Une arnaque qui exploite la fuite massive d'IBAN en 2025-2026
Depuis plusieurs mois, la multiplication des fuites de données bancaires en France a fourni aux fraudeurs un combustible précieux : des listes d'IBAN, parfois accompagnés de noms et d'adresses e‑mail. Ces informations servent aujourd'hui de preuve d'authenticité dans une campagne d'arnaque ciblée reproduite à grande échelle, repérée par des témoins et relayée sur des plateformes de signalement.
Le mode opératoire
Le scénario est simple et efficace. La victime reçoit un courriel indiquant la fin d'une période d'essai et annonçant un prélèvement imminent pour le programme dit « Delta Sky Club ». Le montant mentionné est de 189 €. Ne se souvenant pas d'avoir souscrit, la personne clique sur le lien « annuler le renouvellement » puis tombe sur une page qui demande des données sensibles — numéro de carte, date d'expiration, cryptogramme ou autres informations personnelles.
- Authentification apparente : le message contient le nom, le prénom, l'IBAN et l'adresse e‑mail de la cible, ce qui renforce sa crédibilité.
- But : soutirer des coordonnées bancaires ou pousser à des actions (prélèvements, inscriptions payantes) via un formulaire frauduleux.
- Propagation : signalements multiples sur des sites dédiés aux arnaques, suggérant une ampleur non anecdotiques.
« il y a mon nom, mon prénom, mon IBAN, mon mail »
Cette citation d'une lectrice illuminant l'affaire montre comment la présence d'un IBAN dans le message accroît la probabilité que la victime fasse confiance au contenu.
Ce que cela révèle sur la sécurité des données
L'usage d'IBANs volés comme outil de légitimation met en lumière deux problèmes distincts mais liés : la fréquence des brèches exposant des informations bancaires et l'absence de réflexes de sécurité chez certaines des victimes. Si l'IBAN, à lui seul, ne permet pas un débit direct d'un compte sans autorisation supplémentaire (mandat SEPA, carte bancaire ou données d'authentification), sa divulgation peut faciliter des attaques plus élaborées (ingénierie sociale, ouverture de comptes, usurpation).
Conséquences pour les clients et les établissements
Pour les particuliers :
- Ne jamais communiquer les données de carte bancaire ou le cryptogramme via un lien reçu par e‑mail.
- Vérifier directement auprès de l'émetteur présumé (par des coordonnées officielles) avant de cliquer.
Pour les banques et les émetteurs de services : la nécessité d'alerter massivement les clients, d'améliorer la détection des tentatives de phishing et de proposer des dispositifs d'authentification forte pour les paiements et la gestion des abonnements.
Quelques éléments chiffrés et datés
| Élément | Valeur |
|---|---|
| Montant annoncé dans le courriel | 189 € |
| Période d'augmentation des fuites d'IBAN | 2025-2026 |
Les autorités, associations de consommateurs et établissements financiers doivent renforcer la communication autour des risques liés aux données bancaires et améliorer la traçabilité des fraudes. En attendant, la vigilance individuelle reste la meilleure barrière : un IBAN exposé n'est pas une invitation à fournir des données sensibles.