"Mais un RIB c'est public, non ?"

C'est un argument qu'on entend souvent. Ton RIB - IBAN + BIC - est imprimé sur tes factures, transmis à ton employeur, à la CAF, à Pôle Emploi, à ta complémentaire santé... Donc oui, beaucoup de monde a ton RIB.

Mais "beaucoup de monde l'a légitimement" ≠ "il n'y a aucun risque". Voici ce que peut faire un attaquant qui met la main dessus.

Risque 1 - Le prélèvement frauduleux (faux SEPA)

C'est l'usage le plus fréquent. Avec ton IBAN, un attaquant peut lancer un prélèvement à ton nom, en se faisant passer pour un créancier.

Le système SEPA (le standard européen des virements) repose en grande partie sur la confiance : si une entreprise envoie un ordre de prélèvement à ta banque, ta banque exécute par défaut. Tu ne t'en aperçois que sur le relevé suivant.

Comment ça se passe : l'attaquant utilise un faux ID d'entreprise (parfois une boîte coquille qu'il a créée), génère un mandat SEPA frauduleux à ton nom, et fait prélever 47 € (puis 89 €, puis 134 €...) tous les mois. Petites sommes : tu ne le vois pas tout de suite.

Ta protection : tu as 8 semaines pour contester un prélèvement SEPA sans justification (loi européenne). Tu cliques "refuser" dans l'app, ta banque rembourse. Et 13 mois pour les prélèvements non autorisés (sans mandat valable).

Risque 2 - L'usurpation pour ouvrir un compte ou crédit

Avec ton RIB + d'autres infos (souvent issues d'autres fuites : pièce d'identité scannée, justificatif de domicile), l'attaquant peut tenter d'ouvrir un compte en banque en ligne à ton nom, ou souscrire un crédit conso (Carrefour Banque, Cetelem, Younited...). Les vérifications sont parfois moins strictes qu'on l'imagine, surtout sur des produits courts à 500-2 000 €.

L'attaquant fait virer le crédit sur son compte, et c'est toi qui reçois les relances de remboursement 3 mois plus tard. Démêler la situation prend des mois (CNIL, banque, médiateur, parfois tribunal).

Ta protection : surveillance régulière de ta cote Banque de France (FICP, FCC - gratuit, accessible sur particuliers.banque-france.fr).

Risque 3 - L'arnaque au "remboursement" (mode emploi inverse)

L'attaquant te contacte par mail/SMS en se faisant passer pour un service qui te doit de l'argent (impôts, Ameli, CAF, EDF) : "Vous avez un remboursement de 248 € en attente, communiquez votre RIB pour le recevoir".

Tu le donnes (logique, on te promet de l'argent). L'attaquant a alors ton IBAN et la preuve que tu es un répondant - tu rentres dans une liste qualifiée "cible compliante", revendue plus cher sur les forums spécialisés.

Ta protection : un vrai service public n'a pas besoin que tu redonnes ton IBAN s'il en a déjà un de toi (cas standard). Vérifie sur ton espace officiel (impots.gouv.fr, ameli.fr) si le remboursement existe vraiment.

Risque 4 - Le faux fournisseur (variant pour les particuliers)

Si tu es indépendant, auto-entrepreneur, ou si tu loues un appartement, ton RIB est largement diffusé (factures, baux). Un attaquant peut intercepter un échange (par exemple un courriel de bail avec ton RIB), et envoyer un second mail à ton locataire / client : "Nouveau RIB pour le paiement, voici les coordonnées mises à jour...".

Le locataire change le bénéficiaire de son virement. Le mois suivant, l'argent va chez l'attaquant. Tu ne t'en aperçois que quand tu réclames le loyer impayé.

Ta protection : valide tout changement de RIB par téléphone (sur un numéro connu, pas celui du mail), et préviens explicitement tes clients/locataires : "Si tu reçois un mail avec un nouveau RIB, appelle-moi avant de payer."

Comment limiter les risques en pratique

1. Ne diffuse ton RIB que quand c'est strictement nécessaire : un employeur, une administration, un loueur. Pas dans un forum, pas sur un site bizarre.
2. Active les alertes SMS sur ton compte bancaire (souvent gratuit) : tu vois chaque mouvement en temps réel.
3. Configure un plafond bas pour les prélèvements SEPA (souvent paramétrable dans l'app banque).
4. Liste blanche de prélèvements (si ta banque le permet) : seuls les créanciers que tu autorises peuvent prélever.
5. Surveille ton FICP (gratuit) une fois par an : tu détectes une éventuelle usurpation tôt.
6. Mots de passe banque uniques + MFA : ton compte bancaire ne doit jamais partager son mot de passe avec un autre site (même un site "sûr").

Le piège des copies traînantes

Beaucoup d'attaques exploitent des RIB qui traînent : un mail vieux de 2 ans dans ta boîte, un PDF de bail dans Drive, un scan dans la corbeille de la photocopieuse au bureau. Fais le ménage périodique : supprime les vieux PDF de RIB, vide tes corbeilles, dégage les copies physiques que tu n'utilises plus.

Si tu as été victime

1. Appelle ta banque immédiatement : numéro au dos de la carte, demande à bloquer les prélèvements en cours
2. Conteste les prélèvements frauduleux dans l'app/site banque
3. Porte plainte à la gendarmerie ou en ligne (le récépissé est utile pour la banque)
4. Signale sur cybermalveillance.gouv.fr
5. Si crédit ouvert à ton nom : saisis le médiateur de l'organisme prêteur + dépose plainte pour usurpation d'identité

La règle d'or

Ton RIB n'est pas un mot de passe (il doit être partagé pour fonctionner). Mais c'est une clé partielle : combiné à d'autres infos personnelles, il devient une arme. Limite sa diffusion, surveille ton compte, conteste vite. Le temps de réaction est ton meilleur allié.