Le modus operandi est aussi simple qu’efficace. Créer un faux site bancaire, demander les identifiants aux clients, puis prétexter une panne. Pendant ce temps, les données récupérées peuvent être rapidement utilisées pour se connecter à leur place. C’est ce qui est arrivé à de nombreux clients de la Bil ces derniers mois. En voulant accéder au site par leur moteur de recherche, ils sont tombés dans le panneau. Au premier coup d’œil, tout avait l’air normal. Les clients ont cliqué sur le premier lien proposé par leur moteur de recherche, et sont tombées sur une interface qu’ils pensaient connaître. Dépouillés, les clients de la Bil se retrouvent dans l’embarras : La honte de s’être fait duper d’abord, l’accueil du personnel de banque ensuite. Ils viennent de créer un groupe WhatsApp. Juliana Mondo est une des portes-parole. « Je me suis rendue au guichet de la Bil et c’était le chaos », raconte-t-elle au Land. « Personne n’était au courant de ce qui se passait et plus tard on m’a presque traitée d’idiote. La Police était beaucoup plus compréhensive lors de mon dépot de plainte ».
Le site frauduleux aurait dû être connu des services de la Bil. Déjà en juillet 2023, la Commission de surveillance du secteur financier (CSSF) avait publié un avertissement concernant « les activités frauduleuses exercées sous le nom de la Bil ». Un site internet, répertorié en Belgique sous l’URL biloserclient.com était alors dans le viseur de la CSSF. « Cet avertissement a ensuite été envoyé à la Bil », confirme la CSSF au Land. À l’époque, il semble qu’il n’y ait eu aucune action effective du côté de la banque pour fermer le site frauduleux. Un an plus tard, le 9 avril 2024, la même note d’avertissement concernant le même site frauduleux est republiée. La persistance des ces sites s’explique, selon la CSSF, par leur capacité d’adaptation : « On peut publier un avertissement, mais le site se ferme tout seul avant qu’on ait le temps d’agir. Et il peut réapparaitre à tout moment. »
Les noms de domaine, comme bil.com, peuvent être achetés pour peu cher auprès des hébergeurs, a condition qu’ils soient disponibles. Ainsi, les fraudeurs acquièrent des URL similaires pour tromper leurs victimes. En fouillant les bases de données des hébergeurs, le Land a pu constater que plusieurs noms de domaine similaires à bil.com sont disponibles à l’achat. D’après my.lu, qui répertorie la disponibilité des adresses luxembourgeoises, les URL bii.lu, bils.lu, bilclient.lu ou bilnets.lu n’appartiennent actuellement à personne et pourraient être utilisées pour créer un faux site. Dans sa bataille contre la fraude, la banque luxembourgeoise aurait pu s’assurer qu’aucun nom similaire ne soit disponible auprès des hébergeurs. Actuellement, le nom de domaine biloserclient.com est de nouveau exploitable d’après gandi.net.
Aujourd’hui, face aux multiples plaintes, la Bil recommande à ses clients de vérifier le lien lors des tentatives de connexion avant de l’enregistrer dans son navigateur web. Sur le téléphone, il serait toujours plus sûr d’utiliser l’application dédiée. Or, cette mesure de précaution que donne la Bil ne tient pas compte des difficultés que peuvent rencontrer les seniors. Juliana Mondo rappelle qu’ « un homme de 87 ans s’est encore fait avoir le 27 juillet ». La porte-parole du groupe de victimes ne comprend pas « comment ce site a pu exister aussi longtemps ».
D’après ces clients, la Bil ne veut pas endosser la responsabilité et rejetterait la faute sur les victimes. La banque pointe vers l’entreprise de transactions financières, Worldline, pour tout dédommagement. Les clients devraient se montrer « vigilants », dit la Bil. L’Union luxembourgeoise des consommateurs explique vendredi dernier au Quotidien que « les banques ne remboursent pas les victimes de ce type d’arnaque, mais doivent prouver la faute grave du client ».
En principe, rappelle la Bil, la double identification de LuxTrust devrait éviter ces situations. Même si les clients donnent leurs identifiants à des malfaiteurs, ces derniers auraient quand même besoin de la confirmation LuxTrust pour effectuer un virement. Les victimes auraient donc confirmé le virement à travers leur application mobile. Pourtant, Alice Pauly ne se rappelle pas « avoir eu de notification LuxTrust lors de la connexion et du virement ». De plus, elle se plaint de ne pas avoir été contactée par sa banque lors du virement : « Ils devraient m’appeler pour ces grosses sommes ». Le 5 juillet, un virement de 6 500 euros est effectué depuis son compte. Pour une raison inconnue, l’escroc-bénéficiaire lui renvoie six euros cinq jours plus tard.
Le groupe de victimes se rassemblera le 7 septembre pour déterminer des actions à prendre. En deux mois, ce groupe s’est considérablement élargi. Ils sont désormais une soixantaine et espèrent obtenir le soutien des politiques. Ils se réjouissent que leur affaire ait atteint la Chambre des députés à travers une question parlementaire des socialistes, Ben Polidori et Mars Di Bartolomeo. Contactée par le Land, la Bil n’a pas voulu donner suite. Elle annonce qu’elle se prononcera publiquement en septembre.