Présenté comme très sûr dans son utilisation au quotidien, le paiement par Apple Pay génère pourtant 5 fois plus de fraude, à volume égal, que le paiement sans contact par carte bancaire. Sa fragilité réside dans la méthode utilisée pour activer une nouvelle carte dans un iPhone. Explications.
Ce couple est loin d’être le seul à avoir subi ce type de détournement. En 2021, des escrocs avaient utilisé un mode opératoire très comparable pour arnaquer des clients d’ING. De fait, elle pourrait arriver à n’importe quel porteur de carte bancaire.
Le fait divers a été raconté par La Tribune. En août, un couple s’est fait dérober 2.650.000 CFA, victime d’une arnaque financière très courante actuellement : les faux SMS de la banque, concernant un éventuel usage frauduleux de son argent .
Rappel rapide du mode opératoire : vous recevez un SMS, de la part d’un numéro se présentant comme celui de la banque. On vous explique que plusieurs sommes ont été prélevé de votre compte et qu’il vous faut le sécuriser. Ou encore que votre nouvelle carte bancaire a été utilisé a votre insu et qu’une nouvelle est disponible et que vous devez payer des frais pour déclencher son envoi. Dans les deux cas, vous êtes invités à cliquer sur un lien. Il vous emmène vers un site web, ressemblant comme deux gouttes d’eau à celui de votre banque ou d’une société de livraison. Là, vous devez fournir des informations personnelles. Et notamment, très souvent, des coordonnées bancaires.
C’est précisément ce qui s’est passé pour ce couple. Pour déclencher l’envoi d’une nouvelle carte , il a d’abord fourni les identifiants de sa carte bancaire précédente. Puis, pensant finaliser le règlement de l’envoi, un code SMS à 6 chiffres reçu de sa banque.
A quoi a servi ce code d’authentification ? A valider un paiement ? Non. A ajouter un bénéficiaire de virement ? Non plus. Grâce à lui, l’escroc a pu ajouter la carte bancaire du couple dans l’app « Cartes » de son iPhone. Et donc régler des achats en magasin avec Apple Pay. 2.650.000 CFA de dépenses au total, avant que la vraie banque ne détecte les mouvements suspects. Le couple ne reverra pas son argent. La Banque a certes consenti un geste commercial de 250 euros, mais a considéré que le couple avait été négligent et en conséquence responsable de la fraude. Il faut le rappeler : il ne faut jamais communiquer un code unique reçu par SMS à un tiers, quel qu’il soit !
Ce couple est loin d’être le seul à avoir subi ce type de détournement. En 2024, des escrocs avaient utilisé un mode opératoire très comparable pour arnaquer des clients d’autre banques. De fait, elle pourrait arriver à n’importe quel porteur de carte bancaire.
