Pourquoi les RIB sont peu sécurisés

La newsletter du 25 novembre 2022.

Bonjour, vous lisez la newsletter de Memo Bank, la nouvelle banque indépendante pour les PME. Si vous nous suivez déjà depuis quelque temps, merci beaucoup. Et si vous nous découvrez tout juste, bienvenue à vous.

À lire

Les RIB sont peu sécurisés (et ce n’est pas si grave)

Si vous cassez un vase en porcelaine, le vase est cassé à jamais. Il n’y pas de retour en arrière possible. Vous ne pouvez pas dire « je m’oppose à la casse de ce vase, merci de le reformer sous 10 jours ». Quand vous faites un paiement par carte, vous êtes soumis à la même irréversibilité : une fois votre paiement déclenché, impossible de revenir en arrière — à moins de vous engager dans une incertaine et potentiellement payante procédure de chargeback. Ce qui est payé par carte, est payé. Vous avez certes la possibilité de bloquer votre carte, mais vous ne pouvez pas bloquer tel ou tel paiement réalisé avec votre carte. C’est tout ou rien. Si votre carte fait l’objet d’un paiement frauduleux, vous ne pouvez pas « défaire » le paiement en question d’un simple clic, de même que vous ne pouvez pas reformer un vase brisé en claquant des doigts.

Les prélèvements bancaires sont différents. Si quelqu’un prélève de l’argent sur votre compte courant, vous pouvez aller voir votre banque un mois plus tard en lui disant « j’ai changé d’avis, annulez ce prélèvement, merci ». Votre banque dispose alors de 10 jours pour récupérer votre argent et vous le restituer sur votre compte courant. Contrairement aux paiements par carte, les paiements par prélèvement bancaire ordinaire (SEPA core) sont réversibles. Vous souhaitez annuler un prélèvement passé ? C’est possible, et vous n’avez même pas besoin de vous justifier. Il vous suffit de demander l’annulation du prélèvement à votre banque et le tour est joué. Dans le cas général, vous disposez de 8 semaines pour changer d’avis et contester un prélèvement passé. De son côté, votre créancier, c’est-à-dire l’entreprise qui a encaissé votre prélèvement, ne pourra rien faire pour s’opposer à votre demande d’annulation.

Entre un moyen de paiement globalement irréversible (les cartes) et un moyen de paiement facilement réversible (les prélèvements), les banques ont vite compris où elles devaient orienter leurs efforts de prévention. C’est la raison pour laquelle le discours préventif des banques porte majoritairement sur les risques liés aux paiements par carte. Et ça marche. 9 français sur 10 savent qu’ils doivent faire attention à leur carte bancaire, d’après un récent sondage d’Opinion Way. Mais combien de Français savent qu’il suffit que leurs coordonnées bancaires tombent entre de mauvaises mains pour que des prélèvements frauduleux puissent être présentés sur leur compte ? Combien de Françaises et de Français savent que les fraudeurs n’ont pas besoin d’un mandat de prélèvement pour collecter de l’argent sur les comptes de leurs victimes ?

Comme les personnes ayant récemment travaillé pour Adecco peuvent en attester, les fraudeurs n’ont besoin que de votre IBAN pour présenter des prélèvements ordinaires (core) sur votre compte. Votre consentement est facultatif, et c’est bien là le problème. Libération rapporte que des dizaines d’intérimaires, ayant tous travaillé pour Adecco, ont été victimes d’un prélèvement frauduleux de 49,85 €, parfois à plusieurs reprises. Comment les fraudeurs ont-ils pu présenter un prélèvement sur le compte des victimes sans mandat de leur part ? Réponse : parce que les mandats sont la responsabilité du créancier, pas celle de la banque du créancier.

