55logo mikael le bot avocat

Vol de Téléphone & Face ID : Fraude Bancaire, Responsabilité des Banques & Remboursement

  • Droit bancaire

En tant qu’avocat dédié à la défense de vos droits, je constate avec préoccupation l’évolution des risques liés au vol de téléphone mobile. Ce n’est plus seulement la perte d’un objet de valeur ; c’est potentiellement une attaque directe contre votre identité numérique et vos finances. Comprendre cette menace et savoir comment réagir est fondamental.

Voici un éclairage complet, basé sur les informations disponibles, sur les dangers, le cadre juridique et les mesures de protection essentielles.

Le vol de téléphone : une menace bien plus grave que la simple perte matérielle

Si votre téléphone est volé, le coût de son remplacement est souvent le moindre de vos soucis. Les escrocs peuvent causer beaucoup plus de dégâts qu’on ne l’imagine avec votre seul appareil. Le véritable danger réside dans leur capacité à accéder à vos informations personnelles et à vos finances.

Comment les voleurs opèrent pour accéder à vos données

Les voleurs sont opportunistes et ciblent souvent les moments où vous êtes le moins vigilant, comme dans ou autour des bars. Ils préfèrent voler votre téléphone pendant que vous l’utilisez, car il est ainsi déjà déverrouillé lorsqu’ils s’en emparent. Ils ont alors accès à toutes vos applications, notes, et informations personnelles stockées.

Une tactique courante, notamment auprès des jeunes adultes potentiellement sous l’influence de l’alcool, consiste à obtenir votre code secret. Un voleur peut prétendre vendre de la drogue et demander de noter ses informations sur votre téléphone, observant discrètement l’entrée du code. Une autre astuce consiste à demander à vous ajouter sur Snapchat, prendre le téléphone, le « verrouiller », puis demander le code pour le « déverrouiller », observant ou même filmant la victime pendant qu’elle le compose. Le code secret est la clé qui ouvre tout.

Ce que les voleurs font avec votre téléphone et votre code secret

Le code secret est d’une importance capitale. Il permet aux voleurs d’accéder aux téléphones volés, de piller les comptes bancaires et applications d’argent, et de bloquer les victimes hors de leurs comptes Apple, parfois définitivement. Une fois qu’ils ont le téléphone et le code, la rapidité est essentielle, c’est comme un « casse de banque ».

Ils se rendent dans les paramètres pour réinitialiser le mot de passe iCloud en utilisant le code à six chiffres et créer leur propre mot de passe. Ensuite, ils activent la fonction « Localiser mon iPhone », ce qui verrouille complètement le propriétaire hors du téléphone. Avec juste le code secret, un voleur peut changer le mot de passe de l’identifiant Apple de quelqu’un et effectuer une multitude d’actions sur votre compte et votre téléphone. Cela peut être fait extrêmement rapidement, en 5 à 10 secondes. Le but de cette rapidité est de prendre le contrôle avant que la victime ne puisse réagir.

Après avoir obtenu le code, ils peuvent supprimer l’accès Face ID du propriétaire et enregistrer le leur. Cela facilite l’accès aux mots de passe enregistrés dans les applications bancaires. Le voleur peut alors accéder à divers comptes comme les comptes d’épargne, les comptes courants, les applications de cryptomonnaie, Venmo et PayPal. Si les applications ne peuvent pas être déverrouillées avec Face ID, les voleurs chercheront ailleurs sur le téléphone, par exemple dans l’application Notes ou même les photos, où les mots de passe et d’autres informations sensibles comme le numéro de sécurité sociale sont parfois stockés.

Les stratagèmes incluent le drainage d’argent des comptes bancaires. Souvent, l’argent est transféré avant 5 heures du matin pendant que les victimes dorment. Si la victime dispose d’une ligne de crédit, les voleurs peuvent l’utiliser pour faire des achats coûteux dans des magasins, en utilisant par exemple Apple Pay. Ils peuvent dépenser des milliers de dollars en vêtements, chaussures et autres articles simplement en utilisant leur visage avec Apple Pay après avoir enregistré leur propre Face ID. Des voleurs ont même utilisé des produits Apple volés et la fonction Apple Pay pour acheter davantage de produits Apple, qu’ils revendaient ensuite pour faire du profit.

