samy-91
Contributeur régulier
Dans ce court extrait il parle exclusivement du sujet, des victimes qu'ils ont eu, et du regroupement si ça intéresse certains.
[lien réservé abonné]
[lien réservé abonné]
Piratage compte bancaire
- Statut
Lanester
Nouveau membre
Mon mari a appelé le standard de l'émission sur RTL de Julien Courbet sur le même sujet ,au 3210, il a laissé ses coordonnées , boîte mail , numéro de téléphone, et le montant qui a été piraté.La standardiste lui a dit qu'il serait recontacte.
jp19
Contributeur régulier
J'ai adoré le "c'était le feu au standard, pour une fois je n'ai pas fait mon marseillais, toutes les 2 minutes je recevais une fiche, à un tel point qu'à un moment j'ai dit à mes collègues stop je ne peux plus prendre les fiches posez-les sur la pile" suivi de la question qui lui a été posée "et au final, alors combien de fiches ?" ... roulement de tambour ... 10samy-91 a dit:
samy-91
Contributeur régulier
J'ai pensé comme toi mais ce qui me choque dans cette fraude. C'est l'utilisation d'une même faille pendant une longue période
john_johnk
Membre
Bonjour à tous
De mon côté je suis en contact avec un journal important (car victime aussi de cette fraude). Contactez-moi par MP pour que les témoignages affluent en nombre car la médiatisation est indispensable.
De mon côté je suis en contact avec un journal important (car victime aussi de cette fraude). Contactez-moi par MP pour que les témoignages affluent en nombre car la médiatisation est indispensable.
Dernière modification par un modérateur:
BBaj
Membre
Bonjour à tous,
Moi aussi ça m’intéresse une action de groupe.
Moi aussi ça m’intéresse une action de groupe.
samy-91
Contributeur régulier
prenez contact avec RTL vous allez gagner 15 personnes dans le dossier
john_johnk
Membre
Bonjour BBaj, contactez-moi en privé s'il vous plaît.BBaj a dit:
Bien à vous
samy-91
Contributeur régulier
Ça va parler dans une dizaine de minutes sur RTL/M6 du piratage de LCL
Cyril_C
Contributeur
Bonjour à tous,
Je suis un peu le sujet qui depuis qq temps anime le forum et s'étale maintenant à la TV sur M6.
Vu le nb de cas et la période une erreur des utilisateurs semblent difficile à croire. Etant moi même IT et ayant travaillé dans le domaine de la sécurité de l'information, je me fait les rq suivantes :
- A la base les pirates ont dû avoir accès aux données personnelles des victimes (à minima identifiant et téléphone) : soit directement en attaquant le site soit en rachetant des données sur le darkweb.
=> Un identifiant et un numéro téléphone étant classés dans les données personnelles. la société victime de la fuite doit vous notifier sous 72H. le fait de ne pas notifier les concernés entraine potentiellement une sanction (pénale) de cinq ans d'emprisonnement et de 300 000 € d'amende"
- Ensuite le mode opératoire peut différer :
* les appels de faux conseillers
* (si les pirates sont sur une faille ouverte : bypasser le système de contrôle, changer le téléphone destinataire le temps de l'opération, etc ...) ; accessoirement toutes les données personnelles doivent être cryptées dans les bases de données.
* Il se peut que vous ayiez reçu un truc anodin qui installe à votre insu un bout de code sur votre téléphone qui renvoie les SMS ou qui programme le renvoi depuis votre tel vers votre opérateur.
* j'en oublie surement...
- Conclusion : Le système de validation par SMS n'est pas sécurisé du tout. C'est pour cela que les banques progressivement le change. certaines banques (c'est le cas de Bourso par exemple) a remplacé pour certaines transactions le système SMS par le système de connexion de votre téléphonique. Vous validez la transaction en vous connectant via l'appli de la banque depuis le téléphone enregistré dans la même banque. Si vous vous connectez avec un bon compte et le bon mot de passe depuis un autre téléphone, cela ne fonctionne pas.