Lors de prélèvements bancaires ordinaires (SEPA core), c’est le créancier qui doit collecter et conserver les mandats de ses clients. Dit autrement, dans le cadre d’un prélèvement ordinaire, la banque du créancier ne vérifie ni l’existence ni l’authenticité des mandats du créancier — elle se contente de collecter les prélèvements demandés par le créancier. Il n’y a que dans le cas de prélèvements inter-entreprises (SEPA B2B) que la banque vérifie les mandats, mais ces prélèvements sont peu courants. Les prélèvements ordinaires étant réversibles, même après coup, pourquoi les banques s’embarrasseraient-elles de vérifications avant le déclenchement des prélèvements ?

Et si les prélèvements sont réversibles sur simple demande des clients, que gagnent vraiment les fraudeurs ? Les fraudeurs savent qu’ils vont devoir « rendre » une bonne partie des fonds qu’ils auront prélevés, mais pas la totalité, car ils parient sur la négligence de certaines victimes. En prélevant une somme relativement courante (49,85 €), les pirates espèrent que leurs prélèvements frauduleux passeront sous les radars et seront considérés comme des prélèvements légitimes par les victimes les moins vigilantes. À chaque fois qu’une victime ne remarque rien d’anormal sur son compte, les fraudeurs gagnent. Pas de chance pour les fraudeurs qui s’en sont pris à VideoLAN, l’association à l’origine du lecteur multimédia VLC, les administrateurs de VideoLAN se sont aperçus que leurs coordonnées bancaires avaient été utilisées par un profiteur pour payer un abonnement à un journal. Toutes les associations qui rendent public leur IBAN dans le but de recevoir des dons sont exposées à ce genre de fraude.

Les cas d’Adecco et de VideoLAN montrent que les IBAN sont nécessaires aux particuliers et aux associations pour recevoir des paiements. Mais ces deux histoires montrent aussi que le fait de n’avoir qu’un seul IBAN peut s’avérer problématique quand l’IBAN en question se retrouve dans la nature. Les banques ont bien intégré ce risque de fuite, mais seulement pour les cartes bancaires. Aujourd’hui, de nombreuses banques proposent à leurs clients des cartes bancaires virtuelles pour leurs achats en ligne. Le raisonnement est simple : en créant une carte virtuelle à chaque paiement en ligne, vous diluez le risque de piratage. Mais ce qui vaut pour les cartes ne vaut hélas pas pour les IBAN, puisque les banques continuent de n’attribuer qu’un seul et unique IBAN à leurs clients. La notion d’IBAN virtuel existe pourtant bel et bien. Les IBAN virtuels agissent comme des IBAN alternatifs, que vous pouvez créer ou supprimer à la volée, et qui remplacent votre IBAN principal. Si les anciens collaborateurs d’Adecco avaient pu transmettre un IBAN virtuel à l’agence d’intérim, en lieu et place de leur IBAN principal, ils auraient alors pu supprimer leur IBAN virtuel une fois leur mission terminée, ce qui leur aurait évité d’avoir à subir un prélèvement frauduleux.

P.-S. Memo Bank propose des IBAN virtuels à tous ses clients.

CDI ? Non merci

Comment vont les dirigeants de PME ? S’il n’y avait pas d’inflation, et si les difficultés de recrutement n’existaient pas, les dirigeantes et les dirigeants se porteraient sans doute très bien. Hélas, d’après la dernière enquête de la CPME, plus de 9 chefs d’entreprise sur 10 ont toujours du mal à recruter. Qu’est-ce qui coince ? La rémunération, comme nous en avons déjà parlé dans cette newsletter, et ce, même si 67 % des 2 566 dirigeants interrogés par la CPME disent avoir augmenté leurs salaires d’embauche. Malgré tous leurs efforts, les chefs d’entreprise courent donc toujours après les candidats. Pire, pour un dirigeant sur trois, le manque de salariés se traduit par une baisse du chiffre d’affaires, car le manque de main d’œuvre oblige les entrepreneurs à refuser des commandes.

