Bonjour,
Quelqu'un peut-il donner plus d'informations sur cette affaire ?
https://www.phonandroid.com/lcl-est-vic ... euros.html
également relatée ici
https://www.moneyvox.fr/banque/actualit ... e-securite
Cette affaire déjà ancienne (hum, 7 mois) m'intrigue. J'aimerais si possible savoir où est la faille :
- du coté des clients ? (hameçonnage réussi ? légèreté dans le choix du code ?...)
- ou du côté de la banque ????
Le 2ème article indique que la faille serait le défaut d'authentification à 2 facteurs chez LCL
J'ai ouvert ce sujet dans le chapitre "smartphones" car apparemment, c'est l'appli qui est en cause, pas un navigateur pour accéder à son espace perso
Rien que cette indication sur l'origine du piratage serait utile : appli ou navigateur ? ou indifféremment l'un ou l'autre ?
piratage de comptes bancaires LCL (Le Crédit Lyonnais)
-
patoo45
- Messages : 199
- Enregistré le : 04 janv. 2021 11:46
- Localisation : 45800 - Saint Jean de Braye
Re: piratage de comptes bancaires LCL (Le Crédit Lyonnais)
Bonsoir Jean-Louis,
Je ne connais pas ce piratage et ne suis pas assez geek sur la sécurité pour te répondre.
Mais je trouve que le sujet serait mieux dans actualités car c'est un évènement provisoire.
@+
Je ne connais pas ce piratage et ne suis pas assez geek sur la sécurité pour te répondre.
Mais je trouve que le sujet serait mieux dans actualités car c'est un évènement provisoire.
@+
Re: piratage de comptes bancaires LCL (Le Crédit Lyonnais)
Bonsoir Patrice,
Dans un sens il faudrait déplacer le sujet mais d'un autre côté, si on arrive à y voir plus clair dans ce piratage, ça permet à chacun de mettre en place des contre-feux pour se protéger d'une telle mésaventure.
Je propose de laisser ce sujet ici pour l'instant quitte à le ranger dans le chapitre "actualités" dans quelque temps si on n'a pas d'informations plus précises sur la faille
A +
Re: piratage de comptes bancaires LCL (Le Crédit Lyonnais)
Bonsoir Jean-Louis,
Quel est l'intérêt des pseudos si l'on cite les prénomsBonsoir Patrice,
Que devient l'intérêt du logiciel libre L'intérêt d'échapper aux GAFAM, à la NSA, à la STASI, (voir le film nothing-to-hide) .Je suis aussi chez LCL: faire un virement sur le compte d'un proche, (ma fille en l’occurrence) est plafonné à 1000 €.
Il a fallu que je passe par mon agence (début janvier 2023) pour une somme supérieure.
Donc si un quelconque pirate parvenait à s'introduire, comment pourrait il détourner les sommes citées: 3000 € pour l'un, 30 000 € pour un autre, et jusqu'à 80 000 €
?Toutefois pour ma part; aucune opération n'est faite depuis le smartphone, (l'appli n'y est même pas installée); seulement la consultation est faite depuis le PC.
Aurore NL4B; Quad-Core 1.1 GHz, RAM 8 Go, SSD 240 Go, CG Intel 1920 x 1080, 15.6", Debian 11.
Re: piratage de comptes bancaires LCL (Le Crédit Lyonnais)
C'est précisément cela qui est inquiétant : une escroquerie au virement en ligne d'un montant très élevé signifie que le pirate s'arroge non seulement les droits de l'utilisateur légitime (faire un virement d'une valeur limitée) mais aussi des droits supérieurs, par exemple augmenter le plafond d'un virement.
C'est pour cette raison qu'il faudrait en savoir plus sur cette escroquerie : faille dans l'appli de LCL ? imprudence des utilisateurs ???? ou bien les 2 cumulées ?
On pourrait ainsi prendre les précautions adéquates sur notre propre compte bancaire.
Re: piratage de comptes bancaires LCL (Le Crédit Lyonnais)
Les GAFAM sont partout à scruter tout ce qui peut servir, ou se revendre, y compris sur ce forum. Il faut être cohérent sur toute la ligne sinon pourquoi avoir créé une rubrique intitulée:Allons, allons, on ne cite quand même pas les noms de famille !
