Des versements frauduleux au départ du compte au nom de M. et Mme X (5 versements pour un total de 2385,28 €) et au nom de Mme X (2 versements pour un total de 1116,96 €) ont été effectués à partir de l’application ING Banking sur smartphone le samedi 02 avril, le premier versement à 01h16 et les suivants entre 08h50 et 08h53.Mme X a constaté la fraude le même jour en matinée et a immédiatement averti ING. Ensuite plainte a été déposée à la police le 8 avril Le 14 avril, le service Fraude d’ING écrit une lettre à Mme X et indique que ‘’les opérations contestées ont bien été exécutées et validées via des codes uniques générés via votre Card Reader, votre carte de débit et votre code secret. ING ne porte donc ici aucune responsabilité dans l’exécution de ces transactions. Au vu de ces éléments, nous ne pouvons intervenir en votre faveur. ‘’Mme X a donc adressé un mail le 15 avril au service plainte où elle confirme bien qu’elle n’a jamais donné ni transmis des codes, n’a pas utilisé le Card Reader et est toujours en possession de sa carte qui n’a donc pas été volée. Ce mail est encore actuellement sans réponse.Je porte donc également plainte en plus du courriel de Mme X.La réponse du service fraude est une « phrase type » qui n’est déjà pas correcte puisque ces versements contestés ont été effectués au départ de l’application ING Banking sur smartphone et que cette application ne nécessite qu’un seul code d’accès et ne demande pas l’utilisation du Card Reader. Cela est déjà pour moi une faiblesse dans l’App ING Banking, faiblesse pour laquelle je n’ai jamais voulu installer cette application sur mon smartphone. D’autant que la seule limite est un montant de 2500 € en 24hr, montant qu’il n’est pas possible de diminuer, ni également de demander de limiter le montant des versements que l’on peut faire sans Card Reader. Bien sûr pour l’utilisateur, c’est beaucoup plus facile et rapide, mais aussi pour les hackeurs. Alors que le principe de la double identification est de plus en plus la règle, cette application se limite à une seule identification, sans même pouvoir choisir d’utiliser le Card Reader comme c’est le cas dans Homebank où en plus de la connexion par Card Reader, les versements doivent aussi être à leur tour validés par Card Reader.Il est donc clair que les hackeurs ont réussi à installer une application bancaire liée au numéro de carte de Mme X sur un autre smartphone ou un autre système. Mme X a en effet reçu un mail d’ING le 21 mars la remerciant d’avoir activé l’application ING Banking sur son appareil mobile. Il est bien indiqué sur ce mail que si la personne n’est pas à l’origine de cette activation, il faut faire bloquer la carte. Dans le nombre de mails frauduleux que l’on reçoit chaque jour pour un compte bloqué ou activé (le plus souvent Itsme), Mme X n’a pas compris qu’il s’agissait d’une « nouvelle » activation puisqu’en effet elle avait l’app ING Banking sur SON smartphone. Ce mail était donc « suspect » dans son titre, elle n’a pas été plus loin car elle sait qu’il ne faut pas réagir à un mail frauduleux. Le souci a été que ce mail n’était pas frauduleux. Dès que l’application est installée, c’est la voie libre pour les hackeurs puisqu’il n’y a pas de double identification, ce qui je le répète est, selon moi, une faiblesse de sécurité.La question est donc bien de savoir comment les hackeurs ont pu installer cette application sans disposer de la carte de Mme X. Vous devez pouvoir savoir à quelle heure exactement, à quel endroit et sur quel appareil l’app a été installée. Je ne connais pas exactement la manière d’installer cette app puisque je refuse de l’installer. Même si son smartphone a été piraté et que les hackeurs ont pu ainsi avoir d’une façon ou d’une autre accès à son code secret lié à ING Banking sur son smartphone, j’espère qu’il n’est pas possible de simplement faire une copie de l’application sur un autre smartphone et qu’il faut toujours confirmer avec la carte liée au compte, carte que l’on doit introduire dans un Card Reader. Mme X n’a pas utilisé son Card Reader à cette période. Même si elle l’avait utilisé pour un autre achat, il faudrait encore que cela se fasse simultanément avec l’installation de l’application et donc qu’elle transmette un code d’activation par téléphone, ce qu’elle n’a pas fait car après 42 années de travail à la banque, elle sait qu’on ne transmet pas ses codes. Et en tout premier lieu, l’application devrait vérifier que la demande d’activation provient bien de la personne titulaire du compte, par exemple en lui envoyant un mail avec un code d’activation et ensuite seulement lui demander d’introduire sa carte dans le Card Reader. Tout système qui ne demande pas cette double identification est susceptible d’être contourné et c’est donc bien là qu’il y a sans doute une faille dans votre application.Je vous demande dès lors de pousser plus loin vos investigations, non pas pour dire que les versements ont été effectués « normalement », mais pour savoir comment il a été possible d’installer ING Banking sans identifier la personne et sans utilisation effective du Card Reader.Si on peut admettre que Mme X aurait dû réagir au mail du 21 mars, cela n’exonère pas ING de la question de l’installation frauduleuse de l’app et il y a donc au minimum un partage des responsabilités.Avec toute ma considération.