Après avoir volé l’argent, le voleur peut effacer le téléphone en utilisant le code secret et le mot de passe, puis le vendre. Les iPhones ont généralement plus de valeur à la revente que les téléphones Android.

La Reconnaissance Faciale (Face ID) et l’IA : des vulnérabilités spécifiques

L’essor de la technologie de reconnaissance faciale a apporté commodité et sécurité, mais a également introduit de nouvelles vulnérabilités. Des attaquants sophistiqués exploitent des services de « face swapping » alimentés par l’IA pour créer des « deepfakes » convaincants, trompant même les systèmes de sécurité robustes. Ces acteurs malveillants utilisent également de fausses applications mobiles pour obtenir un accès non autorisé aux comptes des victimes et compromettre des informations sensibles et des identités.

Étant donné l’essor du contenu généré par l’IA, on ne peut plus vraiment faire confiance aux identités numériques. Par exemple, des escrocs peuvent prendre des photos partagées en ligne et utiliser l’IA pour créer des vidéos mimées ou de faux profils. Si vous utilisez la reconnaissance faciale, l’IA peut potentiellement imiter cela, faisant croire que c’est vous alors que ce n’est pas le cas.

La reconnaissance faciale n’est pas intrinsèquement sûre simplement parce que personne d’autre ne vous ressemble parfaitement. En outre, les systèmes basés uniquement sur la caméra peuvent avoir des limitations en raison de la qualité de la caméra, et même Face ID sur iPhone peut parfois ne pas fonctionner, nécessitant le code secret. Il est très important de comprendre qu’une sécurité basée uniquement sur la caméra n’est pas toujours infaillible. Il est préférable d’avoir plusieurs couches de sécurité.

Soyez prudent avec les applications mobiles. Assurez-vous de ne pas accorder un accès inutile à la caméra à une application. Téléchargez des applications uniquement depuis des magasins officiels comme l’Apple Store ou le Google Play Store ; soyez très prudent avec les applications tierces. Certaines applications n’ont pas besoin d’un accès à la caméra, et leur accorder cet accès vous rend vulnérable au vol d’informations. L’objectif principal des attaquants est de se faire payer, souvent en obtenant l’accès à vos informations bancaires. Si votre identifiant facial est piraté, cela pourrait leur donner accès à vos comptes bancaires.

L’IA est utilisée pour créer des « deepfakes », et elle peut également être utilisée pour la détection, mais la sophistication de l’application compte. L’IA est créée par des humains et peut faire des erreurs. Être informé est un facteur humain essentiel pour atténuer certains problèmes.

Le cadre juridique : Authentification forte et responsabilité bancaire

Le droit français encadre strictement la sécurité des opérations de paiement. L’authentification forte est une exigence légale. Elle doit reposer sur deux ou plusieurs éléments distincts appartenant aux catégories « connaissance » (que seul l’utilisateur connaît), « possession » (que seul l’utilisateur possède) et « inhérence » (que l’utilisateur est, comme une caractéristique biométrique). La compromission de l’un ne doit pas remettre en cause la fiabilité des autres. Depuis mai 2021, l’authentification forte est systématique pour les achats en ligne en France, conformément à la directive DSP2. Concrètement, cela implique de valider deux éléments parmi un mot de passe/code secret, l’utilisation d’un appareil détenu (téléphone, boîtier), ou une caractéristique personnelle (empreinte, reconnaissance faciale).

En cas d’opérations frauduleuses, les responsabilités sont définies par la loi (Code monétaire et financier). L’utilisateur a l’obligation de prendre des mesures raisonnables pour préserver la sécurité de ses dispositifs personnalisés. Le prestataire de services de paiement (la banque) doit s’assurer que les dispositifs de sécurité de l’instrument de paiement ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé.