On maintient une certaine confidentialité sur ce forum !
Essayez simplement de taper vos nom et prénom et vos divers pseudos Internet dans Google, vous allez être surpris par la quantité de réponses qui s'affichentProtection de la vie privée et sécurité
Tous les sujets qui touchent à la protection de nos données personnelles tant sur PC que sur smartphone
!Aurore NL4B; Quad-Core 1.1 GHz, RAM 8 Go, SSD 240 Go, CG Intel 1920 x 1080, 15.6", Debian 11.
Re: piratage de comptes bancaires LCL (Le Crédit Lyonnais)
Salut,
LCL n'a jamais vraiment brillé sur la gestion informatique. Ils avaient eu un bug très gênant en 2021 qui a permis aux clients de voir les comptes d'autres clients :
https://www.leparisien.fr/economie/un-b ... CRC5NQ.php
Sur l'affaire de cet été, il semblerait quand même qu'on soit plus sur des cas de phising très sophistiqués. De toute façon si LCL a menti ça se verra, entre une enquête de l'ACPR voire de la CNIL pour violation de données personnelles, ils pourront pas cacher la vérité bien longtemps.
Malheureusement, aujourd'hui le phising est très évolué, même des personnes très averties peuvent tomber dans le panneau. Tiens regarde au CERN 1800 personnes se sont fait avoir sur un test de phishing et pourtant là-bas on a des ingénieurs et des scientifiques de très haut niveau : https://www.nextinpact.com/lebrief/6983 ... faux-email
Sur la sécurité des applications, il y aura toujours des failles possibles. Globalement, elles sont désormais toutes plutôt bien sécurisées. Surtout que la réglementation européenne DSP2 est passée par là. Le système parfait n'existe pas, mais les sites web sur ton PC c'est encore moins sécurisé. Suffit de voir la note qu'obtient le site de LCL quand on y fait un test sur qualité du chiffrement et les protections CSP, XSS etc. : https://observatory.mozilla.org/analyze ... ers.lcl.fr
(C'est normal car les banques veulent assurer la compatibilité la plus large et elles ne peuvent donc pas toujours éliminer des technologies obsolètes qu'elles protégeront donc d'une autre façon)
Autre point à connaître, la loi est clairement du côté du client. Les articles L. 133-23 du Code monétaire financier obligent toujours la banque à rembourser les opérations contestées immédiatement. Ensuite elle doit faire une enquête et éventuellement prouver la négligence du client pour reprendre ses billes. Les textes sont ici : https://www.legifrance.gouv.fr/codes/se ... 0020861577
Le seul cas où la banque pourra s'exonérer de sa responsabilité, c'est en prouvant de façon indiscutable que le client a autorisé l'opération après une authentification forte conforme à la réglementation (donc biométrie, multi-facteurs et surtout pas un simple appel/SMS).
Je vous invite à tous à prendre connaissance de ces dispositions du CMF et à vous battre pour les faire appliquer. La plupart des banques refusent de respecter la loi, mais quand on se bat en sortant les bons textes ils finissent par céder. Faut s'armer de patience. Que Choisir a d'ailleurs attaqué plusieurs banques sur ce motif : https://www.quechoisir.org/enquete-frau ... us-incombe
Il y a 2 ans, j'ai accompagné un vieux monsieur de 92 ans (un ami de la famille). Piratage de sa carte bancaire, 2000 € soutirés. La banque se défendait en affirmant qu'il avait reçu un appel vocal et donné un code pour valider les achats frauduleux. Il arrivait pas à s'en sortir. La banque ne s'imaginait pas qu'il avait un ami juriste geek et spécialiste de sécurité sous la main. J'ai écris trois courriers, sorti les mots magiques, ils ont fini par rembourser. Ça a pris des mois par contre...J'ai demandé l'horodatage et le numéro d'appel ainsi que le numéro sur lequel ils avaient appelé, rappelé les textes et menacé d'un signalement à l'ACPR.
Tout ça pour dire ne vous laissez jamais faire !
