Le Crédit agricole condamné face à un client dans une affaire de sécurité bancaire en ligne

Alexandre Boero
Chargé de l'actualité de Clubic
03 octobre 2023 à 10h00
33
Le Crédit agricole a été condamné par la Cour de cassation © Crédit agricole
Le Crédit agricole a été condamné par la Cour de cassation © Crédit agricole

Devant la Cour de cassation, le Crédit agricole s'est retrouvé au cœur d'un débat juridique majeur concernant la sécurité des transactions en ligne et l'authentification forte. Un client pas assez prudent, d'abord lésé par la Cour d'appel, a finalement obtenu gain de cause.

Dans un arrêt du 30 août 2023, la Cour de cassation a réaffirmé la responsabilité des banques en cas d'opérations de paiement non autorisées, à moins que le client n'ait agi frauduleusement. Cette décision, que nous allons vous expliquer plus en détail, a des implications importantes pour les pratiques de sécurité en ligne des institutions financières et la protection des consommateurs.

Le Crédit agricole avait puni le client pour négligence

La Cour de cassation a posé le principe suivant : sauf en cas d'agissement frauduleux du client, ce dernier ne supporte aucune conséquence financière si une opération de paiement non autorisée a été effectuée sans que le prestataire de services de paiement n'exige une authentification forte du payeur, comme prévu par l'article L. 133-44 du Code monétaire et financier. Mais que s'est-il passé dans cette affaire ?

Ici, un client de la banque Crédit agricole Centre France (CACF) avait communiqué un code de sécurité à 6 chiffres (« 3D Secure ») à un tiers qu'il pensait être un employé de sa banque. Il avait d'abord été contacté par téléphone et par message.

Après avoir communiqué le code, un paiement non autorisé a été effectué, et la banque avait refusé de rembourser le client, arguant qu'il avait commis une négligence grave. En d'autres termes, qu'il n'avait pas suffisamment fait attention et que ce n'était pas de la responsabilité de l'établissement.

La question de l'authentification forte dans les opérations bancaires est devenue majeure. Mieux, elle est réglementaire © The Digital Artist / Pixabay
La question de l'authentification forte dans les opérations bancaires est devenue majeure. Mieux, elle est réglementaire © The Digital Artist / Pixabay

La Cour de cassation a considéré que c'était à l'établissement bancaire d'assurer la sécurité nécessaire

Si le tribunal judiciaire de Clermont-Ferrand, puis la Cour d'appel ont confirmé la décision prise par le Crédit agricole, la Cour de cassation a opéré un revirement en cassant le jugement initial. Pour la juridiction suprême de l'ordre judiciaire, la banque devait s'assurer que l'authentification forte avait été effectuée avant de refuser le remboursement. Le Crédit agricole a donc été condamné à verser 3 000 euros au justiciable.

Au sens légal, le Crédit agricole n'a pas proposé une authentification forte sur cette opération. Et la Cour de cassation a rappelé que les établissements bancaires ont l'obligation de mettre en place des mesures de sécurité robustes pour s'assurer que les paiements en ligne sont effectués de manière authentique.

Cette décision peut en tout cas faire jurisprudence pour de futures affaires. Si une banque ne respecte pas les exigences réglementaires et qu'une opération non autorisée se produit, elle ne peut tout simplement pas rejeter la responsabilité sur son client. Des méthodes comme l'authentification à deux facteurs ou les codes de sécurité dynamiques peuvent, et même doivent aider le consommateur à se protéger en cas de tentative de fraude. Et le service juridique de la banque aussi.

Sources : Legalis, Cour de cassation

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (33)

