PIRATAGE BOUYGUES TELECOM

[nono52]

Je pense que l'idée de @Axiles, c'est de donner le minimum d'informations nécessaires.
A t-on besoin de donner son numéro de téléphone fixe quand on fait une carte de fidélité par exemple ? C'est parfois une information demandée et indispensable pour faire la carte, mais dans les faits, elle n'est pas nécessaire.

non, tout est fait pour capter tes données, les conserver et les revendre !
@Axiles a raison, tu ne donnes que les informations indispensables, perso tout les 12 décembre, je reçois une ribambelle de "joyeux anniversaire" la preuve que ce n'est pas vérifié la date que j'indique : 12/12/1915

 

[attentif]

La sécurité à 100% cela n'existe pas, c'est comme les fourmis longues de 18 mètres. Désolé .
De même, penser que les solutions techniques sont la réponse à tout. Ce ne sont que des éléments pour limiter la casse mais certainement pas pour l'empêcher de survenir.

Tout est une question de gestion des risques. En acceptant de les traiter...

P.S.
Chiffrer et déchiffrer des données est consommateur en termes de performances des systèmes d'information. Là encore, c'est la gestion des risques qui intervient.

 

[MDacier]

Voila

Et donner sciemment des informations fausses. Si je m’inscris à une newsletter pour avoir un bon de réduction de 10%, ils n’ont pas besoin de ma date de naissance précise donc même si je dois la remplir, j’en mets une bidon.

De manière générale c’est l’idée de ne donner que le nécessaire, rien de plus. Et si je dois donner plus, donner du bidon.

Ça + l’usage d’e-mails dédiés, ça ne réduit pas à zéro le risque mais ça le diminue bien.

Tu as raison.
Maintenant dans les grosses fuites de données récentes (Free, Bouygues, Air France etc.) les info bancaires recuperées ne pouvaient pas ne pas être données par l'utilisateur ... sauf a accepter de ne pas pouvoir beneficier du service demandé ...

 

[Axiles]

Tu as raison.
Maintenant dans les grosses fuites de données récentes (Free, Bouygues, Air France etc.) les info bancaires recuperées ne pouvaient pas ne pas être données par l'utilisateur ... sauf a accepter de ne pas pouvoir beneficier du service demandé ...

Oui, aucune solution n’est parfaite. On ne fait que réduire un risque, pas le ramener à zéro. @attentif l’a aussi rappelé fort justement.

Cependant, un RIB, en tant que tel n’a que peu de valeur dans votre exemple.

Le danger principal, selon moi, c’est l’ingénierie sociale ; non pas vous faire prélever un montant à justifier par un fraudeur, ça un simple coup de fil à la banque, c’est annulé ; mais tomber dans le panneau quand quelqu’un vous appelle en se faisant passer pour la banque ou xyz grâce à toutes les informations personnelles qu’il a sur vous, et vous fait lâcher un numéro de carte bleue ou les codes de double authentification. Ça peut très vite chiffrer et surtout ne pas être remboursé.

C’est pour cette raison là que j’insiste sur le fait, étant donné le moins possible dès qu’on peut : ce ne sont pas les informations de paiement les plus sensibles.

 

[moietmoi]

On pensera bien à utiliser systématiquement le filigrane sur les documents officiels

Hélas, le filigrane n'empêche pas grand chose.
J'ai testé récemment en ouvrant un contrat , en envoyant ma CNI avec un filigrane fait pour un autre besoin .
Le système informatique de vérification a validé ma CNI avec un autre filigrane.
Sans doute le filigrane évite la falsification d'une CNI par exemple, mais pas son utilisation.
Là où il y a vérification manuelle le filigrane est très efficace
Mon agent Axa a même été très étonné du filigrane.

 

[MDacier]

Concrètement qu apporte un filigrane ?
Taguer un document pour savoir, s'il fuite, a quel moment et dans quelle circonstance on l'a transmis ?

 

[attentif]

Auparavant, les systèmes d'information étaient gérés dans des tours d'ivoire (style les ordinateurs IBM avec des systèmes d'exploitation propriétaires), et des interactions réseau sur des lignes de communication dédiées à l'entreprise.

