Cette Genevoise l'assure: un pirate a pris possession de son compte Twint. Les faits, relatés par la Tribune de Genève, se sont produits en octobre dernier lors de son retour de vacances.
N'ayant plus accès à l'application de paiement, elle s'est rendue à la Raiffeisen pour demander assistance. Mais une fois le problème résolu, elle a découvert que pas moins de 25 transactions ont été faites à son insu, pour un total de plus de 4400 francs. Sa carte Visa et son compte Netflix ont également été touchés.
L'ensemble des achats ont été faits dans le quartier genevois de Cornavin en un peu plus d'une semaine. La victime pense s'être fait voler ses données par «une personne [qui] devait être proche» d'elle en faisant ses courses à la Coop ou à la Migros, l'une des rares occasions où elle utilise Twint.
La Genevoise a donc bloqué son compte, rempli une déclaration de vol à la Raiffeisen et déposé une plainte pour escroquerie. Mais au moment de demander un remboursement, ni l'application ni la banque n'acceptent d'entrer en matière. En colère, elle finira par clôturer son compte bancaire.
Si la victime pense qu'un appareil s'est connecté à Twint à son insu, Raiffeisen répond qu'elle a «forcément divulgué» elle-même ses accès:
La Genevoise reconnaît d'ailleurs avoir reçu un SMS indiquant qu’une connexion avait eu lieu et qu'un code était nécessaire. Mais elle n'y avait pas donné suite.
Auprès de la Tribune de Genève, Twint réfute également l'idée d'une défaillance de son application, qu'elle juge très sûre. Pour l'entreprise, un piratage de cette dernière n'est possible que «si les utilisateurs transmettent activement leurs données de connexion et leurs codes de sécurité, ainsi que leurs détails d’e-banking à une tierce personne».
Même son de cloche du côté de l’Office fédéral de la cybersécurité (OFCS), qui juge un piratage via Bluetooth peu probable. Si cette technologie existe, elle est rare et l'autorité n'a à ce jour enregistré aucun cas de ce type.
La Genevoise a donc vraisemblablement subi un «phishing», fournissant malgré elle ses informations d'identification via une publicité ou une notification frauduleuse.
Mais la Tribune de Genève soulève également une autre hypothèse: celle d'une fraude avec une carte SIM virtuelle. Les escrocs auraient ainsi pu avoir accès aux messages et codes de vérification de la victime sans avoir besoin d'un accès direct à son téléphone. (jzs)