La criminalité et la cybercriminalité ne cessent d’augmenter. Les chiffres sont alarmants. Aujourd’hui nous vivons sous la menace constante de ces fléaux. Plus de 90 000 victimes ont été assistées sur la plateforme cybermalveillance.gouv.fr en 2019 contre 28 855 en 2018, soit une augmentation de plus de 210 %. Parmi ces victimes, 90% sont des particuliers. Parmi ces actes de délinquance, il faut citer les vols et piratages de smartphones. La dernière étude publiée par l’Observatoire national de la délinquance et des réponses pénales (ONDRP) faisait état de 775 000 plaintes pour vols de smartphones. D’après les enquêtes « Cadre de vie et sécurité » menées conjointement par l’INSEE et l’ONDRP avec le concours du Service statistique ministériel de la sécurité intérieure (SSMSI), les femmes et les jeunes sont les premières victimes. La cybercriminalité dans le domaine bancaire s’appuie sur de nouvelles failles potentielles liées à l’explosion des données (mégadonnées ou « big data »), à l’utilisation croissante des mobiles et applications bancaires, au développement des API (Application Programming Interface), etc.

Face à la numérisation des services bancaires, les pirates sont de plus en plus inventifs et les risques de fraude se multiplient. Par ailleurs, la course vers le tout numérique va accroître la fracture numérique.

1. Des innovations bancaires pour le bonheur hélas des cybercriminels

A. Développement de la téléphonie mobile

Il y une trentaine d’années, les relations bancaires s’effectuaient essentiellement en agence, par l’intermédiaire de conseillers. La démocratisation des smartphones a modifié le paysage bancaire. Désormais, les consommateurs s’enthousiasment pour les services bancaires en ligne. Dès lors, les banques sont confrontées au défi de la transformation numérique sous deux angles : l’accroissement de la cybercriminalité et l’engouement des particuliers pour toujours plus de numérisation des services bancaires. D’après la Fédération Bancaire Française, 55 % des Français ont téléchargé au moins une application bancaire. 89 % d’entre eux la consultent au moins une fois par semaine et pour près de la moitié d’entre eux chaque jour, que ce soit pour suivre l’évolution de leurs comptes, gérer leur budget ou leurs transactions. Les smartphones se métamorphosent progressivement en outil de paiement universel.

Lors d'un entretien accordé le 25 novembre 2015 au Magazine des professions financières, Marie-Anne Barbat-Layani, ancienne directrice générale de la Fédération Bancaire Française (FBF), affirmait que « le numérique est un véritable défi et une formidable opportunité car les banques ont une grande tradition d’innovation ». De leur côté, comme nous l’avons vu précédemment, les Français recourent de plus en plus à Internet pour consulter leurs comptes, s’informer sur les produits et services bancaires ou pour effectuer toutes sortes d'opérations simples ou complexes. Aujourd'hui, toutes ces opérations se réalisent en un clic. A partir de sa banque en ligne ou de son application mobile, le client dispose d'un service bancaire complet disponible à tout moment pour réaliser, de n'importe où, toutes les opérations du quotidien.

Le nombre de fonctionnalités des applications des établissements bancaires à distance destinées au smartphone ne cesse de progresser. A cet égard, une application bancaire va séduire les accros au smartphone grâce à sa conception (« design »), sa rapidité et sa simplicité. La banque mobile est en train de se développer. De plus, avec la mise en place de la directive européenne sur la sûreté bancaire (directive sur les services de paiement/DSP2), les banques incitent fortement leur clientèle à utiliser un smartphone récent équipé d’un système d’exploitation américain. Ceux qui n’en ont pas risquent de ne plus pouvoir accéder à leur compte en ligne. Ainsi par exemple, depuis le 20 janvier 2020 certains clients du Crédit Mutuel ont eu la mauvaise surprise de ne pas pouvoir se connecter à leur compte. La banque exige désormais que le client télécharge une application sur son téléphone mobile. Faute de quoi, l’accès au compte est refusé. De nombreux clients piégés ont appelé le Crédit Mutuel qui s’est défendu en se réfugiant derrière la DSP2. En réalité, cet établissement force la main et exige de ses clients qu’ils aient un smartphone car depuis 2005 il fait des offres de téléphonie mobile. En 2011, il a généré un chiffre d’affaires de 320 millions d’euros en équipant plus d’un million de clients avec un forfait NRJ mobile. Cette offre n’est pas la première incursion d’une banque dans la téléphonie mobile : les applications pour smartphones sont désormais généralisées d’une banque à l’autre et vont du simple rappel des numéros d’urgence à la consultation des comptes et à la localisation des distributeurs automatiques de billets (DAB).