La suite on la connaît tous : systèmes ouverts avec des systèmes d'exploitation de type Unix (même IBM a dû l'accepter ) ou Windows, et des communications réseau sur Internet. C'était une question de rentabilité et de souplesse d'exploitation pour les entreprises, sans voir immédiatement l'aspect sécurité et donc la plus grande vulnérabilité des systèmes.

Aujourd'hui il faut faire avec comme dans beaucoup d'autres domaines. Être conscient de la vulnérabilité de ces systèmes, et se comporter en conséquence. Je sais, c'est plus facile de l'écrire que de le faire.
Cela fait partie de mes interventions sur la protection de la vie privée. J'y préconise bien sûr des outils, mais pas seulement. J'essaye de faire évoluer un état d'esprit auprès de ceux qui viennent m'écouter.

 

[Axiles]

Le filigrane empêche la souscription si vérification manuelle. Et si c’est en automatique et que l’algo a laissé passer, c’est la preuve que ça n’était pas vous et surtout renvoie la faute sur la société qui a accepté un tel document.

Rien de parfait, mais mieux que de ne rien faire.

 

[Dom7859]

P.S.
Chiffrer et déchiffrer des données est consommateur en termes de performances des systèmes d'information. Là encore, c'est la gestion des risques qui intervient.

Ma compagne a un forfait Free à 2€. Tous les mois, tous, elle reçoit un SMS lui proposant de changer de forfait. Plus onéreux pour elle bien sûr. Ce n'est pas consommateur en termes de performances des systèmes d'information ?
Si bien sûr, mais ils le font pour augmenter leurs revenus.
Tandis que la sécurité de nos données ils s'en tapent, ça ne leur rapporterait rien !

 

[moietmoi]

Tandis que la sécurité de nos données ils s'en tapent, ça ne leur rapporterait rien !

Aux usa att&t a conclu un accord à 177 millions de dollars au profits des utilisateurs qui avaient porté plainte pour la fuite de 64 millions de données du même ordre que les fuites de free et Bouygues.

Les missionnés des actionnaires à la direction des entreprises ne prennent des mesures que quand la punition est plus forte que le coût du laisser faire.
C'est valable pour la sécurité, la protection de l'environnement, la santé des employés, ....

 

[attentif]

Ma compagne a un forfait Free à 2€. Tous les mois, tous, elle reçoit un SMS lui proposant de changer de forfait. Plus onéreux pour elle bien sûr. Ce n'est pas consommateur en termes de performances des systèmes d'information ?
Si bien sûr, mais ils le font pour augmenter leurs revenus.
Tandis que la sécurité de nos données ils s'en tapent, ça ne leur rapporterait rien !

Bonjour @Dom7859 ,

Ce sont des choix faits par les entreprises .

 

[MDacier]

Aux usa att&t a conclu un accord à 177 millions de dollars au profits des utilisateurs qui avaient porté plainte pour la fuite de 64 millions de données du même ordre que les fuites de free et Bouygues.

Donc chaque client a touché la somme fabuleuse de ... 2,75 $ ?!
Grâce à AT&T, chaque client a désormais de quoi s’offrir… un demi café chez Starbucks.

Ça rembourse largement le temps pris pour porter plainte ...

 

[Dom7859]

Donc chaque client a touché la somme fabuleuse de ... 2,75 $ ?!
Grâce à AT&T, chaque client a désormais de quoi s’offrir… un demi café chez Starbucks.

Ça rembourse largement le temps pris pour porter plainte ...

au profits des utilisateurs qui avaient porté plainte, c'est pas tous.

 

[attentif]

Aux usa att&t a conclu un accord à 177 millions de dollars au profits des utilisateurs qui avaient porté plainte pour la fuite de 64 millions de données du même ordre que les fuites de free et Bouygues.

Les missionnés des actionnaires à la direction des entreprises ne prennent des mesures que quand la punition est plus forte que le coût du laisser faire.
C'est valable pour la sécurité, la protection de l'environnement, la santé des employés, ....

