Les apps de banques non sécurisées (ultimatum allégé inside)

Si j’ai choisi une image un peu kitch, c’est pour essayer d’attirer le regard insouciant de nos établissements bancaires. Oui oui : ceux pour qui la sécurité est le mot d’ordre.

Je ne vais pas rentrer dans les détails. Histoire de ne pas donner de mauvaises idées. Du moins, pas pour le moment.

Tout ce que je peux dire, c’est qu’en quelques minutes (secondes), j’ai réussi à duper mon propre smartphone et voir paraître sous mes yeux le mot de passe de mon app bancaire et toutes les informations associées. Ainsi que toutes les informations consultées (relevés de banque, etc). Bref. Niveau débutant.

Sachant qu’en quelques heures on peut pirater un réseau WiFi, surtout s’il est public : autant dire que les informations de tous les clients sont à la merci des hackers.

Je ne dévoilerai pas aujourd’hui la technique employée ni la solution, tellement le tout est simpliste. Je vais attendre une semaine (14 février, jour de la Saint Valentin) attendre la fin du 1er semestre 2017 (suite à demande de délai, voir si dessous) avant de diffuser la technique et la solution.

Ça fait des mois que j’essaye de signaler ces problèmes de sécurité (qui touchent aussi les assurances soit dit en passant) : et tout le monde assume pleinement cette légèreté alors que les clients donnent leur confiance.

Si les établissements concernés souhaitent en savoir plus, qu’ils me contactent. En espérant que ma banque soit juste une exception.

Je ne souhaite pas faire de chantage ou quoi que ce soit. Je trouve juste anormal que la sécurité – même basique – sur des sujets aussi sensibles soit laissée de côté.

Rendez-vous dans une semaine. 🙂

[ Première mise à jour du 8 février 8h46 (ça commence..) ]

Non, je ne veux pas faire chanter les banques. Je m’en fous comme de l’an 40. J’ai un boulot honnête qui me suffit.

Mon seul intérêt est citoyen : les informations privées concernant mes contemporains et moi-même doivent être protégées. Et je ferai le nécessaire pour ça.

C’est pas compliqué : un email (formulaire de contact), une validation que vous êtes bien un responsable sérieux de l’établissement (et pas le stagiaire qui veut faire une blague), et je vous envoie les infos. C’est corrigé (en moins de 24h chez Apple pour une MAJ urgente) et on n’en parle plus. L’article sera obsolète à sa sortie et tout le monde sera content.

Et non, je ne fournirai aucune information, même contre de l’argent ou quelque rétribution que ce soit, afin de permettre l’accès aux informations sensibles de qui que ce soit. Le piratage, c’est pas bien. Si vous voulez dégommer vos concurrents, soyez meilleurs qu’eux, c’est tout. Et voler de l’argent via un détournement de smartphone, ce n’est pas bien non plus. Et voler l’identité de quelqu’un, c’est pas très beau.

Ce sont les premières clarifications. Pour l’instant, aucun établissement ne m’a contacté et j’ai peu d’espoir.

Même si, par le passé, j’ai déjà contacté un établissement pour des problèmes de sécurité. Qui m’a reçu, poliment. Considère que les informations contenues dans les apps ne sont pas très sensibles. Mais au moins est au courant de ses faiblesses et connait les solutions. Après, je ne porte pas de jugement. J’éviterai juste d’être client. (et non, vous ne saurez pas qui c’est car cela pourrait nuire à l’image de l’établissement)

Et il y a aussi eu beaucoup d’emails, contacts Twitter et Facebook pour savoir quelles informations pouvaient être accessibles de la part de particuliers inquiets. Ils ne sont pas plus rassurés, mais sont au moins informés.

Encore une fois, on ne peut pas jeter la pierre aux banques. La sécurité, ce n’est pas leur métier. C’est la faute des prestataires ou qui sais-je. Cela n’a pas vraiment d’importance à leurs yeux. Et ils ne peuvent pas savoir qu’un simple échantillon de données est une brèche de sécurité dans un système plus global. Mais bon, ça les concerne quand même un peu.

Donc je fais le job et les informe : vu qu’en privé, je ne réussis pas à les contacter (malgré des mois de tentatives), je suis obligé de prendre un canal de communication plus élargi. C’est juste un problème de communication interne, on ne peut pas leur en vouloir.

Merci d’avance pour la sécurité de nos informations personnelles.

[ Mise à jour 2 : 08/02 14h24 ]

Ça avance : une première banque m’a contacté. J’ai retrouvé la foi.

[ Mise à jour 3 : 09/02 17h17 ]

J’ai été contacté par un établissement qui s’engage à faire le nécessaire dans le 1er semestre 2017. Pas avant parce que c’est compliqué. Plus compliqué qu’il n’y parait.

Sauf qu’à un moment ça va poser problème. M’enfin. C’est comme ça.

Rendez-vous le 30 juin 2017. (ou avant, en cas de miracle)

[ Mise à jour 4 : 10/02 18h53 ]

Un autre établissement est rentré en contact avec moi. C’est formidable. 🙂

[ Mise à jour 5 : 14/02 17h46 ]

Le second établissement a échangé avec moi. Même discours : ils sont déjà au courant, mais c’est long à mettre en place.

De manière générale, le risque de perdre quelques utilisateurs est mis en face du risque côté sécurité. Une problématique assez complexe. Vite réglée quand il y a un incident.

En tout cas, la mise en place d’une sécurité renforcée est le choix pour le premier trimestre 2017 pour cet établissement. Quitte à laisser quelques utilisateurs non précautionneux sur le bord de la route (en redirigeant vers la version web malgré tout). Un choix courageux et intelligent.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s