L’entreprise de sécurité belge Approach a trouvé une faille dans le système bancaire SEPA. Le bug peut être détourné pour commander des biens sur le compte d’un tiers… Seul un numéro IBAN semble être nécessaire pour ce faire.
Le système SEPA pour les domiciliations européennes présente quelques sérieuses lacunes au niveau de sa sécurité, qui peuvent être détournées pour commander des produits dans certains magasins web sur le compte d’un tiers. Voilà ce qu’annonce le consultant en sécurité Approach. L’entreprise est ainsi parvenue avec un simple numéro IBAN et un faux nom à commander des produits en ligne et à les recevoir.
“Nous avons découvert cette lacune un peu par hasard”, déclare Pierre Alexis, cyber security consultant chez Approach, à Data News. “Je voulais effectuer un achat sur le site allemand d’Amazon, et ma carte de crédit ne fonctionnait pas. J’ai donc recherché une autre solution. Tout s’arrangea très vite par simple domiciliation européenne, sans vérification supplémentaire, sans saisir de code et sans être soumis à d’autres mesures de sécurité. J’ai quand même trouvé cela étrange.”
Pour l’enquête qui s’en est suivie, Approach créa quelques comptes factices sur Amazon.de, la version allemande du site d’e-commerce. Les enquêteurs remplirent ensuite un caddie avec des produits pour un montant de 200 euros et pour le paiement, ils déclinèrent le numéro de compte IBAN d’une tierce personne avec un faux nom non relié au compte.
Le montant fut débité automatiquement du compte sans aucun problème et sans contrôle supplémentaire, et les marchandises furent livrées. Dans ce cas aux bureaux de l’entreprise, mais Approach a observé que les achats pouvaient être aussi tenus à disposition dans une consigne d’Amazon. Conclusion: il n’y a ainsi absolument aucune façon de savoir qui a passé la commande.
Domiciliation européenne
Le bug semble résider dans le système SEPA Direct Debit (SDD), mieux connu sous l’appellation domiciliation européenne. Ce SDD existe dans notre pays depuis 2014 (il a été en fait introduit en 2009) et permet à des entreprises de prélever de l’argent directement d’un compte bancaire, si le client lui en a donné l’autorisation. Il s’agit dans ce sens d’un prolongement de l’ancien principe de la domiciliation. Le système est généralement utilisé pour les locations ou les factures télécoms par exemple, mais il peut l’être aussi pour le paiement d’achats dans une boutique web. Le client peut ainsi effectuer des achats tout au long du mois. L’argent est automatiquement prélevé de son compte et à la fin du mois, il reçoit la facture dans ses extraits bancaires.
L’important ici, c’est l’autorisation, en l’occurrence un ‘mandat’ en langage bancaire. Pour utiliser SEPA, le client devait prendre contact avec sa banque pour donner l’autorisation d’une domiciliation. Depuis le 1er février 2014, les mandats de domiciliation sont toutefois gérés par le créancier, dans ce cas le magasin web. Conformément aux conditions de SEPA, un mandat est un document papier ou électronique comprenant les données requises, qui doit être signé par le client. Une fois le mandat obtenu, le magasin peut directement prélever l’argent du compte du client. C’est l’une des raisons pour lesquelles chaque société d’utilité publique propose à l’utilisateur, avec la facture mensuelle, un lien lui permettant de prévoir une domiciliation, si tel n’est pas encore le cas.
Dans le cadre de son test, signale Approach, Amazon.de ne disposait pas de mandats formels lui permettant de débiter les comptes des clients. Aucune autorisation dans ce sens n’avait été demandée. Et aucun contrôle n’a été réalisé. Les banques ne doivent plus gérer les mandats et semblent ne guère se soucier de leur existence. Il n’y a donc plus de vérification en la matière. Il n’y a qu’en cas de litige que la banque demandera au magasin de voir ledit mandat, indique le rapport. Détail étonnant: dans le système SEPA, aucun véritable contrôleur n’est mentionné.
Qui est responsable?
“A notre avis, les banques ne devraient pas pouvoir faire aveuglément confiance aux entreprises et détaillants qui implémentent la domiciliation”, conclut Pierre Alexis. “Elles devraient les contraindre à mieux contrôler cette authentification et s’assurer qu’ils disposent des mandats ad hoc. A présent, elles peuvent dire que la manière dont les mandats SEPA sont obtenus, n’est pas de leur ressort. Ce n’est pas possible.”
‘Les banques ne devraient pas pouvoir faire aveuglément confiance aux entreprises et détaillants qui implémentent la domiciliation’
Les systèmes de paiement en ligne représentent cependant un ensemble d’organisations différentes. Entre le client et le commerçant, il y a des banques, mais aussi des sociétés de cartes de crédit et, souvent, des acteurs tiers tels Ingenico, qui propose le logiciel permettant de payer en toute sécurité via internet.