Quand ils ne peuvent plus jouer sur les salaires, les dirigeants de PME peuvent jouer sur le type de contrat, pour attirer ou retenir leurs collaborateurs. C’est du moins ce que les chefs d’entreprise croyaient jusque-là, avant de s’apercevoir que le CDI ne faisait plus autant rêver qu’avant. 31 % des dirigeants qui ont proposé un CDI à des collaborateurs dont le CDD arrivait à échéance ont essuyé un refus, un « non merci ». Dans l’hôtellerie et la restauration, 26 % des nouvelles recrues auraient une préférence pour le CDD, par rapport au CDI. Puisque ni les hausses de salaires, ni le recours au CDI, ne semblent fonctionner pleinement, 68 % des chefs d’entreprises sondés par la CPME se disent favorable à l’instauration d’un « dividende salariés », qui contraindrait les PME à verser un dividende à leurs collaborateurs à chaque fois qu’elles en versent un à leurs actionnaires.

De son côté, la dernière enquête trimestrielle conduite par Bpifrance auprès de 2 164 dirigeants de TPE/PME dit sensiblement la même chose. À savoir : 3 dirigeants sur 4 ont déjà augmenté leurs salaires, ou prévoient de le faire en 2022, mais 59 % des chefs d’entreprise estiment que les difficultés de recrutement les freinent. Paradoxalement, les chiffres de l’URSAFF montrent que le nombre d’embauches en CDD et en CDI est au plus haut depuis 20 ans. Certes, le nombre d’embauches a légèrement reculé en octobre, par rapport au mois de septembre, mais il reste encore bien au-dessus de la moyenne des 20 dernières années. Si les difficultés de recrutement sont réelles, elles affectent certains secteurs plus fortement que d’autres : alors que les embauches semblent stagner dans la restauration, par exemple, elles poursuivent leur hausse dans les services comme la santé, le nettoyage, ou l’immobilier.

À parcourir

La française Sophie Adenot va succéder à Thomas Pesquet au sein du programme de l’Agence spatiale européenne. Elle devient au passage la deuxième femme astronaute de l’histoire, après le vol de Claudie Haigneré à bord de la station Mir en 1996. lesechos.fr

Que faisaient les dirigeants de Memo Bank avant de diriger Memo Bank ? Réponse dans Maddyness, avec un portrait de Jean-Daniel Guyot, le co-fondateur de Memo Bank, portrait où il est question de service client, d’indépendance technologique, et de patience. maddyness.com

Le ministère de l’Économie a fait la liste des mentions qui doivent figurer sur une facture. economie.gouv.fr

L’ADEME vient de créer un site qui permet de visualiser l’empreinte carbone des objets et gestes du quotidien, en insistant sur les ordres de grandeur. impactco2.fr

La verrerie Duralex, dont les fours tournent à 70 % au gaz, est à l’arrêt jusqu’en avril prochain, pour éviter de produire à perte. Ses 250 salariés ont été placés en chômage partiel. marianne.net

Des chiffres

9 %. C’est la part des clients de banques françaises qui se rendent plusieurs fois par mois dans leur agence, d’après les derniers chiffres de la Fédération bancaire française. Cette part était de 67 % en 2007. Alors que 31 % des Français ne se rendent dans leur agence qu’une à deux fois par an, seuls 13 % d’entre eux ont recours à une banque en ligne.

Des lettres

« La rédemption possible de la situation ­d’irréversibilité — dans laquelle on ne peut défaire ce que l’on a fait, alors que l’on ne savait pas, que l’on ne pouvait pas savoir ce que l’on faisait —­ c’est la faculté de pardonner . »

— Hannah Arendt (1961). Condition de l’homme moderne.

À pourvoir

DevOps. — Nous recrutons une personne au poste de site reliability engineer (SRE). Si vous avez suivi les discussions sur la panne imminente de Twitter avec une certaine distance, et si vous souhaitez nous aider à assurer la disponibilité de nos applications, écrivez-nous.

Finance. — Nous avons un poste de strategy analyst (en stage) à pourvoir pour une durée de 6 mois. Si vous aimez les chiffres, et les visualisations de données — mais pas les camemberts 3D —, alors écrivez-nous.

Abonnez-vous

Si ce que vous venez de lire vous a plu, inscrivez-vous pour recevoir notre newsletter tous les vendredis. C’est gratuit.