Pourquoi Max arrête temporairement l’agrégation de 3 banques ?

Le 27 juillet, l’équipe de Max a fait parvenir un mail à l’ensemble des ses clients. Max informe ses clients que certaines cartes ajoutées sur le service après le 1er juin 2020 vont être désactivées.

Caisse d’Épargne, LCL et La Banque Postale

Ce sont ces 3 établissements bancaires qui sont concernés par cette décision. Toutes les cartes de ces banques ajoutées après le 1er juin 2020 dans Max sont retirées. Cette mesure reste en vigueur jusqu’au 10 septembre.
Si la carte de l’un de ces établissements a été ajoutée avant le 1er juin, elle reste active dans Max et vous pouvez pleinement l’utiliser. Il ne faut pas supprimer votre carte, faute de quoi, vous ne pourrez plus l’ajouter.

Ajouter une carte dans Max

Au sein de l’application Max, l’ajout d’une carte n’imposait une lecture optique de cette dernière qu’au premier ajout. En cas d’échec, une procédure avec justificatif d’identité était nécessaire. Vous pouviez ensuite ajouter les autres cartes en saisissant manuellement les informations de celles-ci.
En juin dernier, au travers d’une mise à jour, Max a rendu obligatoire la lecture d’une carte afin de pouvoir l’ajouter. Ce qui ne manqua pas de soulever quelques problémes, comme des blocages temporaires de comptes. Certains utilisateurs se sont retrouvés avec un message indiquant qu’un contrôle d’identité était en cours.
Malheureusement, l’application Max ne sait « lire » que les cartes embossées. Il devient donc compliqué d’agréger des cartes lisses. C’est également une source de complications pour les clients utilisant des numéros de cartes virtuelles dans Max, comme par exemple Virtualis de Fortuneo.
Cette position soudaine de Max avait soulevé des questions. Ce revirement laissait penser que Max avait besoin de renforcer les contrôles pour toutes les cartes ajoutées.

Vérifier une carte dans Max

Avant la mise à jour, on pouvait donc saisir l’ensemble des données manuellement. Cela comprenait les données de titulaire, le numéro à 16 chiffres, l’expiration et le cryptogramme (CVx2).
Une fois ces données fournies, Max réalise sous le libellé « MAX ENROLEMENT » un micro-débit d’une somme aléatoire et inférieure à 5€. Ce montant doit être reporté dans l’application Max, afin de confirmer que vous êtes le possesseur, et ainsi activer la carte.
Si votre banque vous permet d’obtenir le montant immédiatement, vous pouvez valider dans la foulée votre carte. A défaut, il faut attendre 24/48h ouvrées, afin que la compensation ait lieu, et le débit porté sur votre compte.
Une fois le bon montant renseigné, Max rembourse ce micro-débit sur la carte concernée. En cas d’échec répété, l’opération est bloquée et un assistant du service Max doit reprendre la main.

Les opérations en agrégation avec Max

Chaque paiement ou retrait effectué avec Max, que ce soit via la carte ou un équipement connecté, sont présentés à votre banque comme un paiement à distance. On parle de « saisie manuelle » ou « Card Not Present (CNP) » et comme la transaction initiale n’est pas en 3DSecure, on précise « UCAF 0 ».
Entre Max et votre banque, la transaction passe toujours via le réseau e-RSB, c’est-à-dire « CB », si votre carte porte le logo « CB ». A défaut, Max utilisera le réseau Mastercard ou Visa. On souligne que le réseau Visa n’est plus accessible à Max, et cela jusqu’à nouvel ordre.
Lors des transactions, Max va utiliser un autre contrat nommé « MAX AUTORISATION » (10395592020 – T 02). Pour votre banque, les transactions ne sont pas considérées comme « itératives », c’est-à-dire suivant une première transaction authentifiée. Votre banque peut donc plus facilement répudier les transactions préalablement approuvées au profit de Max, et récupérer les fonds. Elle ne va recourir à cette procédure de chargeback qu’en cas de fraude, car les règles du réseau « CB » sont très strictes sur les motifs autorisés, à l’inverse de Visa et Mastercard qui sont plus souples.

Exclure 3 banques rétroactivement au 1er juin 2020

Pourquoi cette décision a été prise ? C’est tout simplement en raison des fraudes subies par Max par suite d’abus sur son service. Comme nous l’avons rappelé, pour approuver une carte, il suffit de renseigner un montant aléatoire.
Max et ses partenaires considèrent que les cartes avant le 1er juin sont fiables et qualifiées, c’est-à-dire sans risque de fraude. Ils laissent donc ces cartes afin que les clients puissent utiliser Max.
Toutes les cartes ajoutées au-delà du 1er Juin, sont quant à elles considérées comme potentiellement compromises. Elles sont supprimées, et impossible d’en ajouter, au moins jusqu’au 10 septembre.

