Un faux site de la Caisse d’Épargne pour une arnaque au DSP2

Une fraude au DSP2 (Directive Européenne sur les Services de Paiement) a ciblé l’établissement bancaire la Caisse d’Épargne via un nom de domaine cybersquatté.

Initialement prévue 2019, la solution d’authentification forte conforme aux exigences de la DSP2 a été mise en application essentiellement en 2021.

Une authentification forte pour être en conformité avec la directive DSP2

Pour des paiements en ligne de plus de 30 euros, le client doit fournir deux des trois éléments d’identification suivants :

• un mot de passe ou code numérique (dît élément de connaissance).
• son portable ou sa ligne téléphonique (dît élément de possession).
• son empreinte digitale ou faciale ou le son de sa voix (dît élément d’inhérence).

Comme indiqué par francenum.gouv.fr, les banques demandent « le plus souvent à leurs clients de télécharger leur application mobile qui intègre le service d’authentification forte sur leur smartphone ».

En effet, cela permet de combiner un élément de possession (le téléphone) avec un élément de connaissance (un code) ou d’inhérence (son empreinte digitale). Au moment de payer un achat, le client reçoit une notification qui le dirige vers l’application installée sur le téléphone. Il doit alors saisir son mot de passe ou son empreinte biométrique pour valider le paiement.

Des escrocs utilisent cette nouvelle réglementation pour des campagnes d’hameçonnage. La Caisse d’Épargne a ainsi été confrontée à un nom de domaine utilisé pour une opération de phishing.

Les Caisses d’Épargne constituent un réseau bancaire. Elles font partie avec les Banques Populaires de la société française BPCE. Cette dernière est notamment d’une marque semi-figurative (avec le célèbre écureuil) française CAISSE D’EPARGNE enregistrée en 1991, et dûment renouvelée.

La société est également titulaire du nom de domaine <caisse-epargne.fr> enregistré en 1998.

Un faux espace DSP2 de la Caisse d’Épargne

Un cybersquatteur a pourtant enregistré le nom de domaine litigieux <espacecaissedepargne.com>, en décembre 2022. Il redirige vers un site internet en français reproduisant le logo de la banque.

Il spécifie que la banque Caisse d’Epargne a changé son système de sécurité. En conséquence, les clients doivent remplir un formulaire afin de se conformer à ce nouveau système.

Le message se présente ainsi :

Bienvenue dans votre espace DSP2

Afin de sécuriser votre compte, votre banque Caisse d’Epargne a mis en place un système DSP2.

Le système DSP2 s’active très simplement, nous vous invitons à compléter le formulaire suivant.

Le formulaire demande alors l’identifiant et le mot de passe utilisés par l’internaute pour se connecter à sa banque.

La Caisse d’Épargne gagne son « UDRP » contre le nom utilisé pour du phishing

Dans ces conditions, l’établissement bancaire a décidé de s’adresser au Centre d’arbitrage de l’OMPI afin que le nom de domaine litigieux lui soit transféré.

A cet égard, elle a engagé la procédure extrajudiciaire « UDRP » numéro D2023-1107.

En effet, il existe une similitude prêtant à confusion entre le nom de domaine litigieux <espacecaissedepargne.com> et les marques antérieures de la banque. Le nom de domaine litigieux est composé de l’élément verbal « CAISSE D’EPARGNE » sans apostrophe et accompagné du terme « espace ». L’ajout d’ « espace » ne permet pas d’écarter la similitude prêtant à confusion compte tenu du fait que la marque est reconnaissable dans le nom de domaine.

Par ailleurs, le choix du nom de domaine litigieux par le fraudeur domicilié en France ne peut être le fruit du hasard. Les marques de l’établissement bancaire sont en effet connues sur le territoire français.

Mauvaise foi caractérisée dans cette tentative d’hameçonnage

De plus, le nom de domaine litigieux pointe vers un site reproduisant la marque et le logo de la banque. Il le fait dans le but très certainement de récupérer des données confidentielles.

La mauvaise foi du titulaire du nom de domaine est caractérisé, notamment par le fait :

• que la marque CAISSE D’EPARGNE soit reproduite au sein du nom de domaine litigieux.
• de tenter de donner à l’internaute la fausse impression d’une relation légitime entre le site du fraudeur et la banque en renvoyant vers un site en reproduisant notamment son logo.
• que le titulaire se soit abstenu, malgré la possibilité qui lui était offerte, de justifier d’une utilisation de bonne foi, réelle ou envisagée par lui, du nom de domaine litigieux.
• de l’utilisation du nom de domaine litigieux à des fins potentielles d’hameçonnage.
• et l’utilisation par le titulaire d’une fausse adresse postale pour enregistrer le nom de domaine litigieux.

Les noms de domaine cybersquattés sont souvent utilisés pour des opérations de phishing visant les banques. Le DSP2 sert régulièrement d’appât à ces arnaques comme dans cet autre cas de phishing DSP2 visant le Crédit Mutuel.