B. Les principales applications

Avec l’avènement des smartphones, les banques ont développé leurs propres applications, comme la consultation des comptes bancaires, le paiement dont le paiement sans contact, le virement, le retrait d’argent aux distributeurs de billets (DAB) par mobile et bientôt des DAB sans contact.

  • Concernant le paiement sans contact par téléphone mobile (M. paiement ou paiement mobile, il vise notamment à transformer son téléphone portable équipé d’une puce NFC en un appareil de paiement, semblable à un portefeuille électronique, à partir duquel un consommateur pourra effectuer des paiements, réaliser des opérations financières de portable à portable ou encore s’équiper d’applications bancaires pour tout type de transaction. Dans le cas d’un paiement sans contact basé sur la technologie NFC, le mobile agit comme une carte de paiement sans contact. Ce qui signifie que si un téléphone mobile est équipé du système NFC et que la banque du titulaire du téléphone propose un service de paiement par téléphone mobile, il est possible d’effectuer des achats de faible montant avec un plafond de 50 euros par opération comme pour la carte bancaire sans avoir besoin de saisir le code confidentiel, de signer et de présenter une pièce d’identité.
  • S’agissant des retraits de billets par mobile, certains établissements bancaires ont mis en place depuis 2014 des dispositifs qui permettent à leur clientèle d’effectuer des retraits dans certains DAB grâce à la génération d’un code à usage unique accessible sur leur mobile. A l’instar de l’étranger, des distributeurs de billets sans contact sont actuellement en cours de test en France. Ils permettront de retirer de l’argent grâce à son smartphone. Pour récupérer les billets, le client devra en amont valider le retrait sur son téléphone puis utiliser l’écran de son téléphone pour scanner le code QR apparaissant sur le DAB.

Ces innovations sont une aubaine pour des pirates toujours plus ingénieux. En effet, ces derniers font preuve d’ingéniosité et d’une organisation toujours plus grande face au développement rapide des technologies, qui peuvent être porteuses de nouvelles vulnérabilités.

2. Sécurité des smartphones dans le domaine des opérations bancaires

Comme le souligne le rapport annuel de la sécurité des moyens de paiement – Exercice 2018, « l’enjeu majeur de sécurité pour les paiements par mobile concerne la protection des données utilisées pour initier les transactions. L’innovation et la maturité des solutions de sécurisation des données ont contribué sensiblement à l’essor récent des paiements par mobile ». Cela étant, les smartphones n’offrent pas un niveau de sécurité suffisant et les arnaques sont nombreuses.

A. Les arnaques bancaires au smartphone

Aujourd’hui, les Français raffolent de leur application bancaire qui figure parmi les trois applications mobiles incontournables des smartphones pour suivre leurs comptes ou faire des virements. Selon l’Institut OpinionWAy, l’ouvrir dès le matin serait le premier geste d’environ un quart des citoyens. Mais quid de la sécurité des applis mobiles des banques ?

