La société belge Approach a relevé des failles de sécurité quant à la domiciliation européenne
Il serait possible de commander des articles dans certaines boutiques avec un compte factice, en raison de failles relatives au système SEPA, concernant notamment les domiciliations européennes. Tel est le problème de sécurité qu’a découvert un consultant en sécurité, Pierre Alexis, de l’entreprise belge Approach. Cette information a été communiquée au magazine IT Data News.
Également connue sous le terme « domiciliation européenne », la démarche SEPA Direct Debit (SDD) est appliquée sur le territoire belge depuis 2014.
Grâce à ce système, les enseignes peuvent effectuer un prélèvement sur le compte bancaire d’un client après que ce dernier a donné son accord. Si le prélèvement automatique peut être effectué à n’importe quel moment, la facture est envoyée en fin de mois, parmi les relevés de compte bancaire.
Cette pratique est généralement celle des opérateurs de télécommunication et des sites de vente en ligne. Un professionnel d’Approach, un expert en cybersécurité en Belgique, a tenté l’expérience.
Je compare les offres bancaires
Un simple prélèvement SEPA est requis pour acheter des produits sur un site étranger
Après avoir créé quelques faux comptes sur la version allemande du site de vente à distance Amazon, les enquêteurs d’Approach y ont commandé des articles, dont le panier s’élève à 200 euros. Le montant a été effectivement débité sur le compte d’un tiers, dont le numéro IBAN a été transmis, alors que le nom n’était pas rattaché au compte en question. Les produits ont été livrés.
Tout a commencé quand Pierre Alexis, un consultant en cyber sécurité au sein du même groupe, a rencontré un souci avec sa carte de crédit, comptant réaliser un achat sur Amazon.
« Je voulais effectuer un achat sur le site allemand d'Amazon, et ma carte de crédit ne fonctionnait pas. J'ai donc recherché une autre solution. Tout s'arrangea très vite par simple domiciliation européenne, sans vérification supplémentaire, sans saisir de code et sans être soumis à d'autres mesures de sécurité. J'ai quand même trouvé cela étrange ».
Pierre Alexis.
Approach évoque justement, dans son rapport, que les risques de fraude sont plus élevés chez les sites de commerce électronique. lls seront amenés à restituer des sommes importantes lorsque des clients malintentionnés profitent de la faille de sécurité.
L’entreprise recommande alors aux commerçants de contrôler minutieusement la présence d’éventuels mandats joints aux comptes.
Le géant du Web opérant en Allemagne a relaté à Data News qu’il met en place un système optimal de sécurité concernant les paiements.
Wilfried De Reymaeker, qui travaille chez Ingenico ePayments, avance en tout cas que les lacunes du virement SEPA en matière de sécurité n’ont pas, jusque-là, des conséquences significatives en Belgique. Non seulement le processus de domiciliation y est très réglementé, mais encore il est encore peu populaire. Tel est aussi le cas dans l’Hexagone. Or, le recours à ce système est plutôt répandu en Allemagne.
Je compare les offres bancaires
Vérifier les mandats et bloquer les domiciliations pour éviter les abus
Pierre Alexis d’Approach pense que les établissements bancaires belges ne devraient pas accorder une confiance totale aux sites et aux entreprises commerciales qui ont intégré la domiciliation à leurs procédures. Ce conseil serait valable même si le client n’a, depuis, entamé aucune démarche visant à changer de domiciliation bancaire.
« Elles devraient les contraindre à mieux contrôler cette authentification et s'assurer qu'ils disposent des mandats ad hoc. À présent, elles peuvent dire que la manière dont les mandats SEPA sont obtenus, n'est pas de leur ressort. Ce n'est pas possible ».
Pierre Alexis.
Comme les signatures électroniques ont désormais force exécutoire, au même titre que les signatures sur papier (dans les modalités initiales du système), Wilfried De Reymaeker préconise leur insertion.
« Mais ce que nous proposons comme système de paiement, c'est une solution intégrant une signature électronique… À présent, les signatures électroniques sont également acceptées, et c'est précisément l'un des principaux services que nous proposons en plus. Nous allons effectuer quelques contrôles sur l'IBAN qui est transmis et nous allons également demander une signature électronique au client ».
Wilfried De Reymaeker
Les autorités compétentes ont également prévu des mesures visant à protéger les clients des éventuelles pratiques frauduleuses.
En effet, le consommateur lésé qui a opté pour la domiciliation européenne peut demander la restitution des fonds.
Il a huit semaines pour déclarer qu’un prélèvement automatique non consenti a été effectué sur son compte bancaire, après avoir consulté son relevé bancaire. Dans le cas où le site de vente en ligne n’est pas en mesure de transmettre le mandat dûment rempli, le délai dont dispose le client est étendu à treize mois.
Intervenant au nom de la Fédération belge du secteur financier (Febelfin), Isabelle Marchand affirme que les banques peuvent bloquer les prélèvements SEPA en plaçant une ou plusieurs enseignes sur une liste noire. La porte-parole ajoute les acteurs peuvent paramétrer la périodicité de la domiciliation, à la demande de l’usager.
