BoursoBank Boursorama une passoire pour les hackers

[attentif]

Boursorama vient de bloquer son application pour demander une validation.
Les clients doivent confirmer avoir pris connaissance des règles de fraude et que Boursorama "se dédouane" en cas de fraude dû à une faute du client, que cette dernière soit une négligence grave, ou non...

@AlbertoWin ,

Pouvez-vous nous partager les documents à accepter par les clients ?

 

[floriann]

J'ai eu ce message mais sur le site. Acceptation obligatoire pour accéder au site. Ils envoient même un mail récapitulatif après acceptation comme pour se protéger.

Bonjour xxx XXX,


Lors de votre dernière connexion à l'Espace Client le 18/08/2023 à 11:57:26, vous avez été amené à prendre connaissance d'un certain nombre d'éléments qui peuvent vous permettre de vous protéger contre les tentatives d'arnaques ou de fraude.

Veuillez trouver ci-dessous un récapitulatif de ces informations :

Nos conseillers ne vous appelleront jamais pour :

•Obtenir vos informations personnelles et confidentielles (identifiant, mot de passe, numéro de carte, etc…).

•Vous inviter à valider une opération dont vous n'êtes pas à l'origine.

•Vous demander de transférer de l'argent vers un autre compte dans le but de sécuriser vos fonds.

Votre rôle est primordial :

•Ne communiquez jamais votre identifiant avec votre mot de passe.

•Vérifiez systématiquement que vous vous connectez bien sur l'application mobile ou le site officiel de Boursorama Banque.

•Consultez régulièrement l'activité de vos comptes et les messages, alertes que nous mettons à votre disposition.

Pour vous aider, voici les principales fonctions de sécurité disponibles gratuitement :

•Connexion biométrique ou par clé de sécurité

•Sécurisation des opérations par messages d’avertissement, codes ou confirmation via l’application

•Alertes en temps réel et notifications personnalisables

•Suivi de votre activité en ligne

Retrouvez toutes les questions relatives à la sécurité sur votre Espace Client dans la rubrique Aide et Contact.


A bientôt sur votre Espace Client,

 

[attentif]

J'ai eu ce message mais sur le site. Acceptation obligatoire pour accéder au site. Ils envoient même un mail récapitulatif après acceptation comme pour se protéger.

Bonsoir @floriann ,

Merci pour votre retour.

Je n'ai pas eu de message bloquant avec acceptation obligatoire, sur le site aussi.

 

[Triaslau]

je ne vois rien de choquant dans cette liste çà semble un banal rappel de sécurité.

 

[AlbertoWin]

je ne vois rien de choquant dans cette liste çà semble un banal rappel de sécurité.

Il demande la confirmation des nouvelles conditions générales dont ceci :

En poursuivant l’opération malgré ce message, le Client
reconnaît, d’une part, avoir procédé préalablement à toutes
les vérifications requises, et d’autre part, avoir fait preuve
de toute la vigilance requise pour se protéger contre la
fraude.

Et c'est doublement suspect dans le sens où les conditions générales ont déjà valeur légale et qu'une double confirmation ne sert pas à grand chose.

 

[attentif]

J'ai eu ce message mais sur le site. Acceptation obligatoire pour accéder au site. Ils envoient même un mail récapitulatif après acceptation comme pour se protéger.

@floriann ,

Je ne parviens pas à comprendre ce que Boursorama vous a demandé d'accepter en vous connectant sur le site. Est-ce l'acceptation obligatoire de lire le message que vous avez reçu en vous connectant à votre espace personnel via leur site ? Si tel est le cas, je ne sais pas ce que cela vaut juridiquement. J'aurais tendance à penser : rien du tout ; mais je ne suis pas juriste et encore moins avocat

Je constate uniquement dans leur message d'une part ce que leurs conseillers ne feront jamais au téléphone, le rappel de 3 consignes de sécurité (dont une me semble délicate à respecter -cf. mon post-scriptum-), et d'autre part à minima les 4 outils à notre disposition pour contribuer à la sécurité de nos actions et opérations en tant que client.