Alors que les applications mobiles bancaires sont devenues inévitables dans les smartphones, elles sont loin d’être aussi sécurisées contrairement à ce que pensent certains. Les arnaques bancaires au smartphone sont nombreuses. Dans le cadre d’une étude consacrée à l’état de l’art des logiciels malveillants (« malwares ») bancaires de février 2019 intitulée « Android banking malware : Sophisticated vs. Fake banking apps », des chercheurs de la société ESET ont confirmé que les fausses applications bancaires et les chevaux de Troie constituaient l’essentiel des menaces bancaires mobiles. En novembre 2019, l’Association française des usagers des banques (AFUB) avait alerté sur la technique qui consistait à envoyer un SMS frauduleux destiné à vider un compte bancaire. Selon Jean-Michel Merliot, spécialiste de la sécurité chez Eset, le smartphone est, par nature, moins sécurisé qu’un PC. Pour ce dernier, « un enregistreur de frappe (voir glossaire) pourra plus facilement s’introduire dans un mobile et enregistrer le mouvement des touches lors de l’introduction d’un mot de passe ». Il déclare : « Jamais je ne ferais une transaction bancaire depuis un téléphone mobile ». D’après une étude réalisée par Pradeo, spécialiste de la sécurisation des applis et terminaux mobiles (smartphones, tablettes, objets connectés), ces applis et terminaux mobiles sont susceptibles d’exposer leurs utilisateurs à des cyber-attaques. Cette étude confirme que les smartphones sont souvent moins protégés que les ordinateurs et ils peuvent être soumis à de plus grandes failles de sécurité. En août 2017, des chercheurs en cryptographie de l’Ecole polytechnique de Zurich (ETH Zurich) ont trouvé une importante faille de sécurité du système d’exploitation Android. Cette faille permettait d’accéder à des milliers de smartphones à l’insu de leurs utilisateurs. Ces mêmes chercheurs viennent de publier début septembre 2020 un article scientifique décrivant comment ils ont réussi à contourner les sécurités du protocole de paiement par carte bancaire EMV pour régler sans contact, via un smartphone, n’importe quel achat dans un commerce physique. Dans le cadre de leur expérience, ils se sont munis de deux smartphones compatibles NFC (communication en champ proche) dans lesquels ils ont installé une application développée pour l’occasion. Grâce à la technologie NFC, le premier téléphone portable peut lire les informations de la carte bancaire et les transférer vers le second téléphone portable avec lequel il est possible d’effectuer l’achat.

S’agissant de la sécurité des smartphones, il faut également rappeler que la technologie NFC est piratable. En effet, une communication sans fil peut être interceptée à distance, par un pirate équipé d’un lecteur NFC ou intégré dans un smartphone. En 2011, Renaud Lifchiz, ingénieur sécurité chez British Telecom, démontrait qu’avec une clé USB NFC, ou un smartphone, il était possible de capter les ondes … et d’accéder à des données personnelles.

Enfin, nous avons vu précédemment que le paiement sans contact permettait de régler un achat en approchant la carte bancaire ou le téléphone portable muni d’une puce NFC à moins de 4 centimètres d’un terminal sans composer son code confidentiel, sans signer et sans présentation d’une pièce d’identité. Nous pouvons imaginer les conséquences d’une absence d’authentification en cas de perte ou de vol.

B. Quel dispositif utiliser : site sécurisé de sa banque ou application pour mobile ?

A la question consistant à se demander s’il n’est pas préférable d’utiliser le site internet officiel et sécurisé de sa banque plutôt qu’une « appli » pour mobile, on aurait tendance à répondre qu’il est plus sûr de réaliser ses opérations bancaires via le site de sa banque. Pour des questions de ressources disponibles, les antivirus pour PC sont plus puissants.

Les appareils mobiles (smartphone, iPhone, etc.) sont devenus la cible privilégiée des pirates. Pour des spécialistes en cybersécurité, « nous ne sommes pas encore assez conscients de la vulnérabilité des smartphones aux attaques des pirates informatiques ». Au total, « le smartphone est le maillon faible de la sécurité informatique ».

3. Numérisation des services bancaires et fracture numérique

A. La fracture numérique (ou fossé numérique) en France

Elie Michel dans le « Fossé numérique – L’internet, facteur de nouvelles inégalités » définit la fracture numérique comme « une inégalité face aux possibilités d'accéder et de contribuer à l'information, à la connaissance et aux réseaux, ainsi que de bénéficier des capacités majeures de développement offertes par les TIC. Ces éléments sont quelques-uns des plus visibles du fossé numérique, qui se traduit en réalité par une combinaison de facteurs socio-économiques plus vastes, en particulier l'insuffisance des infrastructures, le coût élevé de l'accès, le manque de création locale de contenus et la capacité inégale de tirer parti, aux niveaux économiques et sociaux, d'activités à forte intensité d'information ».