L’une des méthodes pour la fraude

Officiellement, un client ne doit ajouter que des cartes à son nom au sein de Max. Toutefois, il n’y a pas de contrôle possible dans la mesure où les banques n’échangent pas cette donnée nominative.
Une fois un compte obtenu frauduleusement auprès de Max, les escrocs vont ensuite ajouter des cartes issues de campagnes de phishing. Ils n’auront besoin que des informations que nous avons indiquées, et d’attendre ensuite le micro-débit pour certifier la carte dans Max.
Nous avons échangé avec un confrère travaillant dans l’une des banques concernées par la mesure. Il nous explique qu’en vérifiant un panel de victimes, il constate que toutes utilisent des agrégateurs de compte. Ce qui laisse planer le doute sur le fait que ces client utilisent des mot de passe trop simplistes sur de tels services et que les escrocs ont pu obtenir des accès pour récupérer le montant dans les transactions.

Une autre variante de la fraude

Dans l’échange de groupe, un autre collègue nous indique que l’obtention du montant de ce micro-débit s’obtient également en « social engineering » après une campagne de phishing.
L’escroc est en possession de tous les éléments de votre carte bancaire. Mais en plus, il connaît votre nom, votre prénom, votre adresse postale, votre date de naissance et d’autres éléments. L’ensemble des ces informations suffisent à se faire passer pour vous auprès de certains organismes financiers.
Exemple, en appelant une plateforme de la banque et en indiquant qu’on n’arrive pas à faire un paiement chez « MAX ENROLEMENT ». Si l’employé n’est pas trop méfiant, il peut répondre « je vois bien 2.01€ payé chez Max Enrôlement pourtant à cette date ». Voilà, l’escroc dispose à présent du montant, sans que l’employé se rende compte qu’il vient de divulguer une information cruciale à l’escroc.

3 banques et pas les autres

Lors de campagne de phishing, les CERT (Computer Emergency Response Team) internes aux banques, utilisent tous les outils et contacts à leur disposition, afin de stopper nette la campagne de phishing. En règle générale, cela passe par la mise hors ligne du site concerné, et parfois par la récupération des données capturées, quand elles sont stockées dans une base de données ou un fichier local.
Vérification effectuée auprès de plusieurs CERT, les 3 banques indiquées sont bien celles qui sont les plus visées par des campagnes de phishing. Mais surtout, un triste constat, ce sont celles où les clients sont les plus réceptifs à ces escroqueries.
La décision de Max colle avec la situation constatée par plusieurs CERT. D’autant que Max s’est probablement vu confronté à des « chargeback », avec une obligation de rembourser les fonds aux banques touchées. Une perte financière pour Max qui n’aura pas vraiment de recours possibles contre les escrocs.

Curve dans tout ça

Il est vrai que Curve n’est pas trop touché par ces situations. Pourtant, ils ne font pas passer de manière systématique de KYC sur leurs clients. Le KYC se déclenche selon le profil et l’usage qui est fait de Curve par le client. Avec le recul, nous connaissons les facteurs déclencheurs, mais ne comptez pas sur nous pour les publier.
On pourrait donc supposer qu’avec Curve ce genre de situation explose. Ce n’est absolument pas le cas. Curve ajoute les cartes en 3DSecure. Il y a donc une authentification forte du porteur qui est à réaliser. Ensuite, les transactions rentrent bien dans le cas des opérations « itératives ». Ce qui rend impossible un « chargeback » contre leur service. La première transaction est en 3DSecure, c’est donc votre banque qui portera le risque et la responsabilité en cas de fraude.
Si Curve vous considère comme un profil à risque, une procédure particulière va s’activer. Vous aurez donc une autorisation, ainsi qu’un micro-débit sur votre compte avec un code dans le libellé, couplé à un montant aléatoire.
Il faudra renseigner ce code à 6 caractères alphanumériques dans l’application. Une information qui est déjà beaucoup plus difficile à obtenir par « social engineering », car l’employé va s’interroger sur la demande. Ils sont au fait que dans les libellés peuvent se cacher des codes d’activations, comme c’est le cas également pour PayPal.
Curve exploite 27 autres dispositifs lorsque vous ajoutez une carte. Le but est de vous authentifier, de manière silencieuse, et c’est toujours la sécurité qu’on ne voit pas qui est la plus efficace. On ne peut pas analyser, détourner ou abuser ce qu’on ne voit pas lors des contrôles.