La charge de la preuve incombe à la banque. Lorsqu’un utilisateur conteste une opération de paiement, il appartient à son prestataire de services de paiement de prouver que l’opération a été authentifiée, enregistrée et comptabilisée correctement, et qu’elle n’a pas été affectée par une déficience technique. L’utilisation seule de l’instrument de paiement, telle qu’enregistrée par la banque, ne suffit pas nécessairement à prouver que l’opération a été autorisée par le payeur ou qu’il n’a pas respecté ses obligations par négligence grave ou intentionnellement. La banque doit fournir des éléments prouvant la fraude ou la négligence grave commise par l’utilisateur.

La jurisprudence : Face ID et la position des tribunaux

La jurisprudence récente apporte des éclaircissements importants. L’utilisateur qui nie avoir autorisé une opération peut simplement la contester, la charge de la preuve incombant à la banque d’établir que l’ordre émane bien de l’utilisateur. De même, c’est à la banque de prouver la négligence grave de l’utilisateur, par exemple en établissant qu’il a divulgué volontairement ses éléments d’identification strictement confidentiels.

Le cas jugé par le Tribunal judiciaire de Nice le 20 février 2025 est illustratif  (Tribunal judiciaire de Nice, 4ème Chambre Civile, 20 février 2025, n° 23/00836). Mme [E] [D] a contesté des virements effectués après un « piratage » présumé de ses comptes, indiquant n’avoir jamais autorisé ni validé les opérations, ni reçu de demande de confirmation (SMS ou courriel). Le tribunal a considéré que le listing fourni par la banque, mentionnant simplement « validation par le client » suivi de « réussi », était insuffisant à prouver une authentification forte des opérations contestées, car ni son origine ni son authenticité ne pouvaient être vérifiées. Il a également souligné que la preuve d’une négligence grave ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisées. Le tribunal a donc condamné la banque à rembourser à Mme [E] [D] les sommes débitées frauduleusement (9.440 euros) avec intérêts. Cela renforce le principe selon lequel la banque ne peut s’exonérer de sa responsabilité sans prouver une négligence grave de l’utilisateur.

Les banques tentent souvent d’arguer que l’utilisation d’un pass sécurité, d’un code renforcé ou de Face ID constitue une authentification forte suffisante et que le client qui valide dispose forcément des codes nécessaires, excluant ainsi leur responsabilité. Cependant, la jurisprudence rappelle que le respect de la procédure d’authentification forte par la banque ne suffit pas à qualifier l’opération d' »autorisée » si la preuve de l’autorisation par l’utilisateur fait défaut.

Les étapes à suivre si votre téléphone est volé

Agir rapidement est crucial. Les sources recommandent les étapes suivantes, dans cet ordre précis :

  1. Si vous avez activé une fonction « Localiser mon appareil » (« Find my device »), utilisez cette fonction pour effacer votre téléphone immédiatement.
  2. Appelez votre opérateur réseau. Signalez que votre téléphone a été volé. Si vous n’aviez pas activé la fonction « Localiser mon appareil », vous pouvez demander à votre opérateur d’effacer votre téléphone pour vous. Bloquez également la ligne.
  3. Changez tous les mots de passe importants. Commencez par votre adresse e-mail pour ne pas être verrouillé, puis vos informations bancaires, puis toute autre chose importante pour vous.
  4. Contactez sans délai votre banque pour signaler le vol et la possibilité d’opérations frauduleuses.
  5. Contestez formellement par écrit toute opération non autorisée, en précisant n’avoir jamais donné votre consentement.
  6. Contactez un avocat, avant de déposer plainte, il pourra vous conseiller afin que votre plainte ne puisse pas être utilisée contre vous par la Banque pour invoquer une négligence grave.
  7. Appelez la police et déposez plainte pour vol et utilisation frauduleuse des moyens de paiement. Conservez toutes les preuves de vos démarches (récépissés, copies des courriers, etc.).
  8. Exigez le remboursement immédiat des sommes débitées frauduleusement, en vous fondant sur l’article L. 133-18 du code monétaire et financier.

