Twint, entre pratique et danger
Twint, cette formidable application suisse de paiement instantané créée en 2016, rend les achats et les transferts d’argent bien plus simples et rapides. Avec plus de cinq millions d’utilisateurs dans notre pays1TWINT AG. À notre propos. https://www.twint.ch/fr/a-notre-propos/ (consulté le 16.05.2025)., l’application devient forcément un terrain de jeux pour les cybercriminels. Twint est un très bon outil pour les pièges fabriqués à partir d’emails et de lettres ressemblant à celles de notre banque grâce au QR code à scanner. Bien que des campagnes d’information soient faites depuis des années pour que les utilisateurs se méfient des sollicitations, la montée en puissance des intelligences artificielles rend les arnaques de plus en plus difficiles à déceler. Mais concrètement, lesquelles sont les plus dangereuses ?
Une fois tombé dans le piège, il est peu probable de pouvoir récupérer l’argent envoyé et la crainte de perdre plus d’argent à cause des données volées peut s’ajouter à la culpabilité de s’être laissé piéger. Dans le cas de Twint, les utilisateurs se tournent généralement vers leurs banques afin de bloquer et signaler leur carte liée au compte de l’application. Cependant, les institutions financières et la société possédant l’application peuvent-elles en faire davantage ?
Fausses offres, vrais risques
Être à la recherche d’un emploi peut être un moment difficile, mais il faut se méfier de la facilité des offres ne demandant ni diplôme précis, ni expériences particulières pour devenir agent financier. Ces propositions cachent généralement une méthode de blanchiment d’argent nécessitant un money mule (mule financière). Les arnaqueurs demandent simplement de gérer les versements de « clients » mais sans préciser que le compte utilisé pour ces transferts sera celui de la victime. La mule reçoit l’argent sur son compte avec comme mission de l’envoyer quelque temps plus tard à une autre personne tout en gardant une commission.2Département fédéral de la défense, de la protection de la population et des sports. Agents financiers. https://www.ncsc.admin.ch/ncsc/fr/home/cyberbedrohungen/finanzagenten.html (consulté le 16.05.2025). Twint étant une application bancaire reliée seulement à des banques suisses,3Soll, M, 2023. Paiement par téléphone portable : comment fonctionne Twint ? Comparis.ch https://fr.comparis.ch/telecom/mobile/handynutzung/twint#content-5-content-2 (consulté le 16.05.2025). un sentiment de sécurité nait dans l’esprit de la mule financière. Puisqu’il n’est pas possible de recevoir ou d’envoyer de l’argent à l’étranger par ce biais, il est plus difficile de s’imaginer que l’argent provient d’activités illicites, surtout si les sommes sont raisonnables. C’est généralement la personne recevant l’argent à son tour qui l’enverra à l’étranger. Malgré le sentiment d’avoir rendu service et la satisfaction de s’être fait un peu d’argent facilement, la victime se rend coupable de blanchiment d’argent que le code pénal suisse définit, à l’article 305bis, comme suit :
« Quiconque commet un acte propre à entraver l’identification de l’origine, la découverte ou la confiscation de valeurs patrimoniales dont il sait ou doit présumer qu’elles proviennent d’un crime ou d’un délit fiscal qualifié, est puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire »4Code pénal suisse du 21 décembre 1937 (CP ; RS 311.0)..
Le phishing est une autre situation délictueuse. Ces faux emails de Twint annoncent la nécessité de scanner un QR code pour modifier des données personnelles à la suite d’une fuite, et ce, dans le but de les voler et les réutiliser. Par principe, aucune institution financière ne demande à ses clients d’entrer des données personnelles via un lien dans un mail. Dans ce genre de cas, il est donc important de ne pas ouvrir le lien, de vérifier l’URL du lien sans l’ouvrir et, en cas de doute, de contacter le supposé émetteur du mail pour s’assurer de son authenticité.5Ischi, L, 2025. Gare aux arnaques Twint, prévient l’eCop vaudois. 24heures. https://www.24heures.ch/twint-attention-a-cette-arnaque-qui-sevit-en-suisse-798148870207 (consulté le 16.05.2024). Il existe aussi des cas de faux QR code collé à la place du vrai sur un horodateur d’un parking.6Police région Morges. Arnaques aux codes QR sur les Horodateurs. prm-vd.ch. https://www.prm-vd.ch/actualites/arnaques-aux-codes-qr-sur-les-horodateurs-7815 (consulté le 01.07.2025).