P.S.
J'ai par ailleurs un peu de mal à imaginer comment les clients vont pouvoir respecter la consigne :
Vérifiez systématiquement que vous vous connectez bien sur l'application mobile ou le site officiel de Boursorama Banque.

A ma connaissance pour l'application mobile, on voit systématiquement l'image avatar que le client a sélectionné (s'il l'a fait bien sûr) avant de s'authentifier ce qui est plutôt rassurant (est-ce totalement rassurant ? C'est une autre question), quant au site malheureusement même après avoir saisi son identifiant l'image avatar que le client a sélectionné ne s'affiche pas avant de saisir son mot de passe (différence fonctionnelle étonnante entre l'application et le site). Pour le site, il resterait uniquement alors à vérifier que l'URL du site est bien celle de la banque. Et encore même dans ce cas, ce ne serait pas suffisant.
Je n'évoque pas dans ce dernier cas, le détournement de DNS, pour ne pas tomber dans un débat technique

 

[floriann]

Je n'ai plus le message sous les yeux et n'ai plus les détails en tête, mais il y avait une case à cocher et il me semble que c'était pour certifier que l'on avait bien pris connaissance des consignes de sécurité, pas pour "accepter" quelque chose (à confirmer avec le prochain qui aura le message ) (je me suis mal exprimé dans mon précédent message).

Et le message reprenait dans les grandes lignes ce qu'il y avait dans le mail.

 

[AlbertoWin]

@floriann ,

Je ne parviens pas à comprendre ce que Boursorama vous a demandé d'accepter en vous connectant sur le site. Est-ce l'acceptation obligatoire de lire le message que vous avez reçu en vous connectant à votre espace personnel via leur site ? Si tel est le cas, je ne sais pas ce que cela vaut juridiquement. J'aurais tendance à penser : rien du tout ; mais je ne suis pas juriste et encore moins avocat

Je constate uniquement dans leur message d'une part ce que leurs conseillers ne feront jamais au téléphone, le rappel de 3 consignes de sécurité (dont une me semble délicate à respecter -cf. mon post-scriptum-), et d'autre part à minima les 4 outils à notre disposition pour contribuer à la sécurité de nos actions et opérations en tant que client.



P.S.
J'ai par ailleurs un peu de mal à imaginer comment les clients vont pouvoir respecter la consigne :
Vérifiez systématiquement que vous vous connectez bien sur l'application mobile ou le site officiel de Boursorama Banque.

A ma connaissance pour l'application mobile, on voit systématiquement l'image avatar que le client a sélectionné (s'il l'a fait bien sûr) avant de s'authentifier ce qui est plutôt rassurant (est-ce totalement rassurant ? C'est une autre question), quant au site malheureusement même après avoir saisi son identifiant l'image avatar que le client a sélectionné ne s'affiche pas avant de saisir son mot de passe (différence fonctionnelle étonnante entre l'application et le site). Pour le site, il resterait uniquement alors à vérifier que l'URL du site est bien celle de la banque. Et encore même dans ce cas, ce ne serait pas suffisant.
Je n'évoque pas dans ce dernier cas, le détournement de DNS, pour ne pas tomber dans un débat technique

C'était effectivement des détails de protection et une case pour indiquer que nous avons accepté les nouvelles conditions générales ET NOTAMMENT le point que j'ai mentionné plus haut. Autant dire que c'est une double validation des conditions générales qui font déjà foi. Mais c'est justement ledit point qui pour moi est ambigu.

Pour l'avatar, 100% d'accord avec vous car j'ai un avatar et je vois bien la même chose.

Pour le détournement de DNS, c'est surtout le DNS menteur, mis en place par beaucoup de pays, y compris la France. Le moyen de se protéger et de ne SURTOUT PAS utiliser le DNS de son FAI mais un DNS public de grande envergure (comme Cloudflare, Quad9, OpenDNS...) et via HTTPS (pour empêcher tout sniffage). Ces DNS ne pratiquent aucun blocage dans la mesure du possible et surtout pas de DNS menteur... D'ailleurs cela débloquera 99% des sites qui pourrait être bloqué en France, pour quelques raisons que ce soit...

