PIRATAGE BOUYGUES TELECOM

[MDacier]

Très simple ? essayez pour voir et vous me direz si vous avez réussi.... Non ce n'est pas si simple que cela, et n'importe qui ne peut pas le faire.

Pas plus tard que la semaine dernière, une société de jardinage (à qui je fais appel de temps en temps) a fait un prélèvement indu sur mon compte bancaire. J'ai dû passer 3 coups de fil pour me faire rembourser.

Idem pour Engie il y a un an alors que j'avais resilié un an auparavant et que je ne devais rien ...

Ca ne semble donc pas trop compliqué a faire ...

 

[jabsol]

Pas plus tard que la semaine dernière, une société de jardinage (à qui je fais appel de temps en temps) a fait un prélèvement indu sur mon compte bancaire. J'ai dû passer 3 coups de fil pour me faire rembourser.

Idem pour Engie il y a un an alors que j'avais resilié un an auparavant et que je ne devais rien ...

Ca ne semble donc pas trop compliqué a faire ...

Oui si vous avez déjà donné l'autorisation des prélèvements indus peuvent intervenir sans votre accord.

Dans le cas contraire, cela est beaucoup plus compliqué, la preuve il y a des millions d'IBAN dans la nature depuis Free (et même avant), et il n'y a pas des millions de personnes qui se font prélever indûment, heureusement, je ne sais même pas s'il en y eu une seule (en dehors de celles qui se sont fait avoir par ruse pour obtenir leur accord pour un mandat de prélèvement), et encore une fois même si cela arrivait ce n'est pas un soucis puisque l'opposition est très simple.

Inutile donc de paniquer, et de s'inquiéter outre mesure, car ce n'est pas l'IBAN qui interesse le pirate puisqu'il ne peut pas vraiment gagner d'argent avec.

 

[niklos]

En effet, ce n'est pas spécifiquement l'IBAN. Mais plutôt l'ensemble :
CNI
Adresse
IBAN
Facture
etc... qui permettent aux usurpateurs de se faire passer pour nous.

 

[calle8]

Ma compagne a un forfait Free à 2€. Tous les mois, tous, elle reçoit un SMS lui proposant de changer de forfait. Plus onéreux pour elle bien sûr. Ce n'est pas consommateur en termes de performances des systèmes d'information ?
Si bien sûr, mais ils le font pour augmenter leurs revenus.
Tandis que la sécurité de nos données ils s'en tapent, ça ne leur rapporterait rien !

Bouygues Telecom est coutumière des modifications de forfait déguisées en "bonus" voire forcées, leurs pratiques sont extrêmement déplaisantes il faut sans cesse surveiller ce qu'ils nous envoient. Cette obstination contraste avec le manque de sérieux dans la protection des données des clients. J'ai beaucoup de mal avec les arguments ici sur le mode "c'est difficilement évitable". Bouygues est un groupe très organisé qui a les moyens. Ils ont volontairement sous-investi dans la sécurité c'est tout. J'espère qu'ils ne s'en tireront pas à si bon compte.

 

[attentif]

Ils ont volontairement sous-investi dans la sécurité c'est tout.

Bonsoir @calle8 ,

J'imagine que vous disposez d'éléments qui vous permettent d'affirmer cela à propos de Bouygues Telecom, et vous devriez peut-être alors les communiquer à la CNIL .

 

[DamsD]

Chez Boursobank, lorsqu'un nouveau prélèvement d'un nouveau tiers va intervenir, on reçoit un message nous avertissant de ce futur nouveau prélèvement, comme cela on peut facilement le contester avant qu'il ne soit prélevé.

Le cas particulier de Boursobank n'est pas à lui seul représentatif de la généralité des usages bancaires. Je suis dans 5 établissements bancaires, classiques ou en ligne. Tous ne m'envoient pas de message pour m'avertir (mais je dois admettre que c'est souvent des créanciers légitimes et connus comme l'URSSAF ou les impôts).

Inutile donc de paniquer, et de s'inquiéter outre mesure, car ce n'est pas l'IBAN qui interesse le pirate puisqu'il ne peut pas vraiment gagner d'argent avec.

Prendre les devants après une cyberattaque, je n'appelle pas ça paniquer mais faire preuve de prudence. Surtout lorsqu'on a déjà vécu par le passé des piratages du même genre qui ont conduit à une série de prélèvements en cascade.

Très simple ? essayez pour voir et vous me direz si vous avez réussi.... Non ce n'est pas si simple que cela, et n'importe qui ne peut pas le faire.

Dans le cas contraire, cela est beaucoup plus compliqué, la preuve il y a des millions d'IBAN dans la nature depuis Free (et même avant), et il n'y a pas des millions de personnes qui se font prélever indûment, heureusement, je ne sais même pas s'il en y eu une seule (en dehors de celles qui se sont fait avoir par ruse pour obtenir leur accord pour un mandat de prélèvement), et encore une fois même si cela arrivait ce n'est pas un soucis puisque l'opposition est très simple.

