Virements pirates !

Merisier · 14 Octobre 2014

Bonjour,
J'interviens sur ce sujet car les faits m'intriguent, d'autant plus que je suis client de Fortunéo.

Obtenir autant d'infos sur vous est peu banal:
- savoir que vous êtes client de Fortunéo
- votre numéro de compte ou identifiant
- votre numéro de téléphone fixe
- votre mot de passe, sinon, pas d'accès possible au solde et aux virements.

2 hypothèses:
- Soit c'est un problème interne de la banque (détournement massif de leur base de données clients ou piratage plus ponctuel); je pense qu'on en aurait entendu parler...

- Soit c'est un problème externe (piratage de votre PC avec un scanneur de clavier par exemple).

Quoiqu'il en soit, votre opérateur téléphonique est responsable d'avoir dérouté votre fixe sur un portable sans vérifier si les noms correspondent.

Ceci dit, je me connecte sur mon compte, et j'ai droit à un message d'entrée:
Quelques extraits:

Nous souhaitons vous informer que des e-mails malveillants usurpant l’identité de Fortuneo circulent actuellement.
L’objectif est de dérober vos données personnelles afin d’effectuer des paiements et virements frauduleux.
Nous vous invitons donc à rester vigilant : n’ouvrez pas d’e-mails dont la provenance vous paraît suspecte. Et si vous êtes destinataire d’un e-mail douteux, nous vous recommandons de ne cliquer sur aucun lien.

Regardez donc dans votre boite aux lettres, parmi les mails de Fortuneo si des liens bizarres ne s'y trouvent pas.
Fortuneo précise qu'aucun mail de leur part ne dirige vers une page demandant les identifiants du client.

TGBT · 14 Octobre 2014

Bonjour,

sans être expert en informatique, Fortuneo fait partie des banques qui ont conservé des mots de passe à saisir dans un champ pour s'identifier (ces données peuvent être stockées dans votre navigateur et récupérées par un hacker). C'est moins sûr qu'un pavé numérique à titre de comparaison.

Après il semblerait que dans votre cas ce ne soit pas l'origine du problème.

Bon courage pour le dénouement de votre problème.

Cordialement.

Juloup · 14 Octobre 2014

Merisier a dit:
Obtenir autant d'infos sur vous est peu banal:
- savoir que vous êtes client de Fortunéo
- votre numéro de compte ou identifiant
- votre numéro de téléphone fixe
- votre mot de passe, sinon, pas d'accès possible au solde et aux virements.

Tout à fait. Je pense qu'il y a d'abord eu du phishing, ou en tout cas récupération de toutes ces informations d'une manière ou d'une autre.

ZRR_pigeon · 14 Octobre 2014

TGBT a dit:
Bonjour,

sans être expert en informatique, Fortuneo fait partie des banques qui ont conservé des mots de passe à saisir dans un champ pour s'identifier (ces données peuvent être stockées dans votre navigateur et récupérées par un hacker). C'est moins sûr qu'un pavé numérique à titre de comparaison.

exact, c'est archaique, et hormis le credit mutuel, plus personne n'utilise cette methode d'un autre age.....

Juloup · 14 Octobre 2014

ZRR_pigeon a dit:
exact, c'est archaique, et hormis le credit mutuel, plus personne n'utilise cette methode d'un autre age.....

Ce n'est pas parce que le troupeau court dans un sens, que c'est la bonne direction...
Le clavier virtuel peut être aussi facilement intercepté qu'un champ de saisie avec n'importe quel malware digne de ce nom, ça n'apporte aucune réelle sécurité supplémentaire.

ZRR_pigeon · 15 Octobre 2014

ca demande de pirater deux saisies successives sur deux ecrans successifs.

Juloup · 15 Octobre 2014

Je répondrais un peu comme Saluste dans La Folie des Grandeurs : quand on a piraté le 1er écran, le 2e n'est pas loin : [lien réservé abonné]

Turbo-057 · 15 Octobre 2014

Clavier virtuel ou saisie directe c'est kif kif pour un bon hacker. Faut passer de suite au minimum à l'authentification double facteur.
La sécurité des banques francaises voulant rester sur le mode classique est de mon avis largement obsolète et demanderait rapidement une revue.

Pour l'heure les meilleurs moyens restent des moyens "additionnels" ajout d'un token extérieur avec OTP par exemple.

Au GdL les banques ont toutes adopté le principe du token qui est d'ailleurs réutilisable pour les administration fiscales, CNPF, CNAP (bref tous les organismes officiels) c'est bien plus sécure que le volet code/password classique qu'il soit saisi par un clavier directe ou virtuel.

Quelques liens sur ce sujet :
[lien réservé abonné]
[lien réservé abonné]

Mais bon des solutions miracle il n'en existe pas il y a toujours des moyens de piratage après l'usage d'appareillage externe compléxifie plus que fortement la donne pour un pirate.

ZRR_pigeon · 15 Octobre 2014

les banques suisses utilisent des authentifier USB, c'est pas ultime, mais c'est deja pas mal.

€nzo · 18 Octobre 2014

anou-et a dit:
FORTUNEO n'est pas bien protégé (à mon avis) !

@+

Tout à fait d'accord, Fortuneo ne semble pas au top de la sécurité, rien qu'à voir comment on tape son mot de passe pour se connecter.
Cette semaine j'ai reçu un appel sur mon portable: "Bonjour c'est de la part de Fortuneo, il y a quelques soucis de sécurité sur votre compte, vous êtes bien Mr XXXXX, je vais vous poser quelques questions pour vérifier...".
Bien évidemment, j'ai tout de suite pensé à un escroc... quel idiot va donner des renseignements confidentiels à un inconnu qui vous appelle. J'ai donc raccroché, mais je suis allé quand même vérifier mon accès internet Fortuneo, et là j'ai pu constater qu'il était effectivement bloqué. Je les ai appelé et on m'a confirmé qu'ils avaient essayé de me joindre. A mon étonnement sur la méthode utilisée pour "me protéger" (pourquoi ne pas m'envoyer un mail ou sms en me demandant de les rappeler?) une conseillère un peu agacée m'a répondu que "nous ne pouvons pas faire autrement" (sic!).
Voilà qui peut donner d'autres idées à des pirates, vous appeler en vous faisant croire qu'ils sont Fortuneo!
Conclusion: Fortuneo=méfiance, et changez souvent de mot de passe...