D’après le baromètre du numérique 2019, le smartphone s’est imposé comme le mobile de référence et bat des records. 75 % des Français possèdent un smartphone et près de la moitié d’entre eux l’utilisent comme équipement privilégié pour se connecter à Internet. Mais la fracture numérique est toujours présente. Cette dernière ne se dément pas dans les territoires en raison notamment de couverture mobile défaillante. 14 % des personnes qui habitent des communes rurales affirment avoir très souvent des difficultés à téléphoner, envoyer ou recevoir des SMS. Dès lors, le taux d’équipement en smartphone en pâtit. Au-delà des difficultés techniques d’accès à la technologie dans certains territoires, certains français restent exclus de ces technologies.

« L’illettrisme numérique » ou « illectronisme » (contraction d’illettrisme et électronique) concerne 13 millions de Français, soit environ 20 % de la population. Au-delà notamment d’une fracture entre générations, qui touche les personnes âgées, il faut également évoquer le poids du fossé culturel, c’est-à-dire les capacités de mobiliser des compétences afin de maîtriser les outils informatiques et numériques. Le débat sur la fracture numérique s’est déplacé : des inégalités liées à l’accès aux TIC, nous sommes passés à des inégalités sociales liées à leur usage. « La question clé devient alors non plus l’accès inégal aux ordinateurs, mais bien les manières inégales dont les ordinateurs sont utilisés » (Warschauer). En d’autres termes, la fracture numérique contribue à nourrir une autre fracture : la fracture cognitive (voir glossaire). Fabrice Le Guel, ingénieur de recherche à l’université Paris-Sud définit cette dernière comme des « inégalités en termes de connaissances et de compétences techniques nécessaires pour bénéficier des TIC ».

Les capacités à utiliser les TIC de manière efficace et autonome appelées compétences numériques (ou « nouvelle culture économique » ou « alphabétisation numérique ») comportent trois niveaux :

  • Les compétences instrumentales qui ont trait à la manipulation du matériel et des logiciels.
  • Les compétences structurelles ou informationnelles qui concernent la nouvelle façon d’entrer dans les contenus en ligne, c’est-à-dire chercher, sélectionner, comprendre, évaluer, traiter l’information.
  • Les compétences stratégiques relatives à l’aptitude à utiliser l’information de manière proactive, à lui donner du sens dans son propre cadre de vie et à prendre des décisions en vue d’agir sur son environnement professionnel et personnel.

B. Quid des exclus du numérique ou des réticents face à la banque mobile (« mobile banking ») ?

Le développement sans cesse croissant de la banque mobile va écarter les personnes exclues du numérique, les individus qui éprouvent un sentiment d’exclusion numérique lié à un manque de maîtrise des outils informatiques et les réticents qui ne font pas confiance à la sécurité.

  • Pour illustrer la problématique des exclus du numérique, prenons l’exemple du paiement sans contact depuis le début de la crise sanitaire.

Avec la crise de la Covid-19, nous voyons fleurir sur les vitrines des commerçants l’inscription « paiement en CB uniquement ». Ces derniers refusent les règlements en espèces. Le fait qu’un achat réglé au moyen d’un paiement sans contact soit considéré comme un « geste barrière » n’autorise pas un commerçant à refuser un paiement en espèces. En effet, comme les souligne Erick Lacourrège, directeur général des services à l’économie et du réseau de la Banque de France, ce commerçant est dans l’illégalité et la discrimination. Illégalité car seules les espèces ont cours légal en France et discriminant car « les espèces constituent bien souvent pour les populations les plus fragiles, le seul moyen de paiement possible : plus de quatre millions de Français sont bénéficiaires chaque mois de prestations sociales versées, dans une très grande proportion en espèces. Il est vital que ces derniers puissent continuer à faire leurs achats avec ce moyen de paiement ». Par ailleurs, la pratique consistant à interdire les paiements en espèces au sein d’un commerce revient à exclure des personnes qui ne possèdent pas d’autres moyens de paiement comme les mineurs, les majeurs protégés, les personnes sans abri.