Le principe est que la banque enregistre l'IMEI (identité physique unique mondiale du téléphone) ; ce qui lui permet la de dire : vous vous êtes connectés (vous ou qq qui a votre téléphone physiquement en main) depuis le téléphone que vous avez déclaré.
l'IMEI est-il piratable ? : techniquement oui mais c'est beaucoup plus difficile que de capter un SMS
Bref côté LCL, je me pose la question : Ont-ils notifiés qq de fuite de données (attention cela peut-être (bcp) plus vieux que l'attaque)
A mon sens ça doit être un peu la panique en interne entre IT, DPO, Juriste et autres... peut-être faut-il qu'ils déjà bien compris ce qui s'est passé avant de prendre position.
Le fait de renvoyer des courriers types à tout le monde est un peu "lamentable" .
Sinon pour ceux qui ne connaissent pas ,
1. si vous vous voulez s'avoir si votre email ou votre téléphone a fait l'objet d'une déclaration de fuite de données "par qui" et "quand", je vous conseille de faire le test sur ce site [lien réservé abonné].
2. pour savoir si un renvoi est actif sur votre téléphone (orange/sosh) : *#21# + appeler.
Je suis un peu le sujet qui depuis qq temps anime le forum et s'étale maintenant à la TV sur M6.
Vu le nb de cas et la période une erreur des utilisateurs semblent difficile à croire. Etant moi même IT et ayant travaillé dans le domaine de la sécurité de l'information, je me fait les rq suivantes :
- A la base les pirates ont dû avoir accès aux données personnelles des victimes (à minima identifiant et téléphone) : soit directement en attaquant le site soit en rachetant des données sur le darkweb.
=> Un identifiant et un numéro téléphone étant classés dans les données personnelles. la société victime de la fuite doit vous notifier sous 72H. le fait de ne pas notifier les concernés entraine potentiellement une sanction (pénale) de cinq ans d'emprisonnement et de 300 000 € d'amende"
- Ensuite le mode opératoire peut différer :
* les appels de faux conseillers
* (si les pirates sont sur une faille ouverte : bypasser le système de contrôle, changer le téléphone destinataire le temps de l'opération, etc ...) ; accessoirement toutes les données personnelles doivent être cryptées dans les bases de données.
* Il se peut que vous ayiez reçu un truc anodin qui installe à votre insu un bout de code sur votre téléphone qui renvoie les SMS ou qui programme le renvoi depuis votre tel vers votre opérateur.
* j'en oublie surement...
- Conclusion : Le système de validation par SMS n'est pas sécurisé du tout. C'est pour cela que les banques progressivement le change. certaines banques (c'est le cas de Bourso par exemple) a remplacé pour certaines transactions le système SMS par le système de connexion de votre téléphonique. Vous validez la transaction en vous connectant via l'appli de la banque depuis le téléphone enregistré dans la même banque. Si vous vous connectez avec un bon compte et le bon mot de passe depuis un autre téléphone, cela ne fonctionne pas.
Le principe est que la banque enregistre l'IMEI (identité physique unique mondiale du téléphone) ; ce qui lui permet la de dire : vous vous êtes connectés (vous ou qq qui a votre téléphone physiquement en main) depuis le téléphone que vous avez déclaré.
l'IMEI est-il piratable ? : techniquement oui mais c'est beaucoup plus difficile que de capter un SMS
Bref côté LCL, je me pose la question : Ont-ils notifiés qq de fuite de données (attention cela peut-être (bcp) plus vieux que l'attaque)
A mon sens ça doit être un peu la panique en interne entre IT, DPO, Juriste et autres... peut-être faut-il qu'ils déjà bien compris ce qui s'est passé avant de prendre position.
Le fait de renvoyer des courriers types à tout le monde est un peu "lamentable" .
Sinon pour ceux qui ne connaissent pas ,
1. si vous vous voulez s'avoir si votre email ou votre téléphone a fait l'objet d'une déclaration de fuite de données "par qui" et "quand", je vous conseille de faire le test sur ce site [lien réservé abonné].
2. pour savoir si un renvoi est actif sur votre téléphone (orange/sosh) : *#21# + appeler.
samy-91
Contributeur régulier
Y a plusieurs choses qui ne vont pas chez LCL.
C'est pas la première faille : [lien réservé abonné]
A la limite si tu as les identifiants et mot de passe comment tu fais pour contourner le code ?
Y a la technique du swapping et quoi d'autres ?