Comment se protéger : des mesures préventives essentielles

En tant qu’avocat, je ne peux qu’insister sur l’importance de la prévention. Voici des mesures pour protéger vos données et vos finances :

  • Activez la fonction « Localiser mon appareil » (« Find my device »).
  • Activez le paramètre « Protection en cas de vol de l’appareil » (« Stolen Device Protection ») s’il est disponible sur votre appareil (par exemple, dans iOS 17.3). Ce paramètre ajoute une ligne de défense lorsque vous êtes loin de chez vous ou du travail. Un voleur aurait besoin de votre visage ou d’une analyse d’empreinte digitale pour changer le mot de passe d’un identifiant Apple, puis il devrait attendre une heure, puis aurait à nouveau besoin de vos données biométriques. La même chose s’applique à l’ajout d’un nouveau Face ID et à la désactivation de « Localiser mon iPhone ». L’accès aux mots de passe enregistrés nécessiterait vos données biométriques. Notez cependant que certains éléments, comme l’utilisation d’Apple Pay ou certaines applications comme Venmo, pourraient encore être vulnérables même avec ce paramètre activé. Ce paramètre est désactivé par défaut ; vous devez l’activer manuellement.
  • Ne stockez pas vos mots de passe dans l’application Notes ou dans vos photos.
  • Créez un code secret plus fort qui utilise des lettres et des chiffres, pas seulement six chiffres.
  • Soyez attentif à votre environnement et restez vigilant, surtout dans les lieux publics.
  • Ne partagez pas d’informations sensibles en ligne, comme des photos, car elles peuvent être utilisées par l’IA pour créer des « deepfakes ».
  • Soyez prudent quant à l’autorisation d’accès à la caméra pour les applications, en particulier les applications tierces.
  • Téléchargez des applications uniquement à partir des magasins officiels comme l’Apple Store ou le Google Play Store.
  • N’ayez pas qu’une seule couche de sécurité (comme la reconnaissance faciale seule) ; il est toujours préférable d’avoir une ou deux couches de sécurité supplémentaires, comme un code secret fort.
  • Restez à jour avec vos logiciels et les applications que vous utilisez.

Conclusion

Le vol de téléphone peut ouvrir la porte à des pertes financières importantes et au vol d’identité. L’utilisation de la reconnaissance faciale, bien que pratique, présente des vulnérabilités exploitables, notamment en cas de vol et d’accès au code secret. Cependant, le droit français et la jurisprudence protègent les utilisateurs en plaçant la charge de la preuve du caractère autorisé des opérations sur les banques.

En étant conscient des méthodes des voleurs, des risques liés aux technologies émergentes comme l’IA, et en prenant des mesures préventives proactives (activation des fonctions de sécurité, choix d’un code fort, prudence en ligne et avec les applications), vous pouvez mieux protéger vos informations personnelles et vos finances. En cas de vol, une action rapide et méthodique (signaler, changer les mots de passe, contester auprès de la banque, contacter un avocat, porter plainte) est essentielle pour faire valoir vos droits et obtenir le remboursement des sommes frauduleusement débitées. Soyez vigilant et sécurisez votre appareil mobile dès maintenant.

1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
RGPD :

Articles similaires

assets task 01jwdr7f0vfhkatkvcktqqamcv 1748513349 img 0

Peut-on encore emprunter après avoir eu un cancer ? Les dispositifs existants

La question de l’emprunt après un cancer est une préoccupation majeure pour de nombreuses personnes souhaitant réaliser des projets de vie, tels que l’achat immobilier. ...

cabinet lebot avocat 1

Chèque Falsifié et faux chèque : Obligations et responsabilités bancaires 

La falsification de chèques demeure une préoccupation majeure dans le secteur bancaire français. Bien que l’utilisation des chèques ait diminué au profit de moyens de ...

assets task 01jwrg8hjcen69pzvz5hbfwdx7 1748874082 img 1

Fraude Spoofing (Faux conseiller) : Pas de négligence grave du client selon la Cour d’appel de Douai (6 mars 2025)

La fraude dite du « faux conseiller bancaire », souvent associée à la technique du « spoofing » (subtilisation du numéro de téléphone de la ...