  • Le tout numérique est en train d’isoler non pas seulement les populations fragiles (personnes âgées, personnes qui ne sont pas bien équipées, etc.) mais aussi les individus qui éprouvent un sentiment d’exclusion numérique lié à un manque de maîtrise des outils informatiques. En d’autres termes, tous les individus qui se sentent de plus en plus en décalage, eu égard à un manque d’aisance quant à l’usage d’Internet et des outils numériques. Dans un livre blanc intitulé « L’illectronisme » publié en juin 2019, Stéphanie Laffargue de l’Institut CSA révèle que « près d’un quart des Français (23 %) n’est pas à l’aise avec le numérique, soit environ 11 millions de personnes ». Celle-ci rajoute que certains français qu’elle appelle « les abandonnistes » renoncent à certaines démarches essentielles dans leur vie quotidienne parce qu’il faut utiliser Internet et qu’ils ne sont pas capables.
  • Enfin, la banque mobile va se heurter aux personnes réticentes qui ont des doutes sur la sécurité et qui redoutent les fraudes en augmentation constante.

4. Conclusion

Le smartphone n’est plus seulement l’appareil pour recevoir ou passer des appels. Il est devenu le centre névralgique donnant accès à des pans entiers de notre vie privée. Il est la clé de toutes sortes d’arnaques et d’escroqueries, notamment en matière bancaire. D’aucuns parlent de « Smartvol » pour piller les comptes en banque.

En raison de l’analyse qui a été faite dans cet article, il n’apparaît pas souhaitable que le smartphone s’impose comme moyen de paiement dominant. L’engouement pour la numérisation des services bancaires ne doit pas nous faire perdre de vue l’explosion des vols de mobiles avec violence et la cybercriminalité bancaire dont les clients sont la principale cible des pirates.

Que fait-on pour lutter contre tous ces actes criminels qui dégradent non seulement la vie des Français mais qui coûtent très chers à la nation et conduisent au délitement de notre société ? Certains osent les nier ou les minimiser en employant à tort le vocable « incivilités ». Il est grand temps de réagir pour éviter que la France ne sombre dans le chaos.

5. Glossaire

Banque mobile (« mobile banking » ou « M. banking ») : Ensemble des opérations bancaires qui peuvent être réalisées à partir d’un smartphone, d’un IPhone, etc.

Code confidentiel PIN (« Personal Identification Number ») : Chaîne de caractères numériques strictement personnelle employée dans un système d'information afin d'identifier un utilisateur de manière univoque.

Communication en champ proche (« Near Field Communication/NFC ») : Technologie d’échange de données entre différentes puces séparées d’une distance de quelques centimètres.
Note : La communication en champ proche est une application des technologies d’identification par fréquence radio (RFID/Radio Frequency Identification).

Cybercriminalité : Ensemble des infractions pénales qui sont commises via les réseaux informatiques, notamment sur le réseau Internet.

EMV (« Europay Mastercard Visa ») : Standard de carte à puce, dont le concept a été lancé en 1997 par les réseaux internationaux Europay, Mastercard et Visa.

Enregistreur de frappe (« keylogger ») : Dispositif conçu pour enregistrer la succession des frappes effectuées par un utilisateur sur un clavier.
Note : L'enregistreur de frappe peut être un programme malveillant, qui opère à l'insu de l'utilisateur et permet, par exemple, de connaître son mot de passe.
(Source : FranceTerme).

Faille : "Vulnérabilité dans un système informatique permettant à un attaquant de porter atteinte à son fonctionnement normal, à la confidentialité ou à l’intégrité des données qu’il contient". (Source : Agence nationale de la sécurité des systèmes d'information).

Fracture cognitive : Inégalités d'usage des TIC.

Fracture numérique : Inégalités d’accès aux TIC.

Mégadonnées (« big data ») : « Phénomène qui fait référence à des technologies, outils, processus et procédures accessibles, permettant à une organisation de créer, manipuler et gérer de très larges quantités de données, afin de faciliter la prise de décision rapide ». (Source : IDC).

Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.