Être une money mules est plus dangereux pour l’utilisateur au niveau pénal car le risque n’est pas une « simple » fuite de données et/ou de l’argent perdu, mais une condamnation pour blanchiment d’argent. Le phishing en revanche lui fera « seulement » perdre de l’argent jusqu’au montant-limite posé par Twint pour les paiements mensuels.
Protection ou désengagement ?
L’application Twint appartient à la société suisse Twint SA. Comme toutes les sociétés proposant un service, des conditions générales ont été établies. Dans le premier chapitre des conditions de vente de l’application, on retrouve les obligations de diligence des clients (ci-après : §1.7). Ce paragraphe énonce ce qui est attendu du consommateur en matière de sécurisation, par exemple le fait de protéger le téléphone et l’application par des mots de passe différents ou encore de ne pas mettre en danger l’appareil par des téléchargements illicites. Parmi ces obligations, on retrouve aussi le fait de bien vérifier les données du destinataire du paiement. On ne trouve aucune obligation improbable ou exagérée. Cependant, une ligne à la fin de ce paragraphe énonce ceci : « Les actes qu’une tierce personne commet de manière illicite avec l’app TWINT d’une cliente ou d’un client, en particulier, seront imputés à la cliente ou au client. »7TWINT AG. Conditions générales de vente pour l’utilisation de TWINT. https://www.twint.ch/fr/conditions-dutilisation-de-lapp/ (consulté le 19.05.2025). La société part certainement du principe que si le propriétaire de l’appareil respecte toutes ses obligations, aucun tiers ne peut utiliser l’application sans son accord : de ce fait, une utilisation illicite ne peut se faire aux dépens du client. À part à la suite d’un hacking de l’application, il est effectivement difficile d’imaginer un scénario où l’application serait utilisée sans autorisation si elle est protégée correctement. Mais dans le cas où un hacker y accèderait, la société considèrera-t-elle que le client n’ait pas tenu ses obligations ? Je trouverais cela sévère vu tout ce que ce genre d’intrusion peut produire, comme le sentiment de honte de ne pas avoir assez protégé son appareil, en plus des pertes encourues. Cependant ce point n’est pas précisé dans les conditions générales. Mais concernant les autres points abordés par ces dernières, on peut parler d’un report de charge sur le client. La société considère que c’est à lui de prendre les précautions nécessaires avec les outils qui lui sont donnés.
En outre, la société précise les cas dans lesquels elle exclut sa responsabilité. Le paragraphe 1.9 dispose qu’elle ne répond pas des dommages ou pertes résultant d’erreurs de transmission ou d’intrusions illicites dans le smartphone, ainsi que ceux résultant d’une violation des conditions générales ou des lois applicables. Encore une fois, il apparaît logique dans les conditions générales émises par Twint que le client soit responsable d’une mauvaise utilisation de l’application. Mais la société décline aussi toute responsabilité en cas de pertes de données. On peut le comprendre dans le cas où le client tomberait dans une arnaque comme le phishing, mais moins dans le cas où il se les ferait voler lors d’une attaque informatique. Autant dans le premier cas le client les donne, autant dans le deuxième cas il fait confiance à la société pour sécuriser ses données. Ce cas ne semble pas être traité dans les conditions d’utilisation.
