Quel effroi absolu de se réveiller un matin et de découvrir, impuissant, que l'intégralité de ses économies s'est volatilisée en quelques heures de sommeil. Au Kenya, cette tragédie moderne, fruit d'une défaillance de la part de Diamond Trust Bank et de l'opérateur Safaricom, n'a pas été tolérée par la Haute Cour de justice. Cette dernière a rendu un verdict historique le 18 juin dernier, en établissant, par la voix de la juge Asenath Ongeri, la responsabilité partagée de ces deux institutions dans le vol de 4,4 millions de shillings kényans (KES), soit environ 34 000 USD, subi par une cliente nommée Mercy Wairimu Kariuki.
Pour comprendre la portée de cette décision, il convient de décrypter le fonctionnement du "SIM swap", ou échange de carte SIM. Cette escroquerie redoutable gangrène le pays au point de toucher directement ou indirectement près de 70% de la population kényane. Techniquement, elle ne repose pas sur un piratage informatique complexe, mais plutôt sur une manipulation humaine bien rodée. Dans un premier temps, les cybercriminels collectent minutieusement les données personnelles de leur cible, notamment son nom complet, son numéro de carte d'identité et sa date de naissance.
Au Kenya, ces informations peuvent s'obtenir facilement en recopiant les registres de sécurité physiques à l'entrée des immeubles, ou s'acheter auprès de réseaux clandestins. Muni de ces données, le fraudeur contacte l'opérateur télécoms en usurpant l'identité de sa victime pour prétendre qu'il a perdu sa puce. Trop souvent, grâce à la complicité interne d'employés corrompus au sein des agences, la demande est validée sans vérification rigoureuse. Dès lors, la véritable carte SIM est désactivée au profit de celle du criminel, qui intercepte alors tous les appels et les messages d'authentification à double facteur nécessaires pour piller les comptes bancaires.
C'est précisément ce piège qui s'est refermé sur Mercy Kariuki le 6 février 2022. Bien qu'elle ait immédiatement signalé des alertes suspectes au service client de Safaricom, l'opérateur a tout de même finalisé le transfert frauduleux. Et quand sa ligne a été rétablie le lendemain, le mal était déjà fait. Au matin du 8 février, son compte à la Diamond Trust Bank avait été entièrement vidé. Les fraudeurs ont habilement contourné la vigilance des systèmes en fragmentant les transferts, juste en dessous de la limite quotidienne de 34 000 USD, profitant astucieusement de la réinitialisation des plafonds durant le week-end.
Face à ce désastre, la Haute Cour de Justice a ordonné une répartition de la responsabilité à hauteur de 40 % pour la banque et de 60 % pour l'opérateur télécoms. Safaricom doit ainsi verser 20 300 USD à la victime, tandis que la banque est condamnée à lui payer 13 800 USD.
Pour se défendre, la Diamond Trust Bank a soutenu que ses systèmes avaient fonctionné normalement puisque le code PIN correct avait été saisi. Cependant, la juge a rejeté cet argument avec fermeté, affirmant qu'une banque ne peut pas se cacher derrière un protocole automatisé face à une succession de transactions manifestement anormales vers des comptes inconnus. De plus, le tribunal a rappelé que les services bancaires numériques fonctionnant en continu, l'obligation de vigilance ne s'arrête pas les jours non ouvrables.
En tout état de cause, ce jugement retentissant sonne comme un avertissement solennel pour tout le secteur financier. Désormais, les banques et les opérateurs ont l'obligation légale et indépendante de protéger activement leurs clients contre les risques prévisibles.
Anselme Akéko
Publié le 14/07/26 13:20
La Rédaction
SN
CEMAC