Pas_de_Bol
Et même s’il y avait eu une authentification forte, le pigeon aurait aussi transmis ou approuvé la demande face à ses arnaqueur…
Alexol
Je ne suis pas d’accord avec le verdict…<br /> Partout il est écrit de ne pas communiquer son code confidentiel même à son banquier… alors bon faut être ding-ding pour le faire…
Nmut
Oui, mais le jugement porte sur le comportement de la banque qui n’a pas respecté son obligation. Le fait que le client ait été négligeant ne rentre pas en ligne de compte dans ce cas.<br /> Alexol:<br /> alors bon faut être ding-ding pour le faire…<br /> Attention à ne jamais se croire plus malin que les autres. Les escrocs savent manipuler les gens, on est jamais à l’abri d’un problème… On va faire une analogie avec les tours de magie: ce n’est pas parce que l’on connait le mécanisme d’un tour qu’un bon prestidigitateur ne peut pas arriver à faire des choses que tu ne comprends pas.
Yorgmald
Je suis intrigué dans cette gestion de ce code, pour certaines action comme un achat à crédit ou application de remboursement on passe par un serveur qui est sécurisé théoriquement mais qui demande ce fameux code. Du coup on se retrouve comment dans les faits si une transaction se produit sans notre accord.<br /> Pour être plus précis si on fait un achat all acces pour une Xbox chez MS en ligne il nous est demandé de donner ses infos dans une session dite chiffrée , peut on avoir confiance ? Même si c’est validé par la bnf ?<br /> Idem avec l’application Naomi du groupe Auchan ?
dante0891
J’ai eu 2 collègues qui ont eu le soucis d’un appel d’un soit disant banquier… Ils avaient toute les infos nécessaire pour mettre à l’aise les personnes (date de naissance, noms, adresse, IBAN…).<br /> Une s’est fait avoir et l’autre non.<br /> Celle qui c’est fait avoir est en galère auprès de la banque et des assurances…
Alexol
Non quand même, tu ne files pas ton code même à ton banquier.<br /> C’est de la négligence, la banque a raison…<br /> Je ne me prétends pas plus malin que ça, les escrocs peuvent m’avoir autrement, je ne dis pas le contraire, comme les tentatives sont de plus en plus élaboré, mais ce cas-ci n’a rien d’élaboré, et la victime, successivement, répond au téléphone puis au message, même pas une seconde il réfléchit.<br /> Métaphoriquement, on ne donne pas le code de son coffre-fort même à son banquier.<br /> Je ne suis donc pas d’accord avec le verdict. Le verdict le plus juste aurait été d’obliger la banque à améliorer la sécurité, mais pas d’indemniser la victime qui a clairement enfreint les règles les plus élémentaires de sécurité.
zoup01
Pour avoir eu le même genre d’appel téléphonique, je confirme qu’il est facile de se faire piéger…<br /> J’ai eu la chance que mon arnaqueur avait en sa possession mon ancien numéro de carte bancaire, la mienne ayant été renouvelée quelque temps auparavant.
malak
«&nbsp;Je ne suis donc pas d’accord avec le verdict. Le verdict le plus juste aurait été d’obliger la banque à améliorer la sécurité, mais pas d’indemniser la victime qui a clairement enfreint les règles les plus élémentaires de sécurité.&nbsp;»<br /> Tu n’es pas d’accord? donc la banque ne devrait avoir aucune obligation de sécurisation? c’est bien sur ça que repose le verdict final.<br /> Ce n’est pas son problème si elle a un accès simplifié au compte bancaire où un seul code à 4 chiffres serait demandé?<br /> Encore heureux qu’il y ai des lois pour contraindre les banques à avoir un minimum de sécurité…
jbobby
Je n’ai pas compris pourquoi au sens légal l’envoi du code 3D secure n’est pas une authentification forte? c’est quoi sinon? une application d’authentification?
Alexol
Ce que je comprends dans cette affaire, c’est que la personne a elle même transmis le code d’authentification… (puisque ça parle de 3d secure)<br /> Pas un accès simplifié donc.
Atlas_78
Je suis d’accord. Ne jamais dire jamais !!!.
yeerum
En l’occurrence, qu’est ce qu’une authentification forte ? du MFA?<br /> Car il y a encore pléthore de site légaux et reconnus qui ne le déclenchent pas durant une transaction…
malak
Sauf que la réglementation est qu’un seul code est insuffisant… il faut une authentification «&nbsp;forte&nbsp;».<br /> Un simple code ne répond pas aux normes actuelles.
Alexol
Oui, ok mais non…<br /> Ce que je veux dire, c’est que la décision aurait du sanctionner la banque (obligation de respecter la réglementation comme tu dis) sans plus (comme indemniser la personne qui a fait n’importe quoi).<br /> Sinon c’est la porte ouverte à des fausses escroqueries…<br /> Je pourrais faire ça, acheter du matériel à 3000€ via un pote ou un faux numéro, et se dire «&nbsp;c’était pas moi, j’ai pas eu l’authentification !&nbsp;». C’est peut être le cas pour cette affaire, qu’est ce qu’on en sait ?<br /> Pas justifié comme verdict.
TNZ