Je vous trouve bien optimiste.

La question est surtout de savoir s'il est possible de faire quelque chose avec un IBAN. Certaines sources me disant que oui, le principe de précaution me commanderait donc de partir du principe que c'est possible.

Or ce qui semblait compliqué auparavant ne l'est plus vraiment avec l'intelligence artificielle, y compris le croisement d'informations issues de cyberattaques très différentes.

Il me semble quelque peu présompteux de penser que parce que ce n'est pas encore arrivé, cela ne puisse pas arriver alors que technologiquement la donne a profondément changé depuis trois ans. La cyberattaque de Free reste trop récente à mon sens pour qu'on en juge les effets. C'est parfois bien après les leaks que les problèmes commencent. Contrairement aux codes de CB, un IBAN n'expire pas.

Il demeure que je trouve étrange qu'en 2025, alors qu'on nous impose à juste titre la double authentification pour de nombreuses opérations sensibles comme l'ajout d'un bénéficiaire, il ne soit pas possible à ma connaissance d'autoriser par double authentification la saisie d'un mandat de prélèvement qui se fait en général très souvent en ligne. Peut-être est-ce techniquement compliqué, mais je pense que la question mérite d'être posée après ces deux cyberattaques d'ampleur qui ne seront probablement pas les dernières.

 

[jabsol]

Je vous trouve bien optimiste.

Non, mais étant dans la cyber je regarde surtout où sont les vrais risques, et ils ne sont jamais là où les problèmes sont médiatisés.

le principe de précaution me commanderait donc de partir du principe que c'est possible

Le principe de précaution fait que tout est mis au même niveau, et en raisonnant ainsi on ne fait rien. Ex : quoi que l'on fasse, un avion peut se crasher, donc on ne prend plus l'avion par principe de précaution...

Ca n'est pas ainsi que l'on aborde un problème : on regarde les risques, les occurrences et les impacts sur le business/clients/consommateurs pour évaluer la gravité d'un sujet, et dans le cas présent, mis à part un écho médiatique et des gênes réelles dans les messageries qui vont être spammées pendant quelques temps, il n'y a pas de quoi s'inquiéter outre mesure.

il ne soit pas possible à ma connaissance d'autoriser par double authentification la saisie d'un mandat de prélèvement qui se fait en général très souvent en ligne

Vous avez raison, c'est une proposition qui me semble très pertinente, peut être que les régulateurs vont l'imposer pour rassurer les utilisateurs.
Je pense que si ca n'est pas encore fait c'est parce que les 'failles' potentielles sont traitées par ordre d'importance au regard de la gravité et de l'impact réel, donc peut être que cela changera bientôt pour éviter les échos négatifs.

 

[attentif]

Non, mais étant dans la cyber je regarde surtout où sont les vrais risques, et ils ne sont jamais là où les problèmes sont médiatisés.


Le principe de précaution fait que tout est mis au même niveau, et en raisonnant ainsi on ne fait rien. Ex : quoi que l'on fasse, un avion peut se crasher, donc on ne prend plus l'avion par principe de précaution...

Ca n'est pas ainsi que l'on aborde un problème : on regarde les risques, les occurrences et les impacts sur le business/clients/consommateurs pour évaluer la gravité d'un sujet, et dans le cas présent, mis à part un écho médiatique et des gênes réelles dans les messageries qui vont être spammées pendant quelques temps, il n'y a pas de quoi s'inquiéter outre mesure.


Vous avez raison, c'est une proposition qui me semble très pertinente, peut être que les régulateurs vont l'imposer pour rassurer les utilisateurs.
Je pense que si ca n'est pas encore fait c'est parce que les 'failles' potentielles sont traitées par ordre d'importance au regard de la gravité et de l'impact réel, donc peut être que cela changera bientôt pour éviter les échos négatifs.

Bonsoir @jabsol ,

J'ai durant plus d'une trentaine d'années, répété sans arrêt : gestion des risques dans le domaine de la sécurité des systèmes d'information, avant que ne soit médiatisé le terme cyber.

Réfléchir autrement, c'est se condamner à l'inaction.

La gestion des risques, c'est une dynamique qui est en mouvement tous les jours.

J'aime bien prendre comme exemple, la lutte contre la fraude dans le domaine bancaire ; c'est une lutte qui s'adapte tous les jours à de nouvelles façons de faire qui sont mises en oeuvre par les fraudeurs. C'est une course sans fin...

 

[Aptenodytes]

De même, penser que les solutions techniques sont la réponse à tout. Ce ne sont que des éléments pour limiter la casse mais certainement pas pour l'empêcher de survenir

MFA, Zero Trust, isolation, gestion des droits, DLP...
Dans le cas de Free, un simple SIEM bien configuré et une solution DLP active auraient suffi à stopper la fuite.
Mais comme dans la plupart des entreprises du CAC40, le delivery passe avant la sécurité.
En cherchant bien on peut trouver des API sans auth ...

