Le service en ligne de la banque permet de prendre le contrôle d’un compte tiers sans l’autorisation de son détenteur. Aucune connaissance informatique n’est nécessaire, un RIB suffit. Une broutille aux yeux du Crédit Lyonnais.
L’histoire qui suit n’est pas une fiction : les faits se sont déroulés tels que décrits, dans les moindres détails, le plus simplement du monde, sans aucune intention de mettre en défaut le système de sécurité. De quoi vous donner froid dans le dos.
Comme toutes ses banques, le Crédit Lyonnais propose un service sur Internet pour consulter ses comptes en ligne (CL Interactive). On peut également effectuer des virements entre comptes. Il est possible d’en faire sur des comptes de tiers mais, pour des raisons de sécurité, uniquement sur des comptes de clients de la banque. Jusqu’à une date récente, il suffisait d’indiquer le numéro de l’agence, le numéro du compte, la somme et le tour était joué.
Faites comme chez vous !
Depuis quelques semaines, il faut demander à la banque l’ajout du compte tiers sur lequel vous voulez effectuer un virement, dans votre propre espace de banque sur Internet. Vous remplissez le formulaire en ligne ; on vous indique que votre demande a été prise en compte et qu’on vous répondra dans un délais de cinq jours. Comme le temps passe sans que vous receviez de nouvelles, vous réglez votre virement par chèque et vous oubliez le reste. Et puis un jour, une lettre vous annonce que l’opération a été réalisée : au Crédit Lyonnais, on prend son temps.
Lorsque vous vous connectez, Ô surprise !, vous pouvez effectivement effectuer des virements, mais également prendre la main sur le compte ajouté, exactement comme si c’était le vôtre, consulter les opérations, les virements, l’en-cours carte bancaire. Etonnant, non ? Pour y parvenir, nul code à violer, nulle manoeuvre digne d’un hacker diabolique à effectuer ; il suffit d’indiquer les numéros d’agence et de compte : des informations qui figurent sur tous les RIB et les chèques.
Lorsque vous téléphonez pour signaler l’erreur, les réactions diffèrent selon les agences. Dans certaines, on comprend immédiatement la gravité de la situation, on s’excuse et on vous promet qu’on fera immédiatement le nécessaire. Par immédiatement, comprenez le lendemain. Le « voyeur » a tout son temps pour éplucher vos comptes.
Un espionnage quasiment indétectable
Dans d’autres d’agences, on relativise : « oui, on a reçu une note invitant à la prudence…. Il n’y a pas lieu de dramatiser…. Une erreur est toujours possible… » Et lorsqu’on laisse entendre qu’on pourrait quand même demander son avis au titulaire du compte qu’on désire ajouter, à l’agence on répond que la procédure serait bien lourde.
Car le titulaire du compte jeté en pâture à la curiosité n’a jamais été consulté. Le service informatique recueille uniquement l’avis du conseiller financier de celui qui demande l’ajout du compte tiers. C’est comme si vous vouliez emprunter 1 000 euros à quelqu’un et qu’on ne lui demande pas son accord mais celui de son conseiller.
Le pire est qu’il est impossible de savoir si, parmi tous ceux à qui vous avez remis chèques ou RIB, certains ne se sont pas amusés à ce petit jeu. Tant que le quidam n’effectue pas d’opérations et qu’il se contente de vous espionner, il est quasiment indétectable. Et serait-il repéré, que lui reprocher ? De s’être glissé dans les failles béantes du système ? C’est ça le secret bancaire au Crédit Lyonnais.
Cerise sur le gâteau, Interactive est un service payant. Généralement, on paie pour voir. Avec le Crédit Lyonnais, on paie pour risquer d’être vu.
[source – 01net.com] Anicet Mbida et Jean-Pierre Soulès