chez EDF. Dans cette même mécanique, on peut obtenir un fichier avec des données personnelles et comme critère de filtre, client chez ING.
Votre banque a été découverte parce que vous avez complété par exemple une offre de remboursement et fourni un IBAN. Cela peut provenir d’une régie publicitaire qui suivait votre comportement pour un cashback et qui a récupéré les 6 premiers chiffres de votre carte bancaire pour des raisons de « statistiques ». Mais les données peuvent également alimenter ces bases avec des sources moins glorieuses, par exemple, un site qui a vu sa base de données fuiter et qui conservait les 6 premiers et 4 derniers chiffres de votre carte bancaire…
Avec les 6 premiers chiffres d’une carte, on parle de « BIN », ce n’est pas une donnée personnelle. On peut en déduire le nom de la banque qui délivre la carte, le type de carte (débit/crédit) et le niveau de carte (classique, gold…) mais également le pays de délivrance. Ces 6 premiers chiffres ne permettront jamais de retrouver un titulaire ou une donnée personnelle. Toutefois, elles peuvent servir à qualifier votre profil comme « client ING Mastercard Gold à débit différé ».

Victime ou fautif des opérations frauduleuses ?

Nous ne sommes ni des juges, ni même des avocats. Nous n’exprimons là qu’une opinion monétique sur la situation, et les dommages qui en résultent.

La divulgation d’éléments de sécurité personnels

Malheureusement, le fait est que la fraude a été facilitée par l’excès de confiance ou la peur du client face à une supposée fraude, qui n’existe pas encore. Nous pouvons donc comprendre qu’ING refuse l’indemnisation. La réglementation impose à la banque de rembourser les opérations frauduleuses, sauf s’il y a négligence et qu’elle est en mesure de prouver la négligence de son client.

Lorsqu’un paiement est fait avec le cryptogramme visuel, ou le PIN. Les banques n’aiment pas rembourser ces transactions, car un élément personnel, censé n’être connu que du client est utilisé. Un cryptogramme par exemple ne figure que sur la carte, il n’est ni dans la puce, ni dans la piste de votre carte bancaire.
Les opérations en 3DSecure qui nécessitent une validation dans une application ou la fourniture d’un code par SMS ne sont pas souvent remboursées, car il y a eu concours du client pour l’opération frauduleuse. Elles vont rembourser si par exemple le numéro de téléphone du client a été changé récemment et donc le SMS n’est pas parvenu sur le bon numéro. Avec la DSP2 les banques ont dû basculer vers une authentification forte via un téléphone mobile, un boitier générateur de code unique, ou une phrase de sécurité + un code SMS.

Des fraudes qui continuent après la mise en opposition de la carte

L’un des points soulevés dans les témoignages, c’est que les opérations ont continué d’affluer malgré la mise en opposition de la carte.
Sur ce point, le client peut être tenu responsable des fraudes jusqu’à ce que l’opposition soit formée par ce dernier. Mais après la mise en opposition effective, le client n’est plus responsable.
Il faut rapidement distinguer deux choses. Après une opposition des débits peuvent encore survenir car l’autorisation de paiement fût obtenue avant l’opposition. Durant quelques jours, il peut être normal d’avoir encore des débits, car à la date de l’autorisation, la carte était pleinement active et non frappée d’opposition.
Dans les histoires relatées, les clients confirment que même après l’opposition, des autorisations furent délivrées au fraudeur.
C’est sur ce point qu’ING a fauté, de notre point de vue, dans l’intégration d’Apple Pay. Il faut savoir qu’Apple recommande de décorréler la carte physique de la carte dans Wallet (Apple Pay). Ainsi, en cas d’opposition de la carte physique, le token (carte dédiée à Apple Pay) peut continuer de fonctionner.
La majorité des banques remplacent automatiquement le token dans Apple Pay, Garmin Pay, Google Pay… lorsque la carte du client est remplacée. Toutefois, il n’est pas cohérent de faire cela lorsque le remplacement est la conséquence d’une fraude, car la banque permet alors au fraudeur de continuer à utiliser Apple Pay, soit avec l’ancien token, soit avec le nouveau qu’elle a actualisé. En cas de fraude, on révoque le token, et la carte est alors désactivée dans Apple Pay, et Apple est informé qu’il y a un problème avec une carte.
ING n’aurait donc pas dû remplacer le token, car le client n’a pas la main sur ce token, seul l’émetteur de la carte peut le révoquer et piloter celui-ci. ING aurait donc dû prendre les mesures, encore faut-il que les conseillers soient informés du fonctionnement technique d’un xPay et aient des procédures standardisées pour éviter ces situations.
La règlementation est claire sur ce point, et Mastercard comme Visa convergent vers celle-ci. Dès que la carte de support est frappée d’opposition, le porteur n’a plus de responsabilité concernant les nouvelles autorisations délivrées par l’émetteur. Il doit donc être remboursé sans délai des transactions autorisées entre l’opposition et la découverte des débits sur son compte bancaire.