Peut-être qu'il y a un code universel qui est toujours valide.
On ne peut pas transférer les SMS comme ces mails ou ces appels.
C'est dingue que l'on puisse faire un virement 80 000€ en quelques secondes, l'avocate a dit qu'il y avait un délais de 3j minimum.
Les applications n'ont pas accès à IMEI mais à identifiant publicitaire.
Si j'ai bien compris ce n'est pas l'appel d'un faux conseiller mais c'est purement informatique.
J'aimerai bien savoir si la fraude a eu lieu uniquement sur les Android ou c'est iPhone et Android.
Y a clairement un leak chez LCL, ou alors LCL a les clients les plus naïfs de la planète.
Pour les clients victimes : vous devez notifier à la CNIL ce qu'il se passe pour qu'il se renseigne sur le sujet. S'il y a eu une fuite de données ils doivent notifier leurs clients. S'ils ne l'ont pas fait ils risquent des sanctions.
Voilà un article intéressant
[lien réservé abonné]
C'est pas la première faille : [lien réservé abonné]
A la limite si tu as les identifiants et mot de passe comment tu fais pour contourner le code ?
Y a la technique du swapping et quoi d'autres ?
Peut-être qu'il y a un code universel qui est toujours valide.
On ne peut pas transférer les SMS comme ces mails ou ces appels.
C'est dingue que l'on puisse faire un virement 80 000€ en quelques secondes, l'avocate a dit qu'il y avait un délais de 3j minimum.
Les applications n'ont pas accès à IMEI mais à identifiant publicitaire.
Si j'ai bien compris ce n'est pas l'appel d'un faux conseiller mais c'est purement informatique.
J'aimerai bien savoir si la fraude a eu lieu uniquement sur les Android ou c'est iPhone et Android.
Y a clairement un leak chez LCL, ou alors LCL a les clients les plus naïfs de la planète.
Pour les clients victimes : vous devez notifier à la CNIL ce qu'il se passe pour qu'il se renseigne sur le sujet. S'il y a eu une fuite de données ils doivent notifier leurs clients. S'ils ne l'ont pas fait ils risquent des sanctions.
Voilà un article intéressant
[lien réservé abonné]
Dernière modification:
Cyril_C
Contributeur
Si tu peux programmer un transfert sms depuis ton tel , via un code opérateur .samy-91 a dit:
Si , pas mal d’applications restituent L’IMEI , si les banques ne l’utilisent pas pour une identifier formellement le téléphone qui se connecte c’est une grosse bêtise .
Après ça ne va pas régler le problème des gens qui se sont faits pirater mais j’essaie de mettre en contexte qq solutions de contrôle . LCL à 99.99 % a été victime d’une fuite de données
Cyril_C
Contributeur
Sur mon tel voilà ce que j’obtiens avec le *#21#
Cyril_C
Contributeur
zataz explique et qu’il y a du code non protégé dans les applis (probablement android) que les pirates ont analysé . Probablement le mode d’accès à une api (serveur de données transactionnel) . Ensuite il se débrouillent pour trouver la structure de l’api , envoyer le bon message et récupérer les bonnes données . Sans rentrer dans les détails …
J’ai pas le code sous les yeux mais ça ne doit pas être terrible .
De plus en plus les téléphones sous android deviennent cible prioritaire des pirates .
J’ai pas le code sous les yeux mais ça ne doit pas être terrible .
De plus en plus les téléphones sous android deviennent cible prioritaire des pirates .
samy-91
Contributeur régulier
Oui je m'en doute et dans cette faille je me demande si c'est exclusivement de l'android.Cyril_C a dit:
C'est l'emission du jour 1:31:00 : [lien réservé abonné]
Cyril_C
Contributeur
L’iPhone n’est pas la solution magique qui garanti 0 risque mais c’est beaucoup plus facile sous android
samy-91
Contributeur régulier
deja sous android tu peux decomposer une app pour lire le code et savoir comment elle fonctionne. C'est beaucoup plus compliquer d'etre root sur ios.
Donc oui je suis tres curieux de savoir si la faille a ete exploité uniquement sur android.
Donc oui je suis tres curieux de savoir si la faille a ete exploité uniquement sur android.