Mais pour finir, je pense que pour ces raisons, il est impossible de demander à quelqu'un d'avoir pris les vigilances pour limiter la fraude.

 

[attentif]

C'était effectivement des détails de protection et une case pour indiquer que nous avons accepté les nouvelles conditions générales ET NOTAMMENT le point que j'ai mentionné plus haut. Autant dire que c'est une double validation des conditions générales qui font déjà foi. Mais c'est justement ledit point qui pour moi est ambigu.

Pour l'avatar, 100% d'accord avec vous car j'ai un avatar et je vois bien la même chose.

Pour le détournement de DNS, c'est surtout le DNS menteur, mis en place par beaucoup de pays, y compris la France. Le moyen de se protéger et de ne SURTOUT PAS utiliser le DNS de son FAI mais un DNS public de grande envergure (comme Cloudflare, Quad9, OpenDNS...) et via HTTPS (pour empêcher tout sniffage). Ces DNS ne pratiquent aucun blocage dans la mesure du possible et surtout pas de DNS menteur... D'ailleurs cela débloquera 99% des sites qui pourrait être bloqué en France, pour quelques raisons que ce soit...

Mais pour finir, je pense que pour ces raisons, il est impossible de demander à quelqu'un d'avoir pris les vigilances pour limiter la fraude.

Bonjour @AlbertoWin ,

J 'avais indiqué que je n'évoquais pas le détournement de DNS [lien réservé abonné] afin de ne pas tomber dans un débat technique (sans rapport avec l'objet de ce fil de discussion qui serait alors pollué). C'est avec plaisir que nous pourrons le faire par messagerie privée si vous le souhaitez.

Je voulais seulement attirer l'attention sur le fait qu'il serait difficile pour le client de Boursorama de s'assurer qu'il se connecte bien sur le site web de la banque (même s'il avait pris soin de vérifier que l'URL du site est bien celle de la banque et ne fait pas l'objet d'un détournement de DNS).

 

[attentif]

Bonjour à tous,

En imaginant que des collaborateurs de Boursorama lisent nos échanges , je pourrais leur suggérer de proposer une authentification forte pour se connecter à l'espace client de la banque via leur site web.

Cela permettrait au client de respecter la deuxième partie de la consigne de Boursorama :
Vérifiez systématiquement que vous vous connectez bien sur l'application mobile ou le site officiel de Boursorama Banque.

Qu'en pensez-vous ?

 

[floriann]

Bonjour à tous,

En imaginant que des collaborateurs de Boursorama lisent nos échanges , je pourrais leur suggérer de proposer une authentification forte pour se connecter à l'espace client de la banque via leur site web.

Cela permettrait au client de respecter la deuxième partie de la consigne de Boursorama :
Vérifiez systématiquement que vous vous connectez bien sur l'application mobile ou le site officiel de Boursorama Banque.

Qu'en pensez-vous ?

Boursorama fait justement partie des rares banques à permettre de se connecter avec une clé de sécurité type Fido

 

[attentif]

Boursorama fait justement partie des rares banques à permettre de se connecter avec une clé de sécurité type Fido

Bonjour @floriann ,

Effectivement, mais je pensais plus à une authentification forte avec le smartphone et l'application Boursorama, afin que la notion d'authentification forte soit la plus homogène possible pour le client lambda.

Je n'ai pas été assez précis dans mon Post.

 

[AlbertoWin]

Bonjour @floriann ,

Effectivement, mais je pensais plus à une authentification forte avec le smartphone et l'application Boursorama, afin que la notion d'authentification forte soit la plus homogène possible pour le client lambda.

Je n'ai pas été assez précis dans mon Post.

Elle est nécessaire tous les 180 jours et pour chaque nouveau appareil mobile. Mais pas pour les ordinateur en effet.

 

[floriann]

Sachant que chez Bourso, j'ai testé la clé de sécurité et celle-ci se substitue à la saisie du mot de passe. On perd donc l'intérêt du double facteur. Bourse Direct propose un vrai double facteur avec gestion d'une application d'authentification.

