Mon compte Paypal a été récemment hacké et intégralement vidé de plusieurs milliers d’euros. Récit de la mésaventure et de la façon dont le litige a été géré et réglé par Paypal. Et les conséquences qu’il faut en tirer.

Jeudi 12 juillet, huit heures. Je descends prendre mon petit déjeuner dans mon hôtel à Toronto avant de rejoindre la dernière session de keynotes de la WPC Microsoft. Je consulte mes emails sur mon mobile pour la première fois de la journée (il est 14h en France) et je vois deux messages un peu bizarres, mais qui ne retiennent pas tout de suite mon attention car j’ai fait quelques petits achats de services via Paypal au cours des derniers jours.

Je vérifie quand même par acquit de conscience afin de voir si les sommes débitées correspondent bien aux achats effectués, et là, grosse surprise :

Vous avez envoyé un paiement – Nº de transaction : xxxxx

Bonjour,

Vous avez envoyé un paiement par téléphone mobile pour €xxxx,00 EUR à xxxx xxxxxxxxxx. Nous avons envoyé un message au destinataire lui demandant d’accepter ou de rejeter le paiement.

Ce paiement apparaîtra dans quelques instants dans votre Activité récente, sur l’Aperçu du compte.

Afficher les détails de cette transaction en ligne.

Gasp, la somme ne correspond absolument pas à mes derniers achats, et le destinataire est inconnu au bataillon. Idem pour le deuxième email. L’évidence s’impose : mon compte Paypal a été hacké. Après vérification du solde, il a été intégralement siphonné, de plusieurs milliers d’euros, en deux opérations distinctes et successives. Le gars a été relativement malin car il a retiré une somme ronde et a juste laissé un petit crédit de quelques dizaines d’euros, probablement pour ne pas éveiller tout de suite les soupçons.

litige paypal Comment je me suis fait hacker mon compte Paypal

La moitié de croissant que je viens d’ingurgiter me reste un peu en travers du gosier, et l’autre moitié reste dans son assiette. Branle-bas de combat. Je remonte dans ma chambre illico, pour constater qu’entretemps j’ai déjà reçu un email de Paypal m’indiquant que l’accès à mon compte a été restreint, et que je dois procéder à quelques vérifications. L’email me demande de me connecter à mon compte et suivre la procédure. En voici un extrait :

Votre compte sera restreint jusqu’à ce que vous nous contactiez

Bonjour Eric DUPIN,

Nous avons besoin de vous pour résoudre un problème sur votre compte. Le temps de résoudre ce problème, nous avons temporairement restreint les fonctionnalités de votre compte.

Nous comprenons qu’il peut être frustrant de ne pas pouvoir accéder totalement à votre compte PayPal. Nous souhaitons travailler avec vous au rétablissement aussi rapide que possible du fonctionnement normal de votre compte.

Quel est le problème ?

Nous voulons vérifier avec vous que personne ne s’est connecté à votre compte sans votre permission.

(…)

Déjà très échaudé et un peu sous le choc du piratage je me méfie de cet email comme de la peste car cela ressemble beaucoup à une tentative de phishing, qui pourrait être la suite logique (ou le signe avant-coureur) de ce que mon compte vient de subir. Je prends donc mille précautions avant de suivre les indications : vérification des liens, de l’url, de la certification https, et appel de Paypal.

C’est là que j’ai pu constater la redoutable efficacité des services de Paypal, et leur prise en charge des litiges. Déjà les termes employés sur le site dans la section litiges sont rassurants : « Si votre compte présente des transactions ou d’autres activités que vous n’avez pas autorisées, PayPal est là pour vous aider ». Bon je me sens déjà un peu mieux. L’entretien téléphonique avec un chargé de litiges finit de me rassurer : il identifie rapidement l’origine des transactions frauduleuses : Jakarta. Il sait en traçant mon parcours via mes dernières transactions et leur localisation via IP que je suis à Toronto et que je n’ai pas fait de crochet par l’Indonésie pour m’y rendre, et m’indique qu’une fois la fraude prouvée mon compte devrait être intégralement re-crédité dans les dix jours. Ce n’est pas idéal quand on s’en sert fréquemment mais ça pourra attendre.

Dans ce cas, la procédure est simple et efficace : il faut effectivement se connecter à son compte Paypal, changer de mot de passe, indiquer la la nature de la fraude, et envoyer un scan de sa carte d’identité recto-verso. Tout est clairement indiqué et vous êtes intégralement pris en main sur l’ensemble du processus.

Autre crainte au au passage (dans ce genre de situation on devient extrêmement parano et on imagine tous les plus mauvais scénarios) : que le malfrat ait réussi via Paypal à avoir accès à mon compte bancaire, puisque celui-ci est connecté à Paypal, ou pire, qu’il en ait connecté un autre, le sien. Normalement c’est impossible mais bon. Appel de la banque pour vérification : aucun mouvement suspect, dixit mon chargé de compte. Ouf.