Max1
Contributeur régulier
Le talon d'Achille, ce sont aussi les hébergeurs de mails. 99% des identifiants et mots de passes peuvent être récupérés / réinitialisés en recevant un mail. Donc, si un pirate a accès à vos mails et reste discret pour pas se dévoiler, il peut presque tout contrôler sans que vous le sachiez (par ex: il change tel ou tel mot de passe et efface aussitôt le mail de la demande).
Quand une banque, un site de vente en ligne ou un site web permet de resetter les mots de passe comme ça, c'est comme s'il déléguait toute sa sécurité à Google ou hotmail. C'est tout le contraire d'une authentification forte. :-(
Et en tant qu'utilisateur, on ne peut pas désactiver cette backdoor.
Les notifications par SMS améliorent un petit peu la sécurité mais c'est pas fiable car si on vous subtilise votre tél avant de vous le rendre 10 minutes plus tard, c'est largement suffisant pour accéder aux mails et aux SMS.
Quand une banque, un site de vente en ligne ou un site web permet de resetter les mots de passe comme ça, c'est comme s'il déléguait toute sa sécurité à Google ou hotmail. C'est tout le contraire d'une authentification forte. :-(
Et en tant qu'utilisateur, on ne peut pas désactiver cette backdoor.
Les notifications par SMS améliorent un petit peu la sécurité mais c'est pas fiable car si on vous subtilise votre tél avant de vous le rendre 10 minutes plus tard, c'est largement suffisant pour accéder aux mails et aux SMS.
AlbertoWin
Contributeur régulier
Pour obtenir l’IMEI sur android [lien réservé abonné] il faut la permission « Accéder au téléphone » et beaucoup la refusent en pensant que ça permet de téléphoner. C’est d’ailleurs la même permission…
Pour Apple il y a des codes d’identification mais ils sont facilement détournables, les codes fixes sont rejetés sur toutes les applications De l’Apple Store.
Dans la plupart des applications c’est un token qui est conservé dans les fichiers et qui est supprimé lorsque l’application est supprimé.
La faille vient probablement d’une faille d’un prestataire extérieur à LCL ce qui a permis d’avoir des informations pour un phishing éventuel.
Pour le téléphone il est possible qu’il est pu utiliser une faille d’une API utilisée qui n’a pas été patche.
Par contre il n’y a pas de code en clair ou code unique dans les codes des applications, tout est géré sur les serveurs.
Pour Apple il y a des codes d’identification mais ils sont facilement détournables, les codes fixes sont rejetés sur toutes les applications De l’Apple Store.
Dans la plupart des applications c’est un token qui est conservé dans les fichiers et qui est supprimé lorsque l’application est supprimé.
La faille vient probablement d’une faille d’un prestataire extérieur à LCL ce qui a permis d’avoir des informations pour un phishing éventuel.
Pour le téléphone il est possible qu’il est pu utiliser une faille d’une API utilisée qui n’a pas été patche.
Par contre il n’y a pas de code en clair ou code unique dans les codes des applications, tout est géré sur les serveurs.
Dernière modification:
Cyril_C
Contributeur
Effectivement j'ai vérifié aucune autorisation pour mes applis bourso et Fortuneo. Par contre si c'est un token ça peut toujours se récupérer . J'étais persuadé que c'était l'IMEI qui permettait d'identifier le téléphone physique ...ça aurait été plus secure
Merci pour l'info .
Par contre quand le cas de LCL c'est encore le mode SMS . Ça ça peut se récupérer sur le tel ou à la source .
Merci pour l'info .
Par contre quand le cas de LCL c'est encore le mode SMS . Ça ça peut se récupérer sur le tel ou à la source .
- Statut
Actualités les plus consultées
Livret A, compte à terme, compte courant : ce qui va changer pour la rémunération de vos dépôts
LEP, Livret A, assurance vie... Le baromètre de votre épargne sans risque avant les changements de l'été
Hossegor, Seignosse, Mont-de-Marsan... Où vivent les riches contribuables des Landes ?
Sologne, Blois... Le top 10 de l'impôt sur le revenu dans le Loir-et-Cher
Prêt immobilier : les derniers taux officiels des banques sur 15, 20 et 25 ans
Location meublée : faut-il encore faire classer son logement pour payer moins d'impôt ?