Les banques françaises affrontent une vague sans précédent de fraudes par manipulation, avec un préjudice total qui a approché les 380 millions d'euros en 2023, selon la Banque de France. Pour Matthew Platten, porte-parole de BioCatch, une société spécialisée dans l'analyse comportementale, la riposte organisée avec les pouvoirs publics a le mérite d'exister, mais reste insuffisante.
Matthew Platten, les débits frauduleux sur les comptes bancaires ne sont pas nouveaux. Pourquoi assiste-t-on actuellement à un tel branle-bas de combat, de la part des banques et des pouvoirs publics ?
Matthew Platten : « La fraude inquiète, car elle a changé de nature. Longtemps, l'objectif des malfaiteurs a été d'exfiltrer directement l'argent des comptes de dépôts, en pénétrant l'infrastructure des banques. C'était une méthode extrêmement agressive, contre laquelle les banques ont très bien réagi en renforçant leurs protections. Puis les cybermalfaiteurs les plus chevronnés se sont adaptés en visant les machines des usagers - ordinateur, tablette, smartphone - grâce à des logiciels malveillants. Là encore, la réponse des banques a été efficace : elles contrôlent aujourd'hui très bien la sécurité des interactions avec les terminaux utilisés par les clients. On assiste désormais à des attaques de 3e génération. Les fraudeurs n'attaquent plus l'infrastructure, la machine ou le site web : ils attaquent directement l'humain. C'est ce qu'on appelle l'ingénierie sociale et la fraude au faux conseiller en est un exemple. »
Faux conseiller bancaire : cette arnaque qui a explosé en 2023
Pourquoi ce type de fraude par ingénierie sociale pose-t-elle plus de problèmes aux banques ?
Matthew Platten : « Aujourd'hui, leurs systèmes de sécurité ont été conçus pour vérifier que l'utilisateur est bien qui il prétend être. Ils sont donc inopérants face à ces attaques où la victime devient la complice involontaire du fraudeur. Manipulée, elle est tellement persuadée du bien-fondé de la démarche qu'elle met tout mettre en œuvre pour contourner les protections de mise en place par sa banque pour assurer sa propre sécurité. »
« La victime devient la complice involontaire du fraudeur »
Quelles sont les parades possibles ?
Matthew Platten : « La technologie développée depuis une dizaine d'années par BioCatch consiste à analyser le comportement des utilisateurs. Prenons un exemple : vous recevez un appel téléphonique de votre banque, qui vous signale une attaque sur vos comptes. Votre interlocuteur vous conseille de mettre rapidement votre argent à l'abri, en le transférant vers un compte de « sécurité ». Pour vous convaincre, il crée un sentiment d'urgence, un stress, qui va avoir un impact sur votre comportement lorsque vous allez vous connecter à votre espace client. Votre parcours, la façon dont vous allez bouger votre souris, vos clics, vos hésitations : tout va être modifié sur l'effet du stress. Notre technologie, aujourd'hui, est capable de détecter des milliers de facteurs, appelés signaux faibles, qui permettent d'établir un scoring cognitif et d'alerter la banque sur un risque de fraude. »
Où en sont les banques françaises du déploiement de ce type de technologies ?
Matthew Platten : « Les banques françaises ont encore une marge de progression. Si notre technologie équipe déjà 50% du marché aux États-Unis, 90% au Royaume-Uni, 100% en Australie, nous commençons tout juste à convaincre des banques nationales. Ces dernières ont besoin d'être guidées. Elles considèrent effectivement comme une solution idéale la possibilité de bloquer les appels téléphoniques réalisés avec usurpation de numéro et déploient également de nombreux efforts en matière de prévention et d'information des usagers. Cela a évidemment le mérite d'exister, mais ces stratégies ont leurs limites face à des fraudeurs qui font sans cesse évoluer leurs modes opératoires et leurs objectifs.
Compte bancaire : ce qui change au 1er octobre pour la sécurité de votre argent
En clair, les fraudeurs vont aujourd'hui trop vite pour les banques...
Matthew Platten : « Oui. Un exemple : les fraudes au virement sont déjà moins fréquentes, car elles sont contrariées par les délais de temporisation mis en place par les banques avant d'ajouter un bénéficiaire de virement. Les pirates se sont reportés sur les cartes bancaires. Ils en achètent les identifiants sur le darknet, les utilisent pour acheter, par exemple, des bitcoins sur des plateformes spécialisées puis manipulent leurs victimes pour qu'elles valident les opérations par authentification forte. Les banques ont besoin d'adopter des technologies qui évoluent à la même vitesse que celles utilisées par les fraudeurs. »