Une fois les démarches effectuées, vous recevez un email de confirmation, puis deux jours plus tard votre compte est débloqué, mais pas encore re-crédité. Finalement tout arrive plus vite que prévu puisque je retrouve l’intégralité de la somme créditée de nouveau sur mon compte lundi 16 juillet. Il n’aura en tout fallu que quatre jours à Paypal pour identifier la fraude, traiter le litige, rétablir mon compte et le créditer intégralement des sommes détournées. Je précise que je n’ai fait jouer aucune relation particulière et que j’ai été traité comme n’importe-quel client, ni plus ni moins. Ce que je décris ici est donc la procédure standard à laquelle tout client de Paypal a accès.

Quelles conclusions et conséquences tirer de ce hack ?

Renforcer la sécurité de son mot de passe

Selon toute évidence, le gars qui a hacké mon compte a tout simplement réussi à trouver mon mot de passe, que je pensais pourtant sûr. J’ignore comment il s’y est pris mais il faut savoir qu’il a pris intégralement possession de mon compte en se faisant passer pour moi et ça fait froid dans le dos. Donc veiller à trouver un mot de passe le plus sophistiqué possible et surtout à utiliser un mot de passe différent pour chaque service sensible.

Ne pas laisser traîner de sommes trop importantes sur son compte Paypal

Bien sûr, quand vous avez régulièrement des mouvements entrants et sortants, c’est tellement pratique et tentant de laisser du cash sur Paypal. Mais bon, non, quoi. Je viens de l’apprendre à mes dépens, et maintenant que tous les hackers du monde sachent que sur mon compte Paypal ils ne trouveront même pas de quoi se payer un Big Mac icon smile Comment je me suis fait hacker mon compte Paypal

Les process de sécurité de Paypal sont très efficaces

A peine la transaction frauduleuse réalisée, je recevais une alerte de Paypal. Or j’étais moi-même à l’étranger. Cela signifie que Paypal utilise des marqueurs qui ne fonctionnent pas uniquement sur la géolocalisation des transactions. D’après ce que j’ai pu constater, il semble que les alertes se déclenchent selon plusieurs critères croisés, dont ceux-ci :

  • transaction d’un montant inhabituel par rapport à l’ensemble des transactions d’un compte
  • transaction à partir d’un lieu inhabituel par rapport aux déplacements fréquents d’un membre
  • lieux réputés « à risques », dont Jakarta ferait partie ? Je me demande si une alerte identique se serait déclenchée si la fraude avait été géolocalisée au Canada où je me trouvais à ce moment-là, ou en France, ou aux USA où je me rends fréquemment ?

Des critères que confirme Marc Jaugey, directeur de la Communication EMEA de PayPal, que j’ai appelé ensuite pour vérifier ces informations. Celui-ci complète et précise en indiquant que d’autres paramètres sont pris en compte, comme la nature des achats (les téléchargements ou achats de biens immatériels pour de grosses sommes sont particulièrement surveillés) ou le site marchand sur lequel sont effectués ces achats.

Dès qu’un soupçon de transaction frauduleuse est identifié, le compte est suspendu

Les sommes ont bien été débitées de mon compte, et le bon Deny (c’est le prénom du hacker, ou son pseudo, mais on a aussi son nom) a certainement pu profiter de son larcin en effectuant de gros achats en ligne avec mon fric.  Mais les sommes ont été aussitôt récupérées par Paypal auprès du site marchand, par simple transaction numérique, à son unique détriment. Cela signifie que Paypal intervient à un moment-clé et fige le mouvement d’argent : il n’est plus sur mon compte mais n’est non plus pas vraiment arrivé sur le compte du site de destination, ou alors il n’est pas resté longtemps. Moralité : le client Paypal est protégé, le voleur peut jouir tranquillement de son butin, et c’est le cyber-commerçant qui se fait plumer. A lui de décider alors s’il se retourne contre le hacker. Quand Paypal ne peut récupérer l’argent, notamment dans le cas d’une fausse boutique montée spécialement pour ce type d’escroquerie, la société couvre elle-même sur ses propres fonds. Selon Marc Jaugey cela reste toutefois marginal : sur les 120 milliards de dollars annuels de transactions assurées par Paypal, seulement 0,20% ne sont pas solvables et donc remboursées par le service.

Dernière réflexion : certes Paypal vous protège contre ce type de mésaventure, à condition que la fraude soit évidente et facilement prouvable, ce qui était le cas me concernant. Mais que se serait-il passé si un pirate retire plusieurs fois de petites sommes et réside dans la même zone géographique que vous, de façon à rester sous les radars ? Dans ce cas la fraude est certainement beaucoup plus difficile à démontrer, et du coup l’indemnisation plus longue à obtenir, si toutefois on l’obtient.

Une histoire que j’ai jugé utile de vous raconter en détail car cela pourra toujours servir à ceux qui subiront le même sort un jour. J’ai toujours eu tendance à faire preuve d’une paranaoïa modérée, soit une grande prudence mais sans excès de zèle, dans mes transactions sur internet. Cette mésaventure, désagréable mais tellement vite réglée, démontre cependant que même le meilleur mot de passe su monde (il faudrait publier la liste des meilleurs mots de passe du monde, haha) ne suffit pas à sécuriser de façon formelle et totalement efficace. Ce qui amène à réfléchir sur ses stratégies personnelles de sécurisation, surtout quand on a confié une grande partie de sa vie à Internet.

Madame Michu dirait qu’on n’est jamais trop prudent. Souvent Madame Michu a raison.