Le couple Jost a perdu 20'000 francs en quelques minutes. Des escrocs ont récupéré leurs accès bancaires et leur ont dérobé toutes leurs économies. Dans cette histoire, toutes les mesures de sécurité se sont révélées inefficaces.
Malgré l'authentification à deux facteurs (2FA) par téléphone portable, des cybercriminels ont réussi à vider leur compte. La banque, contactée rapidement, n'a pas pu non plus aider le couple, bien qu'au début, l'argent semblait toujours se trouver en Suisse – simplement dans un autre établissement bancaire Leur banque de toujours a néanmoins refusé de les aider: «C'est de leur faute», leur a-t-elle rétorqué.
Les banques connaissent leurs failles
L'expert informatique Gianclaudio Moresi a commenté cette faille dans l'authentification à deux facteurs. Il travaille pour de grandes entreprises et enseigne à l'université de Saint-Gall. L'expert s'indigne: «Les banques sont conscientes que les méthodes de sécurité actuelles n'offrent plus une sécurité absolue.»
Selon lui, les procédures de sécurité censées offrir une protection sont depuis longtemps dépassées. Le spécialiste a déjà fait des présentations sur ce thème lors de nombreuses conférences et publié plusieurs livres à ce sujet. L'authentification à deux facteurs, en particulier, présente des faiblesses connues depuis des années.
Les raisons de l'échec
Dans le cas du couple Jost, les criminels ont utilisé une technique appelée Man-in-the-Middle-Attack (MitM), explique l'expert. Le pirate s'infiltre discrètement entre l'utilisateur et la banque, observe le trafic de données et intercepte le lien de connexion du client. Grâce à ce proxy inverse, le criminel peut se connecter en arrière-plan au compte, malgré l'authentification à deux facteurs.
«Les pirates peuvent effectuer des transactions sans que même le client le plus prudent ait une chance de les empêcher», explique Gianclaudio Moresi. Il conclut: «Notre argent à la banque n'est plus aussi sûr qu'avant.» Grâce à l'intelligence artificielle, les attaques seraient encore plus raffinées et exécutées à une cadence effrénée.
Externalisation de la responsabilité
Ce qui l'inquiète particulièrement, c'est que «les banques transfèrent la responsabilité sur leurs clients. Mais ceux-ci ne peuvent pas faire grand-chose, les institutions disposent de bien plus de moyens.» Avec des investissements ciblés, les banques pourraient identifier les liens suspects, vérifier les comportements et stopper immédiatement les virements suspects.
Gianclaudio Moresi mentionne l'UBS de manière positive: en cas de paiements importants ou inhabituels, une deuxième authentification y est exigée, ce qui augmente sensiblement la sécurité.
Le business à 400 milliards
La cybercriminalité est une activité lucrative pour les escrocs. Selon des études récentes, les dommages dans le monde entier sont estimés à plus de 400 milliards de dollars américains. La Suisse fait partie des hotspots avec les Etats-Unis et le Danemark. Plus de 42'000 cas d'escroqueries en ligne ont été signalés selon la statistique policière de la criminalité 2024, soit 40% de plus que l'année précédente. Selon les annonces faites à l'Office fédéral de la cybersécurité, l'escroquerie et le phishing arrivent régulièrement en tête.
Les banques sont également conscientes de leur rôle sensible dans ce système. Selon l'Association suisse des banquiers (ASB), le niveau de sécurité dans le secteur financier suisse est toutefois élevé. «Les banques investissent de manière conséquente dans leurs systèmes de sécurité et de prévention», explique Richard Hess, responsable de la finance numérique, interrogé par Blick. Il souligne que «les systèmes bancaires sont robustes et répondent aux exigences actuelles en matière de cryptage et d'authentification».
Le point faible reste les humains
Du point de vue de l'ASB, dont UBS, Raiffeisen et PostFinance figurent parmi les membres, la plupart des cas de fraude ne se produisent pas parce que les systèmes de sécurité sont défaillants. «Le point faible reste clairement nous, les humains», explique Richard Hess, «les escrocs le savent et utilisent des astuces psychologiques pour nous manipuler de manière ciblée».
Avec les progrès technologiques, il est également de plus en plus facile de «simuler une réalité numérique très crédible avec peu d'efforts». Par exemple un faux site web d'une banque, comme dans le cas des Jost.
Plus et mieux de collaboration
Malgré tout, l'association voit elle aussi un potentiel d'amélioration. Richard Hess explique: «En premier lieu, il faut sensibiliser et informer les clients. Seuls ceux qui connaissent les arnaques courantes peuvent s'en protéger efficacement.» Il existe déjà des initiatives à ce sujet en Suisse, mais selon l'expert, les forces pourraient être davantage regroupées et les campagnes mises en œuvre de manière coordonnée.
Parallèlement, il faut aussi des solutions techniques, selon Richard Hess: «Dans l'idéal, des systèmes devraient vérifier en temps réel les transactions interbancaires à la recherche de modèles suspects et renvoyer aux banques les indications correspondantes afin d'empêcher les paiements frauduleux avant même qu'ils ne soient déclenchés», explique-t-il. «Bien entendu, dans le respect de la protection des données et des autres exigences réglementaires.» Des initiatives en ce sens seraient actuellement examinées de manière approfondie.
En outre, l'association souhaite améliorer la collaboration avec d'autres acteurs, comme Meta avec ses plateformes de réseaux sociaux. La raison est simple: «La plupart du temps, le contact avec les victimes est établi par d'autres canaux, c'est pourquoi nous voulons déjà commencer par là.» Mais Richard Hess est conscient que «nous ne pouvons que rendre les escroqueries plus difficiles, nous ne pouvons malheureusement pas les empêcher complètement.»
