Les établissements bancaires frisent le code

En décembre dernier, une cliente genevoise de UBS se fait dérober sa carte de crédit. Elle la fait bloquer rapidement, mais le voleur réussit à retirer 1000 francs dans l’intervalle. La même mésaventure survient en janvier à une cliente neuchâteloise de GE Money Bank lors d’un séjour à Turin: elle se fait voler son porte-monnaie, le constate alors qu’elle veut régler l’addition dans un restaurant, et fait alors bloquer sa Mastercard. Trop tard: là encore, un peu plus de 900 francs ont disparu. Dans ces deux cas, qu’a traités la Permanence juridique de la FRC, le code personnel (ou code PIN) a été utilisé par les fraudeurs. S’arc-boutant sur leurs conditions générales, les banques refusent alors d’entrer en matière: elles assument l’utilisation frauduleuse d’une carte de crédit, sauf pour les retraits effectués avec le code PIN. Dans ce cas, jugeant les cartes inviolables, elles estiment que le client a commis une faute. Par exemple en écrivant son code sur la carte ou en ayant une antisèche dans son portefeuille.

Les clients, qui contestent catégoriquement cette version des faits, se retrouvent face à un mur, à la merci d’un «geste commercial» - UBS rembourse ainsi 400 francs. Alors que l’ombusdman des banques constate une hausse des plaintes de ce type, une telle intransigeance étonne. Surtout quand on sonde quelques experts en sécurité informatique. «Le niveau de sécurité de ces systèmes n’est pas aussi élevé que les banques veulent bien le prétendre», souligne Pascal Junod, professeur à la HEIG-VD, à Yverdon-les-Bains, évoquant des attaques documentées dans la littérature scientifique.

Par exemple, en février 2010, des chercheurs de l’Université de Cambridge sont parvenus à faire tourner la tête au protocole EMV, utilisé par les cartes à puce; à l’aide d’une carte volée et d’un petit boîtier confectionné pour 200 dollars, l’équipe du professeur Ross Anderson a réussi à tromper un terminal de paiement de la cafétéria de l’université. Sans connaître le code PIN et sans que la transaction paraisse suspecte à la banque. La faille en question ne touche pas les distributeurs de billets, mais elle pourrait expliquer certains «retraits fantômes» effectués entre le vol d’une carte et son blocage, estime Ross Anderson sur le blog du Laboratoire d’informatique.

«Il est peu probable de se trouver face à des attaques d’une telle technicité dans la vie de tous les jours, tempère Pascal Junod. Mais on ne peut pas l’exclure.» C’est aussi l’avis de Jacqueline Reigner, du Clusis: «N’oublions pas qu’on a affaire à des criminels de haut niveau, ce sont des professionnels très bien formés et équipés, souligne la présidente de l’Association suisse de la sécurité de l’information (clusis.ch). Du point de vue technique, je vois mal comment les banques peuvent être catégoriques à ce point et exclure leur responsabilité.»

Et du point de vue juridique? «Il est étonnant de constater qu’on a très peu de jurisprudence publiée en ce qui concerne des abus de cartes, très peu de cas où le Tribunal fédéral a été amené à trancher», relève Luc Thévenoz. Sans doute parce que peu de gens vont jusque-là, ajoute le professeur de droit bancaire de l’Université de Genève: contester un débit et saisir la justice, c’est partir dans une procédure civile longue, coûteuse et hasardeuse. Luc Thévenoz estime que le régime de responsabilité s’est durci il y a une dizaine d’années, avec l’introduction des prélèvements par code PIN. Auparavant, lorsque c’était la signature qui légitimait seule le client, le régime de responsabilité lui était plus favorable.

Cette exclusion de responsabilité constitue-t-elle pour autant une clause abusive? «Ce qui pourrait constituer un abus, au sens de l’article 8 de la Loi contre la concurrence déloyale (LCD), c’est le renversement du fardeau de la preuve. Les banques présument que l’utilisation du code PIN est toujours imputable au client. Pour se libérer, celui-ci devrait prouver qu’il a respecté toutes les mesures de précaution à sa charge, ce qui est impossible en fait.» Comment, en effet, prouver qu’il n’a pas noté son code sur une carte volée?

Lire aussi les articles: "Les banques rejettent trop souvent leur responsabilité" et "Les conditions kafkaïennes de l'e-banking"