Fortuneo Piratage de compte chez Fortuneo

[Robinson]

Mon compte Fortuneo a été récemment piraté.
Des pirates ont pu se connecter à mon compte et créer un bénéficiaire pour virement.
Heureusement j'ai réagi très rapidement et le pire a été évité.
Il n'en reste pas moins que le doute s'installe : les pirates ont pu allègrement se connecter et passer au travers de la double sécurité, je n'ai reçu aucun message ni SMS ni notification.
Interrogée, la banque refuse de me donner des détails sur ce qu'il s'est exactement passé ce qui aggrave les doutes sur la sécurité de la banque. J'ai posé une plainte à la CNIL mais je n'y crois pas.
Est ce que c'est un cas isolé ou faut il s'alarmer ?

 

[Kizzo]

Mon compte Fortuneo a été récemment piraté.
Des pirates ont pu se connecter à mon compte et créer un bénéficiaire pour virement.
Heureusement j'ai réagi très rapidement et le pire a été évité.
Il n'en reste pas moins que le doute s'installe : les pirates ont pu allègrement se connecter et passer au travers de la double sécurité, je n'ai reçu aucun message ni SMS ni notification.
Interrogée, la banque refuse de me donner des détails sur ce qu'il s'est exactement passé ce qui aggrave les doutes sur la sécurité de la banque. J'ai posé une plainte à la CNIL mais je n'y crois pas.
Est ce que c'est un cas isolé ou faut il s'alarmer ?

Bonjour

 

[TOM2]

Comment l' avez-vous découvert?

 

[Axiles]

Bonjour

Qu'attendez-vous exactement de ces acteurs ?

• Il n'y a pas de préjudice donc plainte comme médiateur ne vont rien donner.
• Les banques ne vont évidemment pas communiquer sur la faiblesse (si faiblesse il y a eu) de leur système pour le protéger et ne pas armer les attaquants éventuels donc se plaindre à la banque ne donnera rien (et pas de préjudice surtout)
• La CNIL ne va pas déclencher un contrôle sur la base de votre cas

Je ne suis pas sur qu'on puisse grand chose ici non plus. Et je rejoins @TOM2 , sans remettre nullement en cause la réalité du piratage, je serais curieux de savoir comment vous l'avez découvert. Et si votre numéro de téléphone / email a été changé à votre insu.

 

[Robinson]

Comment l' avez-vous découvert?

Bonne question
J'ai juste reçu un mail confirmant la création d'un nouveau bénéficiaire à un nom inconnu
Heureusement, j'ai de suite été sur l'espace client supprimer le bénéficiaire et changé tous les codes d'accès.
J'ai interrogé mon opérateur téléphonique qui assure ne pas avoir de trace d'une copie de SIM (mais sans preuve ...)

La question qu'il reste c'est le comment on peut contourner une double sécurité.
Il est légitime de savoir si mes comptes sont protégés; dans le cas contraire il ne faut pas y rester.
Il est légitime également de savoir si l'opérateur est en cause.

En tout état de cause je cherche surtout à savoir ici si l'incident est courant ou pas.

 

[attentif]

Bonne question
J'ai juste reçu un mail confirmant la création d'un nouveau bénéficiaire à un nom inconnu
Heureusement, j'ai de suite été sur l'espace client supprimer le bénéficiaire et changé tous les codes d'accès.
J'ai interrogé mon opérateur téléphonique qui assure ne pas avoir de trace d'une copie de SIM (mais sans preuve ...)

La question qu'il reste c'est le comment on peut contourner une double sécurité.
Il est légitime de savoir si mes comptes sont protégés; dans le cas contraire il ne faut pas y rester.
Il est légitime également de savoir si l'opérateur est en cause.

En tout état de cause je cherche surtout à savoir ici si l'incident est courant ou pas.

Bonjour @Robinson ,

Je pense que la banque doit vous informer de la nature de la violation, les données concernées et les mesures prises (conformément à l’article 33 du RGPD).

 

[Jeune_padawan]

Bonjour,

Je pense que la banque doit vous informer de la nature de la violation, les données concernées et les mesures prises (conformément à l’article 33 du RGPD).

Sauf si ce n'est pas un piratage de la banque mais un piratage coté client. Et là les systèmes informatiques de la banque sont intacts et non concernés. Et donc le RGPD ne s'applique pas.

Admettons que le pirate ait récupéré identifiant/mdp via un enregistreur de frappe. Et que le téléphone soit également piraté. Alors les systèmes de la banque peuvent difficilement détecter un piratage et surtout le systèmes de la banque n'ont pas été piraté.

On pourrait aussi supposé l’intervention d'un proche qui peut détourner de l'argent à son profit.

Sans remettre en doute la version de notre interlocuteur, au passage peu aimable, si le système informatique de la banque avait pu être détourné (accès aux comptes en direct) alors les pirates n'auraient pas vider qu'un seul compte.

L'historique de ce type de message m'a enseigné que les 2 parties sont rarement tout blanc mais qu'on a tendance à incriminer les banques.