 

[morgure]

Bouygues est un groupe très organisé qui a les moyens. Ils ont volontairement sous-investi dans la sécurité c'est tout. J'espère qu'ils ne s'en tireront pas à si bon compte.

Je peux t'assurer que Bouygues Télécom à déjà entamé un chantier depuis 2-3 ans pour renforcer la sécurité. Mais il semble que les actions prisent ne soient pas encore suffisantes.

 

[attentif]

MFA, Zero Trust, isolation, gestion des droits, DLP...
Dans le cas de Free, un simple SIEM bien configuré et une solution DLP active auraient suffi à stopper la fuite.
Mais comme dans la plupart des entreprises du CAC40, le delivery passe avant la sécurité.
En cherchant bien on peut trouver des API sans auth ...

Bonjour @Aptenodytes ,

Que de solutions techniques j'ai vues défiler en une trentaine d'années dans de grands Groupes.
Face à une organisation humaine inadéquate ou défaillante, elles concourent malheureusement à donner un faux sentiment de sécurité à ceux qui ont décidé de les mettre en place.

En résumé, oui aux solutions techniques mais pas que cela.

De plus, les incidents de sécurité peuvent aussi être le fruit d'une complicité interne dans l'entreprise, volontaire ou involontaire. Les tentations financières externes sont grandes, en particulier durant les périodes de crise économique.

 

[Pendragon]

Bonsoir @calle8 ,

J'imagine que vous disposez d'éléments qui vous permettent d'affirmer cela à propos de Bouygues Telecom

Tiens, j'imagine plutôt le contraire.

 

[calle8]

Je peux t'assurer que Bouygues Télécom à déjà entamé un chantier depuis 2-3 ans pour renforcer la sécurité. Mais il semble que les actions prisent ne soient pas encore suffisantes.

c'est le moins qu'on puisse dire !

 

[MDacier]

Vol de données personnelles chez Bouygues Telecom et Air France : comment réclamer un dédommagement ?
[lien réservé abonné]

Spoiler : c'est quasi impossible !

 

[attentif]

Vol de données personnelles chez Bouygues Telecom et Air France : comment réclamer un dédommagement ?
[lien réservé abonné]

Spoiler : c'est quasi impossible !

Bonjour @MDacier ,

Un autre article [lien réservé abonné] un peu plus détaillé sur nos droits en cas de fuite de nos données personnelles traitées par une entreprise.

A mon avis, ce sera une bataille d'experts qui eux vont gagner beaucoup d'argent, en cas de plainte contre l'entreprise.

Vous écrivez : c'est quasi impossible !
En tout cas, ce sera long et pour un résultat qui ne sera peut-être pas à la hauteur des attentes du plaignant.

A ce jour et à ma connaissance, je n'ai pas observé en France des plaintes de particuliers, en cas de fuite de leurs données personnelles.

Je suis preneur de l'information si tel n'est pas le cas.

 

[Nakoyazie1188]

Bonsoir @calle8 ,

J'imagine que vous disposez d'éléments qui vous permettent d'affirmer cela à propos de Bouygues Telecom, et vous devriez peut-être alors les communiquer à la CNIL 🤣.

Bonjour
je ne connais pas les éléments de @calle8, mais pour abonder dans son sens, j'ai reçu un courrier de Bouygues Telecom début mai 2025 (j'y ai mon abonnement portable et j'ai été aussi piraté ) qui m'abreuvait de conseils pour l'été "avant de boucler mes valises" et qui en vas de page m'annonçait discrètement que toute résiliation d'abonnement serait désormais facturée 5€ à compter du 9 Juin...
Je pense que c'est le premier fournisseur à rendre la résiliation d'abonnement portable payante

 

[attentif]

Bonjour
je ne connais pas les éléments de @calle8

Bonjour @Nakoyazie1188 ,

Moi non plus, je les attends toujours ; ce serait très intéressant de les connaître.

 

[attentif]

Pour ceux qui veulent se lancer dans un dépôt de plainte, en cas de fuite de leurs données personnelles traitées par une entreprise : le guide complet... [lien réservé abonné]

Bon courage, et tenez-nous au courant.

 

[MDacier]

Oui, a moins d'avoir un très lourd préjudice, zéro chance d'obtenir quoi que ce soit - en tout cas davantage que la perte de temps à établir un dossier de plainte !

 

[attentif]

Une expérience tentée par deux journalistes, d'utilisation de l'IBAN de l'autre [lien réservé abonné].

Bien sûr, il est possible de contester auprès de sa banque un prélèvement non autorisé, nous avons des droits : ouf nous sommes rassurés, à condition de surveiller régulièrement les opérations réalisées sur son compte bancaire.

En attendant que toutes les banques nous permettent de valider ou rejeter la première demande de prélèvement. Cela serait tellement plus simple pour nous leurs clients, et surtout éviterait une démarche administrative sans aucune valeur ajoutée. Perte de temps pour le personnel de la banque et ses clients.