De grosses sommes ont disparu lors d’attaques ayant touché les cartes de plusieurs clients. Voilà ce qu’on en sait
En novembre 2021, John Ronard s’est aperçu que 500 dollars américains s’étaient volatilisés de sa BUH MasterCard. Cela a été un choc. Cet argent, il comptait l’utiliser pour sa petite entreprise R&B online store, qui s’occupe de placer des commandes à l’étranger et d’acheminer des colis à des clients. Il venait de faire un transfert de son compte à la Banque de l’Union haïtienne vers cette carte prépayée dont il se sert souvent. Le lendemain, il n’y avait plus rien.
Ronard a d’abord cru à une erreur qu’il aurait commise, car d’habitude il effectue beaucoup de transactions. Et aussi cela lui était déjà arrivé avec la carte de crédit d’une autre banque. Il en a informé la BUH, pour en avoir le cœur net. Deux jours plus tard, l’historique des transactions qui avaient été effectuées avec la carte a été mis à jour. Surprise : les cinq cents dollars ont été majoritairement dépensés sur des sites de boutique qui se trouvent en Europe, et même en Corée du Sud. Des sites qu’il ne visite pas, lui qui achète uniquement des États-Unis.
Il le comprend tout de suite : sa carte a été piratée. Rapidement, il se rend compte qu’il n’est pas le seul à avoir été touché. Sur les réseaux sociaux, et parmi ses amis, on se plaint : des économies réalisées avec patience sont parties en fumée du jour au lendemain.
Des cartes piratées
La BUH confirme que des cartes ont été piratées, mais refuse de confier le nombre exact de personnes concernées par ces fuites de données, et d’argent. « Nous savons combien de clients ont été victimes ainsi que les montants en question (…), mais cette information est interne et confidentielle à la banque et ne peut être divulguée », explique Arielle Tovar Lévêque, du département de marketing et de communication de la BUH.
Les plaintes ont commencé à être reçues fin novembre, mais il y a eu un pic en décembre, déclare Lévêque. « Vu le volume de fraudes, poursuit-elle, la banque fait de son mieux pour traiter chaque réclamation, selon les procédures établies par la MasterCard International. »
Lire aussi: Pourquoi les banques haïtiennes ne financent-elles pas les jeunes ?
Toutefois, les indices font croire que ces attaques ont été nombreuses. En quelques secondes seulement, admet la BUH, plus de 400 comptes ont parfois été ciblés. Ces transactions, comme c’est le cas pour John Ronard, ont eu lieu dans des pays lointains : Hong Kong, Nigéria, Singapour, Australie, etc. Les informations volées ont été revendues sur le « Dark Web », ce qui a engendré d’autres attaques sur une même carte. Ainsi, en moins d’une minute, des centaines d’autorisations ont pu être obtenues par les hackers.
Après des jours à appeler la banque ou à visiter ses succursales, un employé de la BUH apprend John Ronard qu’on ne peut rien faire pour lui. Qu’il s’est fait pirater ! Et c’était tout. Comme lui, d’autres plaignants ont appris qu’ils ne retrouveraient peut-être jamais cet argent.
D’après les clients victimes de cette fraude, tout porte à croire que c’est le système de la BUH qui manque de fiabilité, vu que des détenteurs de cartes d’autres banques ne se sont pas autant plaints. Mais, il n’est pas toujours aussi simple de savoir d’où provient la faille.
« Vu le volume de fraudes, poursuit-elle, la banque fait de son mieux pour traiter chaque réclamation. »
Max Larson est PDG de Transversal, une compagnie qui offre des services de sécurité informatique. Il est détenteur d’un master en base de données et intégration de système. Pour lui, c’est une enquête qui peut révéler à quels niveaux ces attaques ont eu lieu. « Dans la chaîne de ces données, il y a plusieurs niveaux, explique-t-il. Certes il y la banque et l’utilisateur final, mais aussi les serveurs, la compagnie qui a émis la carte, etc. »
Toutefois, la BUH ne s’estime pas fautive. « Il n’y a pas eu d’attaque ciblée contre le système de la BUH, mais sur certaines Mastercard », expliquent les responsables.