Oui et Non.<br /> 3D Secure est une opération faite lors des achats en ligne dès lors que le site marchand effectue une demande de paiement sur une CB.<br /> 3D Secure peut avoir plusieurs écrans de vérification (perso , j’en ai 2).<br /> Parmi les écrans de vérification tu peux trouver suivant le choix fait par ta banque :<br /> la saisie d’un code reçu par SMS (6 à 10 chiffres)<br /> la validation de l’opération via l’application de ta banque sur ton téléphone (genre ms authenticator)<br /> la saisie d’un mot de passe spécifique<br /> la saisie d’un code numérique depuis un clavier où les touches se positionnent de manière aléatoire<br /> …<br />
TNZ
L’escroc lui a sorti un scénario de contrôle du 3D Secure où la victime doit transmettre le code reçu par SMS ou valider l’opération sur un Authenticator.<br /> Et pendant le discours, l’escroc est en train de valider son panier sur un site marchand à ouate-mille euros.
malak
Oui, mais si.<br /> Si la banque ne sécurise pas suffisamment ses traitements, ce n’est pas au client d’en payer les pots cassés. Dérober des mots de passe est aujourd’hui très très facile, ce n’est pas seulement au client d’en payer les pots cassés quand des technologies existent pour limiter cela!<br /> Qui plus est, les textes de lois obligent les banques à rembourser! Et c’est aux banques de démontrer qu’elles ont tout fait correctement et que la faute incombe complètement au client.<br /> J’invente rien, c’est ainsi.<br /> Du moment que la banque ne respecte pas ses obligations, elle est responsable.
ayaredone
Moi ce qui m’inquiète ce sont les commentaires qui disent que l’arnaqueur avait toutes vos informations bancaires…<br /> La règle c’est par téléphone/email/SMS, on ne donne RIEN.
Nmut
Alexol:<br /> Le verdict le plus juste aurait été d’obliger la banque à améliorer la sécurité,<br /> Là on rentre dans un grand débat… La justice traite de la légalité, pas de moralité ou de «&nbsp;justice&nbsp;» telle que tu l’entends. Une faute «&nbsp;raisonnable&nbsp;» de l’utilisateur ne doit en aucun cas être opposé au non respect d’une obligation de la banque. Après il serait intéressant de savoir si les 3000€ sont juste la somme dérobée ou si il y a un dédommagement important en plus, ou là on peut effectivement estimer que c’est «&nbsp;trop&nbsp;» du fait de l’erreur du client.
Nmut
Ils doivent alors prendre en charge les problèmes et ne peuvent reporter la faute sur la banque ou sur le client…
Alexol
Elle n’est pas responsable de la naïveté du client… même avec la meilleure authentification, même avec la meilleure sécurité, même avec la meilleure banque du monde, ça n’aurait rien changé, donc je ne comprends pas pourquoi on donne raison à ce client, qui a bizarrement eu l’intelligence de comprendre qu’il y a eu un problème de réglementation (c’est plutôt pointu dans ce cas) et pas eu l’intelligence de ne pas fournir de code ???!<br /> Oui à l’amélioration de la banque<br /> Non à l’indemnisation à ce crédule (qui forcément va être impacté, avec les frais de justice sur les frais bancaires d’autres clients de cette banque, faut pas rêver).
malak
Donc d’après toi, tous les clients qui se font berner mérite de perdre leur argent, et cela malgré qu’ils paient les banques pour assurer la sécurité de leur argent… sécurité qu’elles n’ont pas assuré dans le cas présent.<br /> Exemple stupide:<br /> Tu as une clé d’un coffre en banque, tu «&nbsp;perds&nbsp;» la clé, la banque ne vérifie pas l’identité de la personne se présentant avec la clé, la banque n’est donc pas responsable selon toi… malgré les contrats et lois stipulant cette obligation !
KlingonBrain
La cour de cassation à raison.<br /> L’une des raison pour laquelle on confie notre argent aux banques est pour qu’il soit en sécurité.<br /> C’est donc la mission de la banque de garantir qu’il le soit. Et de trouver les solutions qu’il faut pour mettre en échec les arnaques.<br /> Pour ma part, je trouve que les banques ne travaillent pas assez sur ce sujet.<br /> Les condamner à indemniser est une bonne chose, car cela les incitera à investir plus dans notre sécurité.
arnaques_tutoriels_aide_informatique_tests
Aux banques aussi d’arrêter de tout automatiser et de prendre le temps de se faire connaitre par les clients…et c’est jusre pas assez sécurisé alors qu’elles pourraient faire plus. Détection de lappareil qui veut faire l’opération, provenance ip…
arnaques_tutoriels_aide_informatique_tests
Cherchez pas ca doit etre des banquiers…mais ils n’ont pas tord à 100%.<br /> En fait,il auraot fallu couper la poire en deux.
arnaques_tutoriels_aide_informatique_tests