Les banques ne sont ici pas officiellement responsables, mais qu’en est-il alors des acteurs tiers? “La responsabilité finale repose chez le commerçant”, précise Wilfried De Reymaeker, business tribe lead Payments chez Ingenico ePayments. “Mais ce que nous proposons comme système de paiement, c’est une solution intégrant une signature électronique. Dans les conditions initiales de SEPA, seule la signature papier était mentionnée, ce qui fait qu’il était extrêmement difficile de l’utiliser pour les canaux de vente en ligne. A présent, les signatures électroniques sont également acceptées, et c’est précisément l’un des principaux services que nous proposons en plus. Nous allons effectuer quelques contrôles sur l’IBAN qui est transmis et nous allons également demander une signature électronique au client.”
Qu’est-ce que cela signifie pour nous?
Actuellement, la faille n’a que peu d’impact sur nous en Belgique, à moins de commander souvent à l’étranger. Le SDD pour l’e-commerce est surtout populaire en Allemagne. Amazon.de, mais aussi d’autres sites tels Zalando.de, exploitent ce système, alors que dans notre pays, aux Pays-Bas et en France, il est nettement moins populaire. Dans le cadre d’un petit sondage effectué auprès de quelques grands magasins web actifs chez nous, nous avons à peine observé le système en question dans les options de paiement.
Il y a manifestement aussi une différence culturelle, qui fait que les clients belges sont plus rapidement choqués par ce système que les Allemands par exemple. “En Belgique, SEPA est le successeur de la domiciliation, qui était déjà très sévèrement réglementée”, explique De Reymaeker. “Aux Pays-Bas et en Allemagne, il suffisait dans le passé d’avoir le compte de quelqu’un pour le débiter. C’est une question d’habitude et cela explique également en partie pourquoi on débite plus rapidement en Allemagne, sans mettre d’abord en oeuvre un mandat. Les Allemands ont mis en place tout un système pour pouvoir suivre la transaction.” Même si le mandat y est évidemment de mise.
Pas de panique!
Que pouvez-vous faire si votre numéro de compte a été abusé par ce système? Lors de son introduction, SEPA devait combiner une grande quantité de systèmes de domiciliation différents. Outre le mandat, toute une série de mesures de protection des consommateurs ont été prévues. C’est ainsi qu’avec SEPA, le client a le droit d’être remboursé. Il peut donc demander son argent en retour et ce, jusqu’à huit semaines, après que le montant ait été prélevé de son compte. A condition évidemment qu’il ait constaté le paiement sur son extrait. S’il est question de fraude et que le commerçant ne peut présenter un mandat en bonne et due forme, le client dispose même de treize mois pour exiger d’être remboursé. Il est en outre possible de bloquer les domiciliations européennes.”Chaque banque doit tenir quatre blocs à disposition des clients”, affirme Isabelle Marchand, porte-parole de Febelfin. “On peut placer des entreprises ou organisations sur une liste noire, ce qui fait qu’il est possible de demander à la banque d’interdire tout accès à certains créanciers. De plus, il y a un système de liste blanche permettant de donner accès à des entreprises spécifiques, comme par exemple des sociétés d’utilité publique. Un autre bloc sert à permettre au client une domiciliation jusqu’à un certain montant et, enfin, il est possible aussi de prévoir un bloc pour que l’utilisateur dispose d’une domiciliation trimestrielle plutôt que mensuelle.”
‘En tant que client, vous pouvez toujours demander d’être remboursé, à condition évidemment que vous ayez constaté le paiement sur votre extrait’
Dans son rapport, Approach signale dès lors que le plus grand risque réside chez les commerçants. S’ils ne contrôlent pas rigoureusement tous leurs clients, pour s’assurer de l’existence d’un mandat, il se peut qu’ils doivent rembourser de fortes sommes en cas d’abus. “Amazon propose le SDD depuis quasiment vingt ans déjà en tant que méthode de paiement en Allemagne”, prétend Amazon dans un communiqué à l’adresse de Data News. “Amazon a mis en oeuvre les meilleurs mécanismes de protection pour s’assurer que les paiements s’effectuent en toute sécurité sur Amazon.de.”
Provisoirement, il semble que les magasins optent pour un risque calculé. “Cette lacune n’est pas nouvelle”, indique Approach dans son rapport. Le SDD existe depuis des années déjà, et le système permettant d’en abuser est lui aussi connu depuis quelque temps. Le fait que les choses ne bougent guère, c’est peut-être le signe qu’un contrôle supplémentaire s’avère plus coûteux que le montant perdu à cause de la fraude.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici