Fortuneo Piratage de compte chez Fortuneo

[Robinson]

Mon compte Fortuneo a été récemment piraté.
Des pirates ont pu se connecter à mon compte et créer un bénéficiaire pour virement.
Heureusement j'ai réagi très rapidement et le pire a été évité.
Il n'en reste pas moins que le doute s'installe : les pirates ont pu allègrement se connecter et passer au travers de la double sécurité, je n'ai reçu aucun message ni SMS ni notification.
Interrogée, la banque refuse de me donner des détails sur ce qu'il s'est exactement passé ce qui aggrave les doutes sur la sécurité de la banque. J'ai posé une plainte à la CNIL mais je n'y crois pas.
Est ce que c'est un cas isolé ou faut il s'alarmer ?

 

[nono52]

Bonjour @Robinson

Vous avez activé WERO ?
Et vous avez déjà initié des paiements ou reçu des virements avec WERO ?

 

[Robinson]

sage précaution. A faire systématiquement !

 

[Robinson]

Bonjour @Robinson

Vous avez activé WERO ?
Et vous avez déjà initié des paiements ou reçu des virements avec WERO ?

Oui j'ai activé WERO mais je ne l'ai jamais utilisé
Pourquoi ?

 

[nono52]

sage précaution. A faire systématiquement !

Vous parlez de WERO ?

 

[Robinson]

Vous parlez de WERO ?

non
de vérifier les terminaux de confiance et supprimer les terminaux inutilisés
c'est la base

 

[nono52]

Oui j'ai activé WERO mais je ne l'ai jamais utilisé
Pourquoi ?

Pourquoi l'avoir activé alors ?
pour moi c'est un moyen supplémentaire de "piratage"

 

[Philbox]

D’après le mail, tu as envoyé un mail à la conseillère qui te répond qu’elle ne peut pas t’aider mais il est écrit que tu peux écrire au service "réclamation". Est ce que tu l’as fait?

 

[Robinson]

Je voulais essayer avec un ami mais je ne l'ai jamais fait
C'est tres récent
Il y a un rapport ?

 

[Robinson]

D’après le mail, tu as envoyé un mail à la conseillère qui te répond qu’elle ne peut pas t’aider mais il est écrit que tu peux écrire au service "réclamation". Est ce que tu l’as fait?

J'ai envoyé un mail au service réclamation
J'ai même envoyé un AR au service client mais la réponse a été négative

 

[Philbox]

Pour info, wero peut se désactiver si on ne s’en sert pas.

 

[Philbox]

J'ai envoyé un mail au service réclamation
J'ai même envoyé un AR au service client mais la réponse a été négative

En cas de désaccord avec la réponse apportée à ta réclamation, deux mois après l'envoi d'une première réclamation écrite (qu'il y ait été ou non répondu), tu disposes de la faculté de saisir gratuitement le médiateur.

 

[Robinson]

Pour info, wero peut se désactiver si on ne s’en sert pas.

oui vous avez raison

Tu pourras saisir le médiateur dans un délai de deux mois après ta réclamation.

Je sais
C'est ridicule dans le sens où la banque a déjà répondu ... mais il faut quand même attendre 2 mois
Je le ferai

 

[nono52]

Je voulais essayer avec un ami mais je ne l'ai jamais fait
C'est tres récent
Il y a un rapport ?

Jusqu'à la preuve du contraire, c'est une possibilité de piratage déjà avec votre gsm

 

[Robinson]

Jusqu'à la preuve du contraire, c'est une possibilité de piratage déjà avec votre gsm

Pour WERO en l'occurrence il n'y a pas eu de piratage

 

[Anzenia]

Bonsoir,

Si votre ligne mobile a continué à fonctionner normalement ces dernières semaines on peut écarter l'idée d'un SIM Swap.

L'ajout d'un nouveau bénéficiaire de virement chez Fortuneo nécessite absolument une validation sur le/l'un des Terminaux de confiance enrôlé précédemment, je ne vois pas d'autre méthode.

 

[Robinson]

Bonsoir,

Si votre ligne mobile a continué à fonctionner normalement ces dernières semaines on peut écarter l'idée d'un SIM Swap.

L'ajout d'un nouveau bénéficiaire de virement chez Fortuneo nécessite absolument une validation sur le/l'un des Terminaux de confiance enrôlé précédemment, je ne vois pas d'autre méthode.

Vous avez raison, c'est tout le problème. Les pirates ont forcé la double sécurité.
L'opérateur a effectué des vérifications et assure qu'il n'y a pas eu de sim-swapping (ils me l'ont écrit, çà vaut ce que çà vaut)

C'est la raison pour laquelle j'ai ouvert cette discussion, je ne pense pas être seul dans ce cas.

 

[AlbertoWin]

- que des pirates ont pu se connecter à mon compte à partir d'un terminal autre que mes terminaux habituels (dans ce cas là on reçoit normalement un mail ou une notification mais je n'ai rien reçu)
- et surtout que les pirates ont pu créer un bénéficiaire sans passer par la double authentification; je n'ai reçu ni sms ni notification dans l'appli; l'opérateur me confirme que ma SIM n'a pas été piratée.

Effectivement la banque doit être en mesure de prouver la double authentification par preuve informatique. Ce que vous pouvez faire c'est demander vos données par RGPD et vous pourrez obtenir, peut être les enregistrements de connexion. Avez-vous conservé l'IBAN du bénéficiaire? Avez-vous vérifié l'intégrité de votre terminal de confiance? Et de vos emails (vous pouvez vérifier l'historique des connexions au email)?

L'ajout d'un bénéficiaire sans authentification forte serait une erreur manifeste de la banque, si elle était confirmée. Vous avez été sauvée par les 24h de delai.

Sinon il y a l'aspiration de cookies. Avez-vous utilisé un logiciel inconnu récemment sur votre ordinateur?

 

[Robinson]

D'une manière générale, la banque comme je l'ai expliqué refuse de me fournir des explications quant à la méthode utilisée pour forcer la double sécurité.

Je n'ai pas conservé l'IBAN du bénéficiaire, très franchement j'étais un peu en mode urgence quand c'est arrivé, je l'ai immédiatement supprimé. J'ai demandé l'info à la banque mais je n'ai pas eu de réponse pour le moment. J'ai juste le nom puisqu'il apparaît dans le mail de confirmation. Je l'ai mis dans un post précédent mais il a été modéré.

Vérifier l'intégrité des terminaux de confiance je ne sais pas vraiment ce que cela veut dire; je n'ai pas constaté de connexion suspecte ni de vol ni d'utilisation par un tiers et je ne me sépare JAMAIS de mon smartphone (parano assumé); personne n'y a accès, pas même ma moitié.

Les cookies je fais la chasse périodiquement mais pas non plus tous les jours; mais même là, cela expliquerait à la limite la fuite du mot de passe mais pas le forçage de la double sécurité.

Ce qui est bizarre c'est que la banque n'a visiblement aucune obligation à me fournir une quelconque information sur ce qu'il s'est passé. C'est bête mais c'est comme çà. Je demanderai au médiateur ... dans 2 mois (délais débile qui est appliqué même si la banque m'a répondu).

 

[jabsol]

Les causes permettant ce genre d'attaque sont nombreuses et complexes, et il est bien entendu impossible de connaitre le mode opératoire utilisé ici, tout au plus peut on supposer que x ou y... mais cela ne fera pas avancer la situation.

Par contre si j'étais vous je changerais dès à présent mes mots de passe de messagerie (tous), car s'ils ont accès à vos messages ils ont pu supprimer les emails éventuellement envoyés par la banque, sans que vous ne vous en rendiez compte.

 

[Robinson]

Les causes permettant ce genre d'attaque sont nombreuses et complexes, et il est bien entendu impossible de connaitre le mode opératoire utilisé ici, tout au plus peut on supposer que x ou y... mais cela ne fera pas avancer la situation.

Par contre si j'étais vous je changerais dès à présent mes mots de passe de messagerie (tous), car s'ils ont accès à vos messages ils ont pu supprimer les emails éventuellement envoyés par la banque, sans que vous ne vous en rendiez compte.

Merci de votre réponse
Changer mes mots de passe de messagerie c'est fait depuis le début, mais la double sécurité ne passe pas par la messagerie mais par des SMS.
Mais vous avez raison, personne ici n'a la connaissance pour savoir ce qu'il s'est réellement passé.

Ce qui m'importe surtout c'est de savoir si je suis seul dans ce cas histoire de savoir s'il y a une faille généralisée.
Ca a l'air d'être le cas ...