Les possibilités de recours offertes aux clients d’ING

Toutes les autorisations obtenues entre l’activation d’Apple Pay et la mise en opposition devront faire l’objet d’une contestation auprès d’ING. Toutefois, ING pourra à sa discrétion, refuser de rembourser le client se sentant victime de cette situation. Là où ING ne pourra opposer de refus à son client, c’est pour les autorisations accordées par ING après cette mise en opposition.
Si ING forme un refus pour les opérations avant l’opposition, le client pourra saisir le service consommateur / réclamation d’ING. Si la décision reste toujours en sa défaveur, il pourra saisir le médiateur, ce dernier pouvant rendre un avis opposé à la position d’ING selon sa sensibilité de la situation.
Dans tous les cas, il faut déposer une plainte, le client ayant un préjudice, sa plainte est donc recevable. D’autant que les forces de l’ordre pourront ainsi investiguer et remonter rapidement à l’opérateur ayant servi au fraudeur pour commettre son méfait. Les transactions devraient permettre éventuellement de le confondre selon les opérations effectuées. Apple Pay ayant la possibilité d’être utilisé en sans contact, en paiement à distance ou encore au travers d’applications installées sur iOS.

L’ajout de cartes frauduleuses dans Apple Pay

Le client d’ING peut demander à ING de lui communiquer un certain nombre de données, par exemple, le score signalé par Apple lorsque le détenteur du mobile a tenté d’ajouter la carte dans Wallet.
Nous avions traité du score Apple dans un article. Pour rappel, Apple a un panel de score qu’il est capable d’envoyer à l’émetteur de la carte afin de l’orienter sur la légitimité ou non de cet ajout de carte dans Apple Pay. L’émetteur est alors libre de traiter le score, encore faut-il qu’Apple en ait remonté un, et qu’Apple ait bien détecté un comportement anormal de la part de son utilisateur.
ING pourra également communiquer des données comme le nom de l’iPhone, le modèle, les 4 derniers chiffres du numéro d’appel de l’iPhone, le code pays de l’iPhone, le numéro de série, les informations relatives au compte Apple (iCloud…). Diverses données que le client d’ING pourra verser à sa plainte afin de fournir le maximum d’éléments.

Le risque si le client d’ING ne remet pas son compte en position créditrice

Dans l’absolu, ING peut retirer l’usage de la carte en signalant la situation auprès de la Banque de France, ayant pour conséquence un fichage FCC au volet carte bancaire. L’ensemble des banques françaises sont alors informées de la situation et peuvent retirer à leur tour les cartes bancaires attribuées à ce même client.
Si le solde reste en position débitrice, ING disposera également de la faculté de signaler son client au sein du FICP, lui aussi détenu par la Banque de France. Cette conséquence est plus grave, car un tel fichage provoque la révocation des découverts autorisés, et certains établissements peuvent aller jusqu’à la clôture avec effet immédiat du compte.
Nous avons même déjà constaté que des organismes de crédits provoquaient la déchéance du terme, obligeant leur client à solder immédiatement la totalité de son financement, faute de quoi, des saisies seraient engagées. Un fichage FICP peut donc entraîner des conséquences dramatiques.
Si ING refuse en première saisine de rembourser tout ou partie des opérations, il faudra rapidement se tourner vers le service consommateur / réclamation pour contester la décision. Il est important de garder le dialogue ouvert avec l’établissement afin qu’il gèle les éventuelles mesures et qu’il n’y ait pas de conséquences dans l’attente d’une décision finale. Dans l’idéal, si les fonds sont disponibles, le mieux est de payer les opérations en attendant que les recours soient diligentés.

Conclusion

Les xPay sont depuis quelques temps la finalité de fraude préférée des escrocs. Ce moyen de paiement ayant les plafonds de votre carte bancaire, ne nécessitant pas de code… est donc un jackpot pour ces derniers.
Le temps que le porteur de la carte constate la situation, des centaines, voire des milliers d’euros se sont déjà évaporés dans la nature.
Les xPay ne sont pas considérés comme ayant le même niveau de sécurité qu’une carte à puce. Elle est moindre car le risque de fraude est bien plus élevé, et les conséquences bien plus dramatiques qu’avec une carte bancaire.
Une volonté de simplification qu’Apple impose presque à ses partenaires (les banques), se retourne ici contre des clients ING. Un tiers ayant assimilé le fonctionnement d’ING a retourné cette connaissance contre des clients de la banque. Pour autant, la banque ne peut que subir cela en partie. Elle devra tout de même se remettre en question sur l’acceptation d’autorisation après que son client aura opposé la carte pour fraude. Elle ne doit pas renouveler le token, mais révoquer ce dernier.