Une faille de sécurité mise au jour dans le système de paiement Twint
Le changement de propriétaire d’un numéro de téléphone peut entraîner une erreur lors de versements entre particuliers avec Twint, a révélé l'émission Kassensturz de la SRF. Les responsables du système de paiement assurent qu’ils vont résoudre le problème.
Avec quelque 2,5 millions d’utilisateurs, Twint s’affiche comme le premier système de paiement mobile de Suisse, un succès dopé par la généralisation des paiements sans contact pendant la crise du coronavirus.
Mais un reportage de SRF, repris mardi par l'émission A bon entendeur de la RTS, montre une faille de sécurité dans le système. Celle-ci concerne les paiements entre particuliers qui s’effectuent par téléphone portable, via la liaison entre le numéro de téléphone de chacun et son compte en banque. Lorsqu’un numéro de téléphone change de propriétaire, il se peut que celui-ci reste lié au mauvais compte en banque et que l’argent arrive chez la mauvaise personne.
Une mésaventure "incroyable"
C’est ce qui est arrivé à Livia Maag, qui a voulu verser 1129 francs à son partenaire en affaires Ben Kneubühler: "J’ai trouvé un compte Twint relatif à son numéro de téléphone, sinon je n’aurais même pas pu effectuer ce paiement. J’ai pu faire le transfert et j’ai reçu une confirmation de la part de Twint", raconte-t-elle.
Or l’argent n’est jamais arrivé chez Ben Kneubühler, qui explique: "En novembre dernier, j’ai reçu un nouveau numéro de téléphone de Swisscom. Apparemment, ce numéro a appartenu à quelqu’un d’autre avant et cette autre personne avait lié ce numéro de téléphone, à travers Twint, avec son compte UBS. C’est comme ça que l’argent de Livia Maag est arrivé sur ce compte UBS, c’est incroyable!"
Refus de rendre l'argent
Alertée par Livia Maag, UBS a demandé au titulaire du compte crédité par erreur de rendre l’argent. Mais comme celui-ci a refusé, elle s’est retrouvée coincée.
"D’une manière générale, on peut dire qu’une banque ne peut pas transférer l’argent d’un compte sans l’accord du propriétaire de ce compte. C’est lié à la protection des données et au secret bancaire", déclare Marco Franchetti, ombudsman des banques suisses. "Cela signifie que, quand le détenteur d’un compte refuse de rendre un montant qu’il a reçu par erreur, la seule possibilité pour celui qui a versé cet argent est de porter plainte".
"Malheureux enchaînement"
Twint appartient à la plateforme financière SIX Payment Services et aux grandes banques suisses. Ses responsables se montrent surpris par la découverte de cette faille. "C’est un cas très inhabituel. Nous avons déjà effectué 100 millions de transactions pour nos 2,5 millions de clients et cela ne s’est encore jamais produit. C’est un malheureux enchaînement de circonstances et la cliente va récupérer son argent. Nous regrettons qu’elle ait dû s’occuper de cela", déplore Anton Stadelmann, directeur adjoint de Twint.
Ce dernier assure avoir tiré les leçons de ce cas et promet de prendre des mesures pour que ce genre de problème ne puisse plus se reproduire.
Linda Bourget/oang
Publié