Indirectement, la société décline la responsabilité en cas d’arnaque en considérant que le client n’a pas complètement respecté ses obligations. Elle informe régulièrement des arnaques liées à son application, via des articles sur son site internet sous une rubrique difficile à trouver ou encore des notifications push de temps à autre, et met en place des sécurités supplémentaires que l’utilisateur peut activer dans les réglages comme un montant plafond jusqu’auquel aucune autorisation supplémentaire n’est demandée : par exemple, toute transaction inférieure à 40 CHF va pouvoir être faite sans autre validation de l’utilisateur. Il est aussi possible de décider que tous les transferts doivent avoir une validation supplémentaire ce qui renforce la sécurité.
L’application ne peut fonctionner sans que l’utilisateur ne soit titulaire d’un compte dans une banque suisse. Chacune d’entre elle possède une application Twint à son nom. Dans les conditions d’utilisation de l’application Twint Raiffeisen, par exemple, les moyens d’identification sont un peu plus poussés, par exemple une lettre d’activation est envoyée par la banque à la personne qui a prouvé être titulaire d’un compte grâce au numéro de carte et aux cinq derniers chiffres de l’IBAN, mais les obligations du client et la responsabilité de la banque restent similaires à celles de la société Twint.8Raiffeisen Suisse. Conditions d’utilisation de l’app Raiffeisen TWINT. https://www.raiffeisen.ch/rch/fr/clients-prives/comptes-et-paiements/raiffeisen-twint/info.html (consulté le 19.05.2025).
Concernant les money mules, il peut être difficile de les repérer à cause des petits montants transférés, mais aussi parce que les clients concernés ne sont pas considérés à risque. Selon l’article 9 de la loi sur le blanchiment d’argent9Loi fédérale concernant la lutte contre le blanchiment d’argent et le financement du terrorisme du 10 octobre 1997 (LBA ; RS 955)., les banques sont tenues de reporter au MROS les transferts et clients leur paraissant suspects, mais comment les trouver suspects si rien ne semble sortir de l’ordinaire ?
Prévenir plutôt que déguerpir
Un travail de prévention plus ciblé et plus concret pourrait être fait par ces institutions financières à travers l’e-banking ou l’application Twint. Par exemple, en tant que client Raiffeisen, de nombreux messages s’affichent lors de l’ouverture de la plateforme d’e-banking. Parmi ceux-ci pourraient figurer, de façon plus régulière, des mises à jour des nouvelles arnaques et des moyens de les éviter. Twint pourrait suivre ce même principe de messages ou créer un onglet concernant les pratiques dangereuses ou illicites du consommateur. De cette façon le client pourra plus facilement repérer les cas de phishing, de money mules ou autres risques liés à l’e-banking.
Une autre précaution que la société pourrait mettre en place est de demander une double identification lors de chaque transfert en-dessus de la limite choisie par l’utilisateur. Par exemple, un code envoyé par SMS que le client doit inscrire dans l’application. De ce fait, en cas de vol de données, l’arnaqueur devra faire plus de gestes pour transférer de l’argent ce qui donne le temps à la victime d’avertir la banque et de bloquer son compte.
Enfin, peut-être serait-il possible de mettre en place des messages de validations supplémentaires lorsqu’une transaction Twint est faite vers un destinataire n’apparaissant pas dans les contacts du client ou de la cliente. Le transfert pourrait dans ces cas ne pas être immédiat et une notification serait envoyée après un certain délai pour confirmer définitivement le paiement. De ce fait le client aurait le temps de la réflexion, ce que les arnaqueurs essayent d’enlever en jouant sur l’urgence de la situation, par exemple en envoyant un mail demandant de vérifier ses données personnelles ou de renouveler un certificat de validation sous peine de suspension immédiate du compte Twint.
Conclusion
Il me parait difficile d’imputer à la société Twint et aux banques la responsabilité des arnaques de type « mules financières » car elles résultent de l’utilisation de l’application par le client, tout comme les pertes liées aux vols de données suite à du phishing. Cependant, les institutions peuvent faire bien plus en matière de prévention, de communication et de sécurité.