 

[Atys]

Oui effectivement il ne faut pas confondre authentification forte et authentification double facteur

 

[attentif]

Peut-on conclure de nos échanges

qu'avec les outils actuels proposés par Boursorama, il est difficile (et peut-être impossible) pour le client de respecter la deuxième partie de la consigne de Boursorama :
Vérifiez systématiquement que vous vous connectez bien sur l'application mobile ou le site officiel de Boursorama Banque.

?

Voyez-vous d'autres solutions ?

 

[jess93]

Peut-on conclure de nos échanges

qu'avec les outils actuels proposés par Boursorama, il est difficile (et peut-être impossible) pour le client de respecter la deuxième partie de la consigne de Boursorama :
Vérifiez systématiquement que vous vous connectez bien sur l'application mobile ou le site officiel de Boursorama Banque.

?

Voyez-vous d'autres solutions ?

Moi je conclurais que vous prenez bien la tête.

 

[GuillaumeF]

Ma mère vient de se faire avoir par une arnaque de type "faux technicien".

C'est un peu flou le mode opératoire mais via un controle d'ordinateur type TeamViewer, ils ont réussi à aller sur le compte Boursorama de ma mère. Je pense que c'est le fait qu'elle se soit connecté via son mobile, ils ont réussi à se connecter via son ordinateur via l'authentification forte je pense, je ne vois que ça.

Plus de peur que de mal, ils n'ont pas réussi à faire grand chose... juste un ajout de bénéficiaire et un virement entre un compte épargne et un compte courant (qui était quasi vide, heureusement). Boursorama a bloqué identifiant, carte bancaire (car elle a aussi donné son numéro de CB, bref... ...)

Du coup, faites attention !

D'ailleurs, je sais pas si c'est lié, mais Boursorama m'a fait confirmer la lecture des truks qui ne faut pas faire pour éviter les piratages... Un peu comme les CGV quoi...

 

[AlbertoWin]

C'est un peu flou le mode opératoire mais via un controle d'ordinateur type TeamViewer, ils ont réussi à aller sur le compte Boursorama de ma mère. Je pense que c'est le fait qu'elle se soit connecté via son mobile, ils ont réussi à se connecter via son ordinateur via l'authentification forte je pense, je ne vois que ça.

Oui c'est très fort probable et la crédulité de votre mère aurait pu mener à de plus grosses pertes. J'espère que la douche tiède lui évitera les douches froides.
Malheureusement la protection des infrastructures se nomme la sécurité et dans toutes les banques elle est très haute.
La sûreté, en revanche, celle des aéroports est la protection des autres personnes contre les autres et elle-même, par terrorisme, appât du gain ou d'un bienfait potentiel. Les banques n'ont aucune protection (ou une très faible) de surêté* comme le semble croire certain et si c'est vous qui franchissez les portiques de sécurité en cachant un attaquant, vous serez considéré comme le complice...


* : Les banques n'ont rien à gagner à en faire car la négligence est à la charge du client et qu'elles sont soumises à un devoir de non-immixtion dans les affaires du client. Seuls les personnes sous protection sont soumises à des obligations de sûreté de la part des banques.

 

[Nico M]

Bonjour à toutes et à tous,

Seuls les personnes sous protection sont soumises à des obligations de sûreté de la part des banques.

Intéressant cette information qui donne de l'éclairage à ce qui est arrivé à ma mère, veuve, de 85 ans.

Elle est allée au Crédit Agricole pour faire transformer son compte personnel en compte joint avec un de ses enfants (elle en a 5). Son objectif : en cas de décès cela permet de ne pas bloquer le compte et donc de pouvoir payer les frais liés aux obsèques sans devoir passer par des justifications à n'en plus finir avec le notaire.

Le guichetier très embêté, a appelé le directeur de la banque qui a reçu ma mère pour la mettre en garde sur le risque de se faire "dépouiller" avec ce type de démarche.

Au delà de notre cas personnel où ce risque n'existe pas entre les 5 frères et sœurs, j'ai trouvé la démarche très professionnelle et très protectrice des personnes agées souvent vulnérables.