La scène peut paraître anodine. Mais pour Evelyne, elle marque le début d’un douloureux engrenage. Le 6 mars au soir, la septuagénaire discute avec un petit groupe de voisins et ouvre machinalement son courrier : une lettre des Finances publiques qu’elle finit par lire devant eux à haute voix. « J’avais vaguement entendu parler du vol de données à Bercy mais je n’ai pas du tout compris de quoi il s’agissait », soupire-t-elle.
Le lendemain, au centre des impôts, le couperet tombe. Elle y découvre le fichier national des comptes bancaires (Ficoba), consulté lors de l’intrusion. « Je vois que tout y est, mes informations personnelles, l’historique de mes comptes et même ceux de ma mère, qui a 99 ans et dont j’ai la tutelle », assène-t-elle, la boule au ventre. J’ai failli tourner de l’œil en prenant conscience des conséquences potentielles », poursuit-elle.
Hameçonnage, usurpation d’identité, prélèvements illégaux…
Ce vol de données n’est pas inédit. Free, Ameli, France Travail… De nombreux organismes et grandes entreprises ont été touchés ces dernières années par ce genre d’attaques, exposant les données personnelles de millions d’utilisateurs et clients.
Dérobées puis revendues sur le dark Web, ces informations sont utilisées en premier lieu pour des opérations d’hameçonnage : SMS, liens cliquables ou appels au nom de la banque sont destinés à obtenir l’accès aux comptes de la personne ou à lui faire faire des virements d’argent.
À lire aussiPiratage de données bancaires : la France « très mauvaise élève » en matière de cybersécurité
« C’est le principe du pompier pyromane, les voleurs se font passer pour les autorités compétentes venues régler le problème pour en réalité finaliser l’escroquerie », explique Maître Marie-Camille Eck, du cabinet MCE Avocat, spécialiste de ce type d’affaires.
Plus problématique encore, le vol de données peut permettre d’usurper l’identité d’une personne, afin d’ouvrir des crédits à la consommation à son nom, des comptes bancaires, ou bien encore de mettre en place des prélèvements.
« Dans le cas du piratage de Bercy, le risque est assez faible, car les voleurs n’ont pas les cartes d’identité des victimes. Mais il ne peut être exclu », indique l’avocate. « Certains font de fausses pièces mélangeant vrais et fausses informations et, parfois, ça passe malgré les contrôles, pour de petits crédits et même de grosses sommes type achat de véhicule à plusieurs dizaines de milliers d’euros. Des sommes dont la personne usurpée est ensuite redevable », poursuit-elle.
« Les données dérobées ne permettent pas de vider un compte. Mais c’est une porte d’entrée vers la fraude ; elles rendent les personnes plus vulnérables », précise une conseillère bancaire contactée par France 24.
« L’impression d’être prise au piège »
Face à ces risques, Evelyne aurait aimé agir préventivement. Mais depuis plusieurs semaines, elle a le sentiment de se heurter à un mur. « J’ai voulu changer de comptes, mais ma banque m’a dit que cela ne servait à rien et qu’ils ne pouvaient rien faire tant qu’une fraude n’a pas été constatée. La seule consigne est de vérifier avec une extrême vigilance les mouvements sur les comptes, et sans date de fin ! », s’agace-t-elle. « Tout cela me prend un temps énorme, d’autant plus que je ne maîtrise pas bien les outils numériques. J’ai l’impression d’être prise au piège et de vivre avec une épée de Damoclès au-dessus de la tête. »
Le sentiment d’impuissance est fréquent parmi les victimes de vols de données, affirme Maître Marie-Camille Eck, qui reçoit régulièrement des victimes d’usurpation d’identité et de fraudes, mais également des appels des personnes dans la situation d’Evelyne, « cherchant à être rassurées » et qui ont parfois « perdu le sommeil ».
« Il faut se dire que ce n’est pas parce que vos données ont été volées que des escrocs vont s’en servir, car il s’agit d’énormes volumes d’informations », indique-t-elle.
« Il est également vrai que changer de compte, malgré ce que l’on pourrait croire, n’est pas une solution magique. Car si une personne parvient à usurper votre identité, elle peut elle-même ouvrir des comptes à votre nom. Mieux vaut garder ses comptes et les vérifier attentivement, car plus vite on découvre la fraude, plus vite on peut agir », poursuit-elle.
Faille sécuritaire ?
Comme Evelyne, Jean-Louis a découvert il y a quelques semaines en ouvrant le courrier qu’il était concerné par le piratage des données au ministère des Finances.
Il affirme néanmoins ne pas s’en inquiéter outre mesure. « Il est très désagréable de se dire qu’on va devoir regarder tout le temps ses comptes, jusqu’à la fin de ses jours. Mais j’ai déjà cette habitude, car j’ai été victime d’une fraude à la carte bleue il y a quelques années, que j’avais signalée et pour laquelle la banque m’avait remboursé. Et puis, des messages d’arnaques, j’en reçois déjà tous les jours », explique-t-il.
À voir aussiCyberattaques : la France ciblée
Ancien cadre du secteur bancaire, Jean-Louis s’inquiète par contre qu’un vol d’une telle ampleur ait pu se produire au sein même du ministère. « Les Finances publiques ne sont pas suffisamment armées pour contrer ce genre d’attaques ? C’est surprenant », souligne-t-il.
Dans son communiqué, la direction générale des Finances publiques a indiqué que l’intrusion a été commise en « usurpant » les « identifiants d’un fonctionnaire », laissant entendre qu’une double authentification n’aurait pas été nécessaire pour consulter des centaines de milliers de documents, pourtant extrêmement sensibles. Contacté par France 24 à ce sujet, le ministère de l’Économie et des Finances n’a pas souhaité répondre.
