Piratage compte bancaire

g.b

Contributeur régulier
Tout va dépendre de l'expertise du prestataire tiers qui a mis en place leur système. Je vais suggérer deux points de faille qui peuvent arriver, et qui l'ont déjà été. Et ne nécessiteraient aucunement le concours du client pour mettre en oeuvre l'escroquerie.

Vue la taille du mot de passe (6 chiffres), une recherche exhaustive est triviale s'il y a eu une fuite de couples identifiants / mot de passe simplement hashés. J'ose espérer que la banque utilise un cryptosystème quand même plus fort en utilisant en plus un paramètre de chiffrement extérieur au fichier contenant ces couples.

La génération du code d'authentification ("code SMS" par exemple) doit suivre des procédés bien précis pour être sûre. Il peut arriver que les implémentations ne respectent pas strictement ces procédés. Soit par bug du développeur, soit par "ruse" en pensant être fort et que modifier l'algo le rendrait plus sûr car personne ne saura.

Maintenant que tu connais deux façons possibles, ça apporte quoi? Parce que décrire serait trop complexe pour le néophyte et/ou serait une source d'investigation de l'entreprise lésée qui corrigera bien sûr sans rien dire.
 

zeldus

Membre
Peu importe où est la faille, la banque doit rembourser sauf si elle prouve une négligence grave ou une fraude la part du client.

Réclamation LR/AR service client -> Médiateur -> Tribunal

Dans le cas de mon père, il a été intégralement remboursé debut mars par la banque ( soit 2 mois et demi après le piratage ) après un courrier envoyé par UFC Que Choisir indiquant qu ils avaient été mandatés par mon père pour résoudre le problème de vol des 3000 euros suite à un virement frauduleux.

Il avait commencé par écrire un courrier recommandé avec AR resté sans réponse de la part de la banque. 1 mois et demi après il est passé à l étape suivante:

L abonnement a cette association de consommateurs coûte une quarantaine d euros par an et semble être efficace auprès du LCL. Ils rédigent et envoient un courrier à leur nom, donc la banque sait qu elle a maintenant en face d elle des juristes spécialisés dans ce genre de choses. Le remboursement a eu lieu très rapidement après la réception du courrier de l UFC Que Choisir.

Il semble que la valeur du montant volé rentre en compte dans la décision du LCL de rembourser ou pas, j ai cru comprendre que les clients qui avaient eu des sommes sensiblement supérieures ( 9000 euros ) avaient plus de mal à être remboursés, simple observation.
 
Je veux signaler à tous les participants de ce forum que j'ai prévenu la presse et qu'il y a énormément de cas de piratage au LCL un groupe whatts app a été créer et nous sommes de plus en plus nombreux ce groupe s'appelle
Arnaque LCL je précise qu'il s'agit d'un piratage nationale qui a commencé au mois de novembre 2021 bien évidemment le fait d'avoir donné ses codes a un faux conseillier ne sont pas pris en compte,je veux préciser aussi que dans ce groupe des victimes sont passé dans l'émission de Julien Courbet
 
Je veux signaler à tous les participants de ce forum que j'ai prévenu la presse et qu'il y a énormément de cas de piratage au LCL un groupe whatts app a été crée , nous sommes de plus en plus nombreux ce groupe s'appelle
Arnaque LCL je précise qu'il s'agit d'un piratage nationale qui a commencé au mois de novembre 2021 bien évidemment le fait d'avoir donné ses codes a un faux conseillier ne sont pas pris en compte,je veux préciser aussi que dans ce groupe des victimes sont passés dans l'émission de Julien Courbet
 
Les pirates ont récupéré compte et mot de passe via une data leak de la banque et/ou une opération de phishing auprès du client

Les pirates ont introduit un code sur votre portable qui a programmé un re routage de vos SMS vers leur numéro . L’autre option théorique étant de hacker le SI de la banque en MAJ où le système qui génère le code, c’est pas ouvert à tout le monde .

Le SMS n’est pas sûr ; les banques le savent puisqu’elles le remplacent progressivement par le système de connexion à votre compte depuis votre appli sur le téléphone préalablement enregistré .

A titre d’illustration :
Je me suis fait très rarement (1 fois) avoir mais j’ai cliqué sur un message + lien envoyé par une connaissance ( a son insu ) et cela génera : des rdv dans mon agenda, dès contacts de numéros surtaxés en tête de mon carnet d’adresse (commençant par un ´.’) et l’envoi (a mon insu) du même message à tout mon carnet d’adresse Messenger … que j’ai dû effacer 1 par 1 et les prévenir . Voilà c’est pas magique on doit faire un truc sur son tel pour l’activer mais même étant initié je me suis fait avoir par l’usurpation de l’émetteur .

Bref encore une fois : soyez hyper prudent avec les app téléphoniques.

Encore une fois arrêtez de tergiverser.

On se regroupe, action collective et on dit que la banque doit prouver la négligence grave et qu’il n’y a pas eu de défaillance. Rapide, simple et succès garanti.

Car là vos propos sont contradictoires.
Trahison interne ? Ok et ? Pourquoi vous parlez d’identifiant et de mot de passe? Il n’en ont pas besoin. En plus le mot de passe subit un me encryption a sens unique (hashage) et personne ne peut retrouver le mot de passe d’origine. Personne.
Ok comment fait on pour se regrouper ?
 

huguetteramallin

Nouveau membre
La page de connexion aux comptes: https://monespace.lcl.fr/connexion est constituée d'un patchwork d'URLs en France, Irlande, Etats Unis etc..

Plus de 30 fichiers javascript au total de provenances diverses, utiliser Firefox>tools>web developer>network

4 fichiers javascript provenant effectivement des serveurs LCL Crédit Agricole en France

7 fichiers javascript provenant des serveurs Amazon Web Service en Irlande et aux USA, gérés par le LCL mais dans des machines maintenues par Amazon.

plus de 19 fichiers javascript provenant de serveurs externes sans aucun contrôle du LCL.

Manip à compléter sur les pages de gestion des comptes pour ceux qui ont le bonheur d'être au LCL.

Tout script javascript chargé d'un site externe a tous les droits sur la page principale, capture écran, modification écran, mouvements souris, frappes clavier. Le téléchargement d'URLs de fichiers non exécutables comme des images gif, jpg, png, webp, eux ne posent pas de problème de sécurité.
Si la page LCL charge et exécute une URL externe avec un javascript de tracking marketing aux USA, ce script peut absolument tout capter sur la page de login et des comptes.
Faites donc l'essai avec deux sites sur des hostings gratuits, si votre page principale charge un javascript de screenshot sur le deuxième site, à partir du deuxième site vous pouvez capter ou modifier la totalité des pixels de la page du premier site (combobox, clavier virtuel, texte,...) sans que l'utilisateur de la page principale s'en aperçoive.
Voir en Janvier 2019, "Des hackers piratent une régie pub de La Poste, des numéros de cartes bancaires compromis" Adverline, à cause de tags javascript sur des pages de paiement permettant de récupérer les numéros et codes des cartes bancaires.
Voir en Juin 2022, "Une ancienne ingénieure d’Amazon reconnue coupable du piratage massif de la banque Capital One", a siphonné les informations de 100 millions d’Américains et de 6 millions de Canadiens en mars 2019. Les serveurs étaient mal configurés. Dans cet exemple il ne s'agissait à priori pas d'exploitation de tags javascript, mais difficile de dire jusqu'où allait réellement ce piratage. En plus de Capital One, 30 clients Amazon Web Service ont été touchés, y avait-il le LCL dans cette liste?
 
Haut