 

[Robinson]

Si c'était un piratage côté client, la banque aurait largement pu m'incriminer, elle ne l'a pas fait.
S'il y a négligence de ma part, je suis prêt à l'entendre... si c'est le cas !

D'ailleurs, Fortuneo convient qu'il s'agit d'un accès par "une tierce personne".

En l'espèce, c'est moins l'obtention de mes codes d'accès que le forçage de la double sécurité qui me paraît grave.
Pas d'indication de connexion d'un nouvel appareil, et surtout pas de double authentification pour la création d'un nouveau bénéficiaire.

La ou vous avez raison c'est que la banque ne répondra pas, ce n'est pas son intérêt et ce n'est pas l'objet ici.
L'objet pour moi est surtout de savoir si c'est un cas isolé ou pas.

 

[Dom7859]

Quel était le bénéficiaire qui aurait été créé par l’usurpateur ?
Je suis étonné qu'il ait réussi à ajouter ce beneficiaire mais n’ait pas tenté un virement instantané dans la foulée.

 

[attentif]

Et là les systèmes informatiques de la banque sont intacts et non concernés. Et donc le RGPD ne s'applique pas.

Bonsoir @Jeune_padawan ,

Vous disposez alors de plus d'informations que nous.

 

[Robinson]

Quel était le bénéficiaire qui aurait été créé par l’usurpateur ?
Je suis étonné qu'il ait réussi à ajouter ce beneficiaire mais n’ait pas tenté un virement instantané dans la foulée.

En l'occurrence, le bénéficiaire m'était totalement inconnu
Je peux vous donner le nom : M CXXXXXXX KXXXXXXX
On ne peut pas faire de virement dans la foulée d'une création de bénéficiaire par mesure de sécurité (heureusement)

 

[Cygne06]

Il serait peut être opportun, si ce n'est déjà fait, d'aller sur votre compte Fortuneo, puis d'aller dans "Profil et paramètres" afin de vérifier:

1. "Mes coordonnées" => Adresse, Email et Téléphone
2. "Ma sécurité" => Terminaux de confiance

 

[Robinson]

Il serait peut être opportun, si ce n'est déjà fait, d'aller sur votre compte Fortuneo, puis d'aller dans "Profil et paramètres" afin de vérifier:

1. "Mes coordonnées" => Adresse, Email et Téléphone
2. "Ma sécurité" => Terminaux de confiR

Remarque pertinente !
En l'espèce j'ai de suite vérifié çà mais pas d'anomalie.
En fait, en cas de piratage, dès que je l'ai signalé, le protocole de la banque a été :
- la fermeture des accès
- la réinitialisation complète de l'accès client, pas seulement le mot de passe mais également le numéro client, et les terminaux de confiance ... J'ai galéré une semaine pour tout rouvrir y compris réautoriser les virements !
Donc du coup c'est bon

 

[Jeune_padawan]

Vous disposez alors de plus d'informations que nous.

Non.

1) Vous avez repris qu'une partie du paragraphe qui commence par "Sauf si" (conditionnel).

2) Si j'étais un pirate et que j'avais accès au système informatique de la banque je n'aurais pas visé 1 seul compte et aurais lancé les opérations de virement dans la foulée.

3) Les banques sont une des industries les mieux contrôlées et elles ont trop peur de perdre leur licence. Donc si intrusion dans leur système informatique elles ne seraient pas bien du tout et ont tendance à veiller fortement à leur sécurité.


Ce qui m'étonne dans l'affaire c'est que l'ajout de bénéficiaire ait pu se faire sans signal et sans double vérification soit via l'appli ou par SMS (quand on passe par l'interface web). Étant client de la dite banque je sais comment elle fonctionne.

 

[Pendragon]

J'ai acces depuis le web à tous mes comptes fortuneo sans alertes de connexion (bien entendu avec le mot de passe).

Je vais faire le test via vpn depuis l'Afrique pour voir . L'Afrique étant choisie sans discrimination...

 

[Robinson]

Je vois bien que vous doutez , mais pourtant je peux vous affirmer :
- que des pirates ont pu se connecter à mon compte à partir d'un terminal autre que mes terminaux habituels (dans ce cas là on reçoit normalement un mail ou une notification mais je n'ai rien reçu)
- et surtout que les pirates ont pu créer un bénéficiaire sans passer par la double authentification; je n'ai reçu ni sms ni notification dans l'appli; l'opérateur me confirme que ma SIM n'a pas été piratée.
Et c'est bien là tout le problème, au delà des violations de données.

Celà pose bien des questions d'où mon intervention ....

 

[Pendragon]

Me revoilà j'ai pris un pays ami comme l'Algérie, je me connecte sans aucune alerte sur mon compte via le web

 

[Pendragon]

Qui a acces à votre terminal de confiance ?

 

[Robinson]

Qui a acces à votre terminal de confiance ?

Merci de votre question
Réponse : PERSONNE, je suis formel, je suis limite paranoiaque
De toute manière, si un bénéficiaire avait été créé à partir d'un de ces terminaux, j'aurais eu une notification

 

[Pendragon]

Je viens de vérifier dans terminal de confiance et il y avait mon ancien portable, que je viens de supprimer...