PS : ACPR c'est l'Autorité de contrôle prudentiel et de régulation, elle est rattachée à la Banque de France. Elle ne peut pas résoudre un litige entre vous et votre Banque, mais elle doit s'assurer que les banques respectent la réglementation. Donc elle peut recevoir des signalements, enquêter et mettre des amendes à la banque en défaut.
https://fr.wikipedia.org/wiki/Autorit%C ... A9solution
https://acpr.banque-france.fr/
LCL n'a jamais vraiment brillé sur la gestion informatique. Ils avaient eu un bug très gênant en 2021 qui a permis aux clients de voir les comptes d'autres clients :
https://www.leparisien.fr/economie/un-b ... CRC5NQ.php
Sur l'affaire de cet été, il semblerait quand même qu'on soit plus sur des cas de phising très sophistiqués. De toute façon si LCL a menti ça se verra, entre une enquête de l'ACPR voire de la CNIL pour violation de données personnelles, ils pourront pas cacher la vérité bien longtemps.
Malheureusement, aujourd'hui le phising est très évolué, même des personnes très averties peuvent tomber dans le panneau. Tiens regarde au CERN 1800 personnes se sont fait avoir sur un test de phishing et pourtant là-bas on a des ingénieurs et des scientifiques de très haut niveau : https://www.nextinpact.com/lebrief/6983 ... faux-email
Sur la sécurité des applications, il y aura toujours des failles possibles. Globalement, elles sont désormais toutes plutôt bien sécurisées. Surtout que la réglementation européenne DSP2 est passée par là. Le système parfait n'existe pas, mais les sites web sur ton PC c'est encore moins sécurisé. Suffit de voir la note qu'obtient le site de LCL quand on y fait un test sur qualité du chiffrement et les protections CSP, XSS etc. : https://observatory.mozilla.org/analyze ... ers.lcl.fr
(C'est normal car les banques veulent assurer la compatibilité la plus large et elles ne peuvent donc pas toujours éliminer des technologies obsolètes qu'elles protégeront donc d'une autre façon)
Autre point à connaître, la loi est clairement du côté du client. Les articles L. 133-23 du Code monétaire financier obligent toujours la banque à rembourser les opérations contestées immédiatement. Ensuite elle doit faire une enquête et éventuellement prouver la négligence du client pour reprendre ses billes. Les textes sont ici : https://www.legifrance.gouv.fr/codes/se ... 0020861577
Le seul cas où la banque pourra s'exonérer de sa responsabilité, c'est en prouvant de façon indiscutable que le client a autorisé l'opération après une authentification forte conforme à la réglementation (donc biométrie, multi-facteurs et surtout pas un simple appel/SMS).
Je vous invite à tous à prendre connaissance de ces dispositions du CMF et à vous battre pour les faire appliquer. La plupart des banques refusent de respecter la loi, mais quand on se bat en sortant les bons textes ils finissent par céder. Faut s'armer de patience. Que Choisir a d'ailleurs attaqué plusieurs banques sur ce motif : https://www.quechoisir.org/enquete-frau ... us-incombe
Il y a 2 ans, j'ai accompagné un vieux monsieur de 92 ans (un ami de la famille). Piratage de sa carte bancaire, 2000 € soutirés. La banque se défendait en affirmant qu'il avait reçu un appel vocal et donné un code pour valider les achats frauduleux. Il arrivait pas à s'en sortir. La banque ne s'imaginait pas qu'il avait un ami juriste geek et spécialiste de sécurité sous la main. J'ai écris trois courriers, sorti les mots magiques, ils ont fini par rembourser. Ça a pris des mois par contre...J'ai demandé l'horodatage et le numéro d'appel ainsi que le numéro sur lequel ils avaient appelé, rappelé les textes et menacé d'un signalement à l'ACPR.
Tout ça pour dire ne vous laissez jamais faire !
PS : ACPR c'est l'Autorité de contrôle prudentiel et de régulation, elle est rattachée à la Banque de France. Elle ne peut pas résoudre un litige entre vous et votre Banque, mais elle doit s'assurer que les banques respectent la réglementation. Donc elle peut recevoir des signalements, enquêter et mettre des amendes à la banque en défaut.
https://fr.wikipedia.org/wiki/Autorit%C ... A9solution
https://acpr.banque-france.fr/