Remboursement incertain
Le compte de My-Hans Moïse a lui aussi été débité à son insu. 323 dollars, équivalant à plus de 30 000 gourdes, sont introuvables, après quelques transactions qu’elle a effectuées pour des montants inférieurs à cette somme. « Ce n’est pas la première fois que c’est arrivé avec ma carte, dit-elle. D’habitude quand j’appelle, on me rembourse. »
« On aurait pu aussi bien me braquer dans la rue et me voler cette somme. Je considère donc que c’est ce qui s’est passé avec la banque. »
Mais cette fois, le pèlerinage pour le remboursement de ces transactions dure encore, plus d’un mois après. « Je n’ai pas cessé de les contacter pendant au moins quinze jours, explique la jeune femme. Puis on m’a dit de passer récupérer une nouvelle carte. Et ce jour-là, l’employé qui me servait m’a assuré que l’argent disparu serait disponible le soir même, après 9 heures. »
Courriel après courriel, appel après appel, les 323 dollars sont encore absents de son compte. Désespérée, Moïse pense désormais que cet argent est perdu. « On aurait pu aussi bien me braquer dans la rue et me voler cette somme. Je considère donc que c’est ce qui s’est passé avec la banque. »
Cependant, la BUH assure que toutes les plaintes seront prises en considération. Certaines cartes auraient déjà été créditées. Mais, dans sa réponse aux questions d’AyiboPost, la banque ne donne aucune garantie que toutes les plaintes mèneront à un remboursement. Aussitôt qu’une réclamation est reçue, explique la BUH, «elle est traitée et transmise au commerçant identifié pour vérification. Selon les résultats à la fin de ce processus de réclamation, un crédit est émis au cas par cas.»
« Ce n’est pas la première fois que c’est arrivé avec ma carte, dit-elle. D’habitude quand j’appelle, on me rembourse. »
Selon Marx Larson, quand ces événements malheureux se produisent, les banques doivent s’assurer de la sincérité de la transaction. « Un client peut très bien avoir fait une réclamation à tort. La banque doit vérifier auprès des commerçants. Toutefois, elle doit aussi assurer au client que son argent est disponible, alors qu’elle enquête pour comprendre ce qui s’est passé. »
Cependant, en dehors de l’enquête interne menée par la BUH, qui consiste notamment à contacter les commerçants qui ont bénéficié des achats, aucune autre institution dans le pays ne semble s’être intéressée à ces cas de fraudes.
L’Association professionnelle des banques n’a pas fait suite aux demandes d’entrevue. La Banque de la République d’Haïti, qui s’occupe de la régulation des banques commerciales, n’a pas voulu intervenir pour expliquer comment elle s’assure de la protection des données des clients des banques.
Se protéger
La BUH assure que grâce à sa plateforme BUH Connect, il est facile de gérer son compte et d’être notifié à temps de transactions assimilables à des fraudes. Toutefois, contrairement à l’immédiateté de l’historique des transactions dont se targue la banque, John Ronard et My-Hans Moïse expliquent que la trace des achats qu’ils ont effectués n’est pas disponible tout de suite sur cette plateforme.
Lire également: Les banques haïtiennes risquent d’être exclues du système financier international
Ronard dit pouvoir les consulter après au moins 48 heures, et Moïse tous les soirs après 9 heures. C’est un handicap, explique John Ronard, car il aurait pu ainsi tout de suite remarquer les transactions louches.
Face aux attaques informatiques qui ciblent des données personnelles ou financières, le mieux est donc d’apprendre à se protéger soi-même. Surtout en Haïti où il n’y a pas de politique publique axée sur la protection de ces données, et par ricochet des citoyens.
Avis à la clientèle pic.twitter.com/QrkilQtfqC
— BUH Haiti (@BUHhaiti) December 31, 2021
Il existe différentes façons pour un hacker de subtiliser des informations qui lui seront utiles par la suite pour gagner de l’argent. « Il peut y avoir accès par ce qu’on appelle l’ingénierie sociale, explique le PDG de Transversal. Le pirate peut ainsi se faire passer pour la banque, et recueillir ainsi les informations de la carte. Mais il peut aussi intercepter des informations entre deux terminaux, entre des serveurs, etc. ».
En ce qui a trait aux banques, si leur infrastructure n’est pas assez sophistiquée, elles peuvent aussi être victimes d’attaques qui exposeraient les informations personnelles des clients.
Lire également: « J’ai aidé à sauver la BNC en 1998. L’institution pourrait couler à nouveau. »
Les sites internet, surtout ceux qui proposent d’acheter en ligne, méritent une grande vigilance de la part des utilisateurs de cartes. Les transactions peuvent être interceptées, détournées au profit d’individus aux mauvaises intentions. « Il faut aussi éviter de faire circuler à outrance les informations de la carte, dit Larson. Ainsi, ce n’est pas une bonne idée de la prendre en photo, de demander à d’autres personnes d’effectuer des transactions en notre nom, etc. »
Aujourd’hui grâce aux nouvelles technologies, les cartes sont plus modernes, et d’autres moyens de paiement sont aussi utilisés. Mais, explique Max Larson, qui dit flexibilité dit vulnérabilité à d’autres types d’attaques, pour intercepter des informations sur des données financières.
L’article a été mis à jour, afin d’ajouter quelques précisions de la BUH. 14.00 24.01.2022
Comments