Bonjour @moietmoi ,

La CNIL a ouvert une procédure de sanction contre l'opérateur Free [lien réservé abonné] à propos de la fuite de données concernant 5 millions d'IBAN et 19 millions de clients, en octobre 2024. Wait and see...
Il faudra que la CNIL apporte la preuve d'un manquement de Free quant aux mesures prises pour assurer la sécurité de ses systèmes d'information.
Une bataille d'experts en perspective...

 

[MDacier]

au profits des utilisateurs qui avaient porté plainte, c'est pas tous.

Ok - merci pour la précision!

En creusant le sujet :

En fonction de la violation en question, AT&T a accepté de verser jusqu'à 2 500 ou 5 000 dollars aux clients qui ont subi des pertes "raisonnablement liées" à ces incidents. Une fois les paiements effectués pour les pertes directes, les fonds restants seront distribués aux clients dont les informations personnelles ont été consultées.

En gros, les clients ayant pu démontrer de gros préjudices ont touché un chèque conséquent.
Les autres se sont partagés des miettes.

 

[DamsD]

Cependant, un RIB, en tant que tel n’a que peu de valeur dans votre exemple.

De ce que j'ai compris, l'IBAN suffirait à établir un mandat de prélèvement SEPA. Je suis d'ailleurs assez surpris de la facilité avec laquelle un mandat de prélèvement peut s'établir. Le danger est donc bien là.

Je suis aujourd'hui en train de discuter avec la banque du compte que j'utilise pour mes prélèvements Bouygues Telecom afin de me prémunir de ces prélèvements qui peuvent intervenir bien plus tard, au moment où on a oublié l'incident. Eh ben, ça a beau être une grande banque traditionnelle, ils ont visiblement aucun moyen technique de permettre à leur client de valider par l'application mobile un mandat de prélèvement avant qu'il ne soit effectif. Ce qui veut dire qu'actuellement, on préfère demander à un client de contester un mandat après coup, une fois que le prélèvement a été fait, que de sécuriser à la source l'établissement de ce mandat...

 

[MDacier]

De ce que j'ai compris, l'IBAN suffirait à établir un mandat de prélèvement SEPA. Je suis d'ailleurs assez surpris de la facilité avec laquelle un mandat de prélèvement peut s'établir. Le danger est donc bien là.

C'est en effet malheureusement très simple d'effectuer des prélèvements sans avoir l'accord de la personne concernée sur la simple possession d'un IBAN

 

[niklos]

Ce qui veut dire qu'actuellement, on préfère demander à un client de contester un mandat après coup, une fois que le prélèvement a été fait, que de sécuriser à la source l'établissement de ce mandat...

Bien sûr. On reporte la faute sur le client et non plus sur la banque.

 

[jabsol]

De ce que j'ai compris, l'IBAN suffirait à établir un mandat de prélèvement SEPA. Je suis d'ailleurs assez surpris de la facilité avec laquelle un mandat de prélèvement peut s'établir. Le danger est donc bien là.

Je suis aujourd'hui en train de discuter avec la banque du compte que j'utilise pour mes prélèvements Bouygues Telecom afin de me prémunir de ces prélèvements qui peuvent intervenir bien plus tard, au moment où on a oublié l'incident. Eh ben, ça a beau être une grande banque traditionnelle, ils ont visiblement aucun moyen technique de permettre à leur client de valider par l'application mobile un mandat de prélèvement avant qu'il ne soit effectif. Ce qui veut dire qu'actuellement, on préfère demander à un client de contester un mandat après coup, une fois que le prélèvement a été fait, que de sécuriser à la source l'établissement de ce mandat...

Très simple ? essayez pour voir et vous me direz si vous avez réussi.... Non ce n'est pas si simple que cela, et n'importe qui ne peut pas le faire.

Chez Boursobank, lorsqu'un nouveau prélèvement d'un nouveau tiers va intervenir, on reçoit un message nous avertissant de ce futur nouveau prélèvement, comme cela on peut facilement le contester avant qu'il ne soit prélevé.

 

[Axiles]

C’est simple de faire un prélèvement et, comme je l’indiquais, de le rejeter.