Sur Twint, les escroqueries deviennent ultra-sophistiquées
L’Office fédéral de la cybersécurité alerte sur de nouvelles arnaques complexes touchant l’application. Le service assure que son système est irréprochable et appelle les utilisateurs à la plus grande prudence
L’application suisse de paiements Twint est définitivement une cible de choix pour les pirates informatiques. Depuis moins de deux ans, c’est déjà la quatrième fois que la Confédération lance une alerte concernant l’application de paiement. Les escrocs ne se contentent plus d’employer des astuces simples ou de les combiner: ils utilisent désormais un arsenal sophistiqué de techniques pour soutirer d’importantes sommes d’argent à leurs victimes. Les cinq millions d’utilisateurs doivent redoubler de prudence, sous peine de perdre des montants qu’ils ne reverront sans doute jamais.
Il vaut toujours la peine de lire les communications régulières de l’Office fédéral de la cybersécurité (OFSC), qui détaille de manière précise comment les pirates arnaquent leurs victimes. Mardi, la Confédération présentait pas moins de trois nouvelles variantes d’arnaques, utilisant ce qu’on appelle de «l’ingénierie sociale». On va le voir en détaillant la première variante, les hackers utilisent des moyens conséquents.
Faux site web
Tout commence sur une plateforme de petites annonces. Une personne met en vente une console de jeux et se fait contacter par un acheteur potentiel, en l’occurrence un escroc. Tout se poursuit normalement, ce dernier, souhaitant régler la console via Twint, demande au vendeur son numéro de téléphone. Ensuite, cela se gâte. Le vendeur reçoit un SMS confirmant soi-disant que le paiement a été effectué avec succès.
L’OFSC explique: «Pour confirmer la réception et recevoir l’argent, le vendeur devait toutefois cliquer sur un lien le redirigeant vers une prétendue page du portail de petites annonces où s’ouvrait une fenêtre de dialogue censée être celle de Twint. Il lui fallait alors tout d’abord confirmer dans ce chat que le montant avait bien été transféré. Mais un message précisait également que les tentatives d’escroquerie s’étaient multipliées ces derniers temps et que, par conséquent, le paiement ne pouvait pas être effectué sans avoir répondu au préalable à quelques questions de sécurité.»
On s’en doute, le but est ainsi d’obtenir un maximum d’informations sensibles: le nom du vendeur, sa date de naissance, son code PIN Twint, son numéro de carte de débit et les cinq derniers chiffres de son IBAN… La victime recevait ensuite un code SMS supplémentaire, qu’elle devait également saisir dans la fenêtre de dialogue pour confirmation. Tout simplement, l’escroc a ainsi récupéré sur son propre téléphone le compte Twint de sa victime grâce à toutes ces informations. L’arnaqueur a ainsi pris le contrôle du compte.
L’OFSC écrit que «les escrocs ont probablement abusé d’une fonction qui permet, en cas de changement ou de perte d’appareil, d’associer un compte Twint existant à un nouvel appareil et même à un nouveau numéro de téléphone.» Les escrocs ont réussi à obtenir absolument toutes les réponses demandées par Twint pour transférer un compte sur un nouveau téléphone.
Contacté par Le Temps, Twint affirme que rien ne peut lui être reproché. «Les cas mentionnés ne concernent pas des failles de sécurité chez nous, mais plutôt des formes de fraude indépendantes du moyen de paiement et présentes également sous une forme similaire avec d’autres moyens de paiement. Nous n’avons connaissance d’aucun cas dans lesquels l’application Twint aurait été techniquement compromise ou piratée», assure une porte-parole.
En parallèle, Twint pointe du doigt la responsabilité des utilisateurs: «Un piratage de compte par un tiers est uniquement possible si les utilisateurs transmettent activement leurs données de connexion et leurs codes de sécurité ainsi que leurs détails d’e-banking à une tierce personne. Il ne s’agit pas d’un problème spécifique à Twint et concerne également les autres moyens de paiement numériques».
Pas de sécurité absolue
De son côté, l’OFSC, contacté par Le Temps, n’accable pas Twint: «Dans les applications bancaires, l’aspect sécurité est particulièrement important. Néanmoins, il n’est pas possible d’empêcher toutes les tentatives d’exploitation. Les cybercriminels utilisent des techniques d’ingénierie sociale pour inciter les victimes à coopérer et pour tromper les utilisateurs en leur faisant révéler toutes les informations sur les éléments de sécurité. Par exemple, en utilisant un module de chat directement intégré au site de phishing, avec une interface qui imite presque parfaitement celle de Twint», rappelle une porte-parole de l’OFSC. Selon elle, «les utilisateurs doivent être mis en garde contre de tels procédés. Même les processus de sécurité complexes n’offrent pas une protection à 100% contre les attaques sophistiquées d’ingénierie sociale.»
De son côté, Twint ne se prononce pas directement sur des possibilités pour des victimes de se faire rembourser, mais affirme: «Toutes les transactions peuvent être suivies et tracées. Si les clients ne sont pas d’accord avec une transaction, ils peuvent, comme pour les autres moyens de paiement, faire une réclamation en suivant une procédure en ligne.»
■