La solution serait pourtant simple ! Ajouter au client un numero de securite que seul le le banquier connaît t et le client et que par telephone sans ce code, le banquier ne oeut ne peut rien demander au client côté transfert…et code a changé apres chaque utilisation…mais à la base, ils ont defini 10 codes à utilisation unique et code uniquement échangés par papier entre le banquier et le client mais ca obligerait les banquiers à bosser…
dante0891
Et à nous de ne pas perdre ce papier et ce code
MattS32
arnaques_tutoriels_aide_informatique_tests:<br /> code uniquement échangés par papier entre le banquier et le client mais ca obligerait les banquiers à bosser…<br /> Ça obligerait surtout à attendre les délais postaux pour chaque opération… Quand je fait un virement, j’ai pas envie de devoir aller poster un courrier et attendre 3 jours pour qu’il soit fait… Et en plus payer du coup pour l’envoi de ce courrier.<br /> C’est là toute la difficulté de la sécurisation des opérations bancaires, il y a en permanence à faire un arbitrage entre complexité, délai et sécurité…<br /> Ma banque «&nbsp;traditionnelle&nbsp;» imposait par exemple un délai de 72h entre la déclaration d’un nouveau bénéficiaire de virement et la possibilité de lui faire un virement. Et elle limite les virements à 2000€ par jour. Ce sont deux sécurités supplémentaires pour limiter le risque de fraude et leur ampleur. Mais qu’est ce que c’est contraignant…
Alexol
Donc le must de la sécurité est que l’argent ne puisse jamais être accessible
Guy3166
Moi, ce que j’ai du mal à comprendre, c’est comment dans ce type d’arnaque, l’escroc possède toutes les informations du client.<br /> Et le pire, j’ai vu que dans certains cas le n° s’affichant est bien celui de la banque ou le Gestionnaire de Compte. Comment est ce possible techniquement?<br /> Régulièrement, lorsque je vais sur le site de ma banque, avant de saisir mon code, il est indiqué qu’aucun employé ne demanderais de infos concernant les données sensibles notamment, identifiants, codes d’accès ou code secret.<br /> Il est évident que tout le monde peut se faire arnaquer car les escrocs ont une technique et des moyens de pression bien rodés.<br /> Il m’est arrivé il y à quelques années de trouvé en ouvrant mon ordi, un message soit disant d’Apple m’informant que mon ordi avait été piraté et d’appeler d’urgence un n° 09 …<br /> Bien qu’étant d’un naturel méfiant, j’ai appelé.<br /> Là, une femme me fait faire des manipulations qui ne fonctionnent pas ( c’était voulu ) car ainsi, elle me dit je vais vous passez un technicien de 1er niveau qui bien évidemment ne peux résoudre le problème et me transfère vers celui de second niveau qui n’à pas plus de solution hormis me passer un Ingénieur.<br /> Là, j’ai commencé à cogiter et compris qu’il s’agissait d’une arnaque et c’est d’ailleurs ce que j’ai dit en l’informant que j’allais contacter Apple puis j’ai raccroché.<br /> Quelques minutes après, elle me rappelle à nouveau en disant qu’elle représentait bien Apple.Là, je me suis énervé et l’ai copieusement insultée et elle à raccroché et je n’ai plus eu de nouvelles.<br /> J’ai donc appelé Apple et là il m’à été indiqué que mon ordi n’avait subi aucune attaque.<br /> Mais c’est vrai que tout le monde bien que méfiant peut tomber dans le panneau.
TNZ
prendre le temps de se faire connaitre par les clients<br /> Cela revient à ré-introduire de l’humain dans la relation client - fournisseur … c’était mieux avant !
Ler
Bien cela !!! Que je voulais leurs dire.<br /> On va pas se taper une banderole d’avertissement sans même précisé qu’il pirate le numéro de téléphone d’une banque. Ou alors laissé sur des moteur de recherche CA de… avec le numéro sur le cadran Google maps…<br /> Pas suffisant !!! Également très difficile d’accéder, de connaître les divers services, démarche… entre porter plainte, utiliser un service avec la DGCCRF «&nbsp;dans le cadre d’une amélioration&nbsp;» ou "pour être remboursé ", déclaré un site, un SMS…<br /> Même les e-mail…<br /> Les pirates vous accroché 1 semaine, 1 mois, 3 mois après…<br /> Sa frole la persécution à la persécution appuyée.<br /> Il faudrait au moins par département un service specialisé en data-tromperie, cybercriminalité…
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Nintendo : sanction exemplaire pour l'hébergeur de ces pirates à la cour d'appel de Paris Nintendo : sanction exemplaire pour l'hébergeur de ces pirates à la cour d'appel de Paris
Mieux que Visa ou Mastercard, des transferts d'argent gratuits et immédiats grâce à l'EPI ! Mieux que Visa ou Mastercard, des transferts d'argent gratuits et immédiats grâce à l'EPI !
Rachat d'Activision Blizzard : pourquoi ce n'est pas fini ? Rachat d'Activision Blizzard : pourquoi ce n'est pas fini ?
Des milliers de passeports français atterrissent sur le darknet après la cyberattaque d’une grande agence de voyages Des milliers de passeports français atterrissent sur le darknet après la cyberattaque d’une grande agence de voyages