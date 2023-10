Votre banque vous a déjà envoyé un code de sécurité à six chiffres par texto? Méfiez-vous-en comme de la peste.

• À lire aussi: «Ça va couper ma retraite»: des hackers lui dérobent 350 000 $ à 77 ans

«On pense que ce SMS nous protège, mais pas du tout», avertit Simon Marchand, expert en fraude.

David Trubiano, 48 ans, en sait quelque chose. Le client de la BMO s’est fait frauder de 14 360$ grâce à ce code de sécurité.

La banque refuse de le rembourser, car elle le tient responsable d’avoir partagé son code de six chiffres avec un tiers.

Par un beau matin d’avril, le gestionnaire de projet reçoit un appel de la banque, du moins de ce qui semble être la banque, car le numéro affiché est bien celui de la BMO.

On lui dit qu’il est victime d’une fraude, qu’il doit réciter le code de sécurité qu’on vient de lui envoyer pour confirmer son identité.

En fait, David Trubiano est alors victime de «spoofing», d’usurpation d'identité.

Les hackers se font passer pour la banque et ont besoin de ce code.

Dès qu’ils ont la victime au bout du fil, ils se connectent à son compte bancaire en ligne. Le texto est envoyé et le code à six chiffres est récité. Le tour est joué.

Pas sécuritaire

Toutes les banques disent la même chose: elles n’appellent jamais un client pour lui demander des informations personnelles.

Mais quand c’est le client qui appelle la banque, elle lui envoie un code à six chiffres.

«J’ai déjà eu à lire le code à la banque quand c’est moi qui appelais», se rappelle David Trubiano, Le tout peut vite devenir mêlant.

«Attention: ce code donne accès à vos comptes. Les appels le demandant peuvent être frauduleux. Si c'est le cas, composez le numéro sur la carte. Code de BMO: XXXXXX», peut-on lire dans le texto envoyé.

Les Bell et Verizon de ce monde avertissent les banques depuis déjà longtemps, assure Simon Marchand: le texto n’est pas une solution sécuritaire.

Au final, les banques n’ont pas l’obligation de rembourser. «Ça n’a aucun sens», dit l’expert.

Londres a passé une loi pour obliger les banques à rembourser les clients fraudés. «Justin Trudeau se traîne les pieds. S’il ne veut pas légiférer, qu’il donne les compétences au Québec», lance celui qui a déjà été candidat du Bloc Québécois.

Humilié

Six mois après la fraude, David Trubanio l’a encore sur le cœur. «C’est humiliant, tu as l’impression d’être niaiseux. Ils sont insultants, ils nous tiennent responsables», lance-t-il.

Le matin du 20 avril, il s’est rendu compte du pot au rose en moins de 5 minutes: les fraudeurs avaient viré 13 000$ de sa carte de crédit vers son compte-chèque avant de faire un virement de 14 360$ à l’étranger.

«Je les ai appelés tout de suite. En moins de 5 minutes, ils savaient que ce n’était pas moi, ils savaient où était l’argent», raconte le père de trois enfants.

La banque n’a pas bougé. M. Trubiano a parlé à quatre personnes différentes à la banque et a passé l’été à se faire demander de répéter son histoire.

«Chaque employé me disait que ça n’avait pas de bon sens, que je serais remboursé. Puis chaque fois, ceux qui décident et à qui on ne peut pas parler refusaient de rembourser», dit-il.

On lui a conseillé de faire une plainte à l’ombudsman. «Tout ça prend un temps fou. Ils misent sur le fait que les gens vont abandonner, qu’ils vont les avoir à l’usure», constate M. Trubiano.

Nous avons demandé à la BMO si c’était sa politique de ne pas rembourser les victimes de spoofing. La banque n’a pas été en mesure de fournir une réponse claire. Elle a préféré nous indiquer que « la protection des comptes est un partenariat entre le client et sa banque ».