Chaque année, on estime à plus d’un trillion de dollars les pertes mondiales liées aux escroqueries digitales visant des individus, contre quelques centaines de milliards pour les attaques de type ransomware ciblant les entreprises. Ce déséquilibre s’explique par la facilité de cibler les particuliers, souvent peu formés, distraits ou simplement trop confiants face à des messages familiers.
Et la Suisse représente une cible de choix. Le pays est hautement digitalisé, dispose d’un fort pouvoir d’achat et d’une confiance culturelle dans ses institutions et ses services numériques. Les criminels adaptent leurs campagnes à chaque pays, localisent leur langage, leurs visuels et leurs références. Recevoir une fausse alerte de “Bank of America” à Genève n’aura que peu d’effet, mais un message Twint à 7h du matin disant « Voici l’argent que je te dois » a toutes les chances d’être ouvert et cliqué.
Le cybercrime est devenu psychologique avant d’être technique. Les fraudeurs exploitent la routine, les automatismes et la rapidité d’exécution des paiements modernes. Et si les utilisateurs doivent évidemment apprendre à se méfier, il serait trop simple d’en faire les seuls responsables.
Les plateformes de paiement, même locales ou dites “de niche” comme Twint, doivent s’inspirer des meilleures pratiques de l’industrie financière mondiale. Cela implique :
- Une surveillance proactive des sites frauduleux et des domaines clonés
- Des contrôles de plausibilité avant validation (heure, montant, destinataire inhabituel)
- Une présentation plus claire des messages critiques dans l’application
- Dans certains cas, une double validation contextuelle ou un rappel automatique lorsque la transaction paraît atypique
Même lorsque l’erreur vient de l’utilisateur, la question clé demeure : « en tant que plateforme de paiement, aurions-nous pu prévenir cette fraude ? »
Cette posture d’auto-évaluation continue est la marque des écosystèmes numériques matures, ceux qui comprennent que l’innovation et la sécurité ne s’opposent pas, mais se complètent.
Les arnaques Twint rappellent que la menace ne vient pas toujours d’un ransomware sophistiqué ou d’un groupe APT. Elle réside souvent dans un simple clic, au mauvais moment, sur un message qui semblait venir d’une personne de confiance.
Et c’est précisément là que la cybersécurité doit rester humaine : comprendre les comportements pour mieux les protéger.
Retrouver l’interview de Steven Meyer dans Le Temps