Les évolutions chez Max

Max indique que les 10 septembre, la situation devrait être de retour à la normale. On peut donc imaginer que Max change en profondeur son mécanisme pour ajouter une carte au sein du service. Par exemple via l’implémentation du 3DSecure, ou d’un libellé alphanumérique à renseigner pour approuver une carte.
Le mail parle de la possibilité d’alimenter son compte Max, en utilisant l’image d’un « Top ». Peut être que Max va proposer en solution de repli le TopUp. Le mécanisme serait alors le même que pour Revolut, on recharge le compte si l’agrégation n’est pas possible. Une méthode qui enlèverait tout risque d’impayé sur Max et transfèrerait cette responsabilité sur votre banque en cas de fraude.

Max le mauvais élève ?

Que ce soit le choix de Max ou de Curve pour valider une carte, les 2 méthodes se défendent. Mais surtout, dans le cas de Max il faut composer avec les règles du réseau domestique « CB » également. Des règles qui sont différentes de celles des réseaux Visa ou Mastercard. Max étant un service destiné aux résidents en France, il est normal qu’ils aient adoptés une approche plus « règles CB » que « règles Visa » ou « règles Mastercard ».
On apprécierait clairement que Max déploie le 3DSecure pour ajouter une carte, cela renforcerait la sécurité. Toutefois, nous restons réalistes, nous constatons tous les jours des fraudes avec le 3DSecure, et même en V2. Et ça même dans les néobanques avec des justifications « je n’ai pas compris, j’ai cliqué pour valider et enlever la notification pour voir ce qui se passait sur mon compte ». Ou plus simplement, le compte d’une néobanque ajoutée sur un autre mobile qui approuve alors dans l’application le 3DSecure.

Phishing un véritable fléau

On pourrait penser que les jeunes et les clients des banques en ligne sont au fait de ce type d’arnaques. Et pourtant, ce sont les principales victimes qu’on déplore lors d’abus sur leur outil de paiement.
Boursorama Banque est d’ailleurs souvent la cible des fraudeurs. La raison est simple, c’est une des banques en ligne historique, et presque toutes les personnes qui font de la banque en ligne y ont un compte.
Le phishing est l’une des situations qui agace les banques, mais ce n’est pas la seule.
Dans un jeune public hyper connecté et très axé sur les réseaux sociaux, on voit de plus en plus d’escroquerie aux faux sites de vente en ligne. Une publicité sur un réseau social, l’intégration d’un paiement facile sans créer de compte comme Apple Pay et le piège s’est refermé sur la victime. Elle ne verra jamais son produit, ni son argent car peu importe la banque, elle n’a pas à s’ingérer dans cette situation. Vous avez été négligeant en ne vérifiant pas par exemple les mentions légales ou l’existence réelle de la société. Les montants unitaires sont d’ailleurs souvent en dessous de 50€ de quoi renforcer l’idée de s’asseoir sur son argent.

Conclusion

Il serait donc stupide de jeter la pierre à Max sur cette situation. Tous les acteurs « en ligne » sont confrontés aux fraudes. C’est même désespérant de voir parfois l’ingéniosité des fraudeurs qui détournent en un claquement de doigts les contrôles qui peuvent exister en visio chez Revolut, N26, bunq…
Les escroqueries peuvent revêtir plusieurs formes. Récemment une société se faisant passer pour le groupe Bouygues Immobilier proposait à des particuliers d’investir dans des parkings. Tout existe, jusqu’à l’utilisation de la marque « bouygues » dans le domaine de l’adresse internet.
Il est impossible de protéger tous les clients de toutes les formes de fraudes qui peuvent exister. Les sociétés choisissent toutes un juste milieu entre la « friction » et la prise de risque pour simplifier le parcours client.
Même s’il est déplaisant d’être concerné par la mesure mise en place par Max, il faut se dire qu’elle préserve le service pour tous les autres clients. Ne rien faire équivaudrait à la disparition de Max, un service qui malgré les critiques à son encontre, reste très utilisé par des personnes au quotidien.
La décision nous semble donc mesurée et dans l’intérêt de tous, y compris les autres usagers qui peuvent utiliser Google Pay, Apple Pay, Garmin Pay, Samsung Pay… quand leur banque française ne propose pas ce service.