Il y a quelques semaines, j’ai été amené à change de téléphone mobile. Séduit par les modèles du constructeur chinois OnePlus, j’ai tenté d’acheter un téléphone sur leur site, c’est là que tout s’est gâté…
Leur site avait été piraté et j’ai laissé deux cartes bancaires dans la bataille.
J’achète depuis de nombreuses années sur Internet et de par mon métier, je suis relativement prudent, mais là j’ai commis plusieurs erreurs qui auraient pu me coûter cher.
Première erreur
OnePlus vend en direct, donc par conséquent, offre un système d’achat et de paiement directement sur son site.
Aujourd’hui, le paiement d’un achat sur Internet peut se faire de 2 façons :
le site vous permet de constituer un panier et de générer une transaction de paiement auprès d’un site bancaire de confiance sur lequel vous indiquez vos coordonnées bancaires. Le vendeur ne connait jamais votre numéro de carte.
Plus rarement le site gère ses propres transactions (les GAFA, Paypal, Steam, Microsoft).
OnePlus était dans le second cas, et j’ai commis l’erreur de penser que ce privilège octroyé à certains acteurs garantissait la sécurité des transactions.
J’ai donc rentré mes coordonnées de carte bancaire sur le site…
Deuxième erreur
La transaction n’a pas abouti, un échange avec le support OnePlus m’a invité à utiliser une autre carte, ce que j’ai fait sans plus de succès.
Au final, j’ai utilisé mon compte PayPal (oui je sais, je suis patient et têtu) et obtenu mon téléphone.
Troisième erreur
Le piratage du site OnePlus est devenu public début janvier. Confiant en l’Homme, je n’ai pas réagi, pensant que OnePlus m’informerait si mes cartes étaient dans le lot des cartes volées.
Sans nouvelle de OnePlus, je suis passé à autre chose .
Et là, surprise !
Quelle ne fut pas ma surprise, quelques jours plus tard, de recevoir un mail, non pas de ma banque mais d’Amazon, m’indiquant que ma première carte était compromise, puis quelques heures plus tard, de voir une transaction Uber rejetée pour la même raison sur ma seconde carte, toujours sans réaction de la banque concernée (une autre).
Leçon apprise, je me suis empressé de faire annuler les cartes auprès desdites banques, en mentionnant d’ailleurs l’incident OnePlus, et avec la désagréable impression de faire découvrir le problème à leur service fraude, problème qui pour autant que l’on sache touche au bas mot 40 000 personnes.
Des questions sans réponse
Même si je me suis tiré de l’incident sans trop de casse financière, je reste perplexe à comprendre comment Amazon et Uber peuvent avoir détecté le problème alors que les deux premières banques françaises sont passées au travers.
La seule explication plausible est que les numéros de cartes compromis ont été échangés entre Oneplus et le réseau AWS (Amazon Web Services) utilisé à ma connaissance par Uber et Amazon, mais si c’est le cas, outre le procédé cavalier, Oneplus n’a pas jugé utile de prévenir les banques.
À moins, mais je n’ose l’imaginer que les numéros aient été rachetés directement aux voleurs…
Moralité
La morale est dure : saisir son numéro de carte bancaire sur internet n’est pas anodin, quel que soit le niveau de sécurité que vous gérez (mot de passe , connexion SSL), si le ver est dans la pomme , vous êtes vulnérable.
Nos banques épongent la casse mais semblent démunies face à la menace. Nous sommes toujours plus demandeurs de paiements électroniques, sans contact, depuis un Smartphone, mais le prix à payer est probablement ce genre de bavure.
Olivier Piochaud, Président Directeur Général d’Apsynet
