Banque Directe: logins et mots de passe en balade sur le Net grâce à Atos et téléphone à t(r)ouches...?
|
||||||||
|
Préambule: Nous avions choisi de ne pas donner le nom
de cette banque en ligne dont les logins et mots de passe se sont baladés pendant une
période indéterminée sur le Net grâce à Atos. Pourquoi? Parce que nous pensions que
le fait de donner le nom de la banque allait concentrer l'attention sur la banque alors
que le problème venait d'Atos. Pourquoi révéler aujourd'hui le nom de cet
établissement? Pour deux raisons. La première est que la banque n'a pas pris la peine de
modifier les logins et mots de passe de ses clients. La seconde, c'est que nous avons eu
vent d'un autre défaut lié à l'identification par téléphone. Une certitude: au moins
10.000 logins/mots de passe dans la nature. Un doute: une possible faille dans le système
de consultation par téléphone... Cela nous a convaincu d'écrire la suite du papier initial paru dans la méga-Kite-teuf en juillet 2000. Souvenez-vous... Nous avions publié un papier en juillet 2000 dans lequel nous évoquions le fait que des logins et mots de passes d'une grosse banque en ligne étaient stockés sur une serveur Web public par Atos sans aucune protection. La banque en question, Banque Directe, et Atos n'avaient alors plus de relation commerciale. Pourtant, les experts d'Atos continuaient de logguer les connexions des clients de la banque via le Web. Pire, ils stockaient en clair ces logins et passwords dans des fichiers textes, eux-mêmes zippés dans un site Web a accès public. Nous avions donc pu prendre connaissance de ces fichiers et y découvrir l'étendue des dégâts. Il est impossible de compter précisément le nombre de logins/mots de passe. Mais à la louche voici ce que cela donne... Il y a 234 fichiers Zip. La plupart font environ 5 ou 6 Ko. Certains 2Ko, d'autres 16... Dans les fichiers de 6Ko, on peut dénombrer environ 45 logins/mots de passe. Bilan des courses: 234 X 45 = 10.530 comptes exposés... Au bas mot. Vous imaginez bien que si nous étions tombés sur ce serveur, d'autres avaient dû le découvrir aussi avant nous. Pas après. En effet, après notre coup de fil à Banque Directe, le serveur a été retiré du Net en 15 minutes chrono. Comme quoi certains ex-clients ont un peu de poids lorsqu'ils appellent Atos. Comme quoi également, lorsque l'on veut agir face à un problème de sécurité, c'est simple et ultra rapide. foin de procédures foireuses... A l'époque du premier papier nous n'avions pas souhaité donner le nom de la banque. Parce qu'elle n'avait rien à voir avec le problème. La faute incombait à Atos. Or nous supputions que la publication du nom de la banque focaliserait l'attention de la presse. Atos s'en serait sorti à bon compte tandis que la banque aurait été accablée pour rien. Toutefois, nous pensions vraiment que dans le mois suivant cette histoire, Banque Directe allait modifier les mots de passe des clients. Genre "bonjour cher client, à l'occasion d'une refonte de nos systèmes informatiques nous vous attribuons un nouveau couple login/mot de passe"... Rien. On attend toujours... Téléphone à t(r)ouches? Il y a quelques semaines, au cours d'une rencontre avec un spécialiste de la sécurité informatique la conversation dérive. "Bla-bla, visite dans telle société, bla-bla.... un mec...bla-bla-bla, capable de récupérer son code secret d'identification à Banque Directe par téléphone quand il l'oublie".... Tilt... Manquait plus que ça, se dit votre Kitetoa... Il se trouve que nous avons pu rencontrer en quelques coups de Net ledit monsieur qui peut récupérer son code secret. Il nous a confirmé qu'il avait pu le faire. Explications... Lorsque le client Banque Directe s'identifie au téléphone, on lui demande son numéro de client et 2 chiffres de son code secret qui en compte 5. Et, nous explique notre interlocuteur, deux, c'est très peu. Nous n'expliquerons pas ici la méthodologie qui permet de récupérer les codes secrets... En revanche, si nous n'avons pas reproduit ou fait reproduire cette manip par notre interlocuteur, nous ne doutons pas un instant de sa parole. Deux événements fâcheux... Kitetoa, Banque Directe et Zebank... Ce n 'est pas un mystère, tout le monde est au courant, nous ne miserions pas un franc sur le business model de Zebank. Nous pensons que La campagne de teasing organisée autour du lancement (et même du pré-lancement) étaient stupides, qu'elles relevaient des méthodes les plus nulles des pubeux cuvée années 80. Nous nous sommes moqués de cette banque et du niveau de sécurité de plusieurs de ses serveurs plusieurs fois. Nous avons eu de nombreux échos internes au cours du développement par Sema qui nous laissent supposer que le bébé a été très dur à accoucher et que le résultat n'est pas forcément optimal. Mais c'est vrai que ça doit être compliqué à mettre en place un truc comme ça... Voilà que nous publions un papier pas très amical pour Banque Directe. Zebank va se frotter les mains. J'imagine déjà le pauvre Jaffré assis sur son tas de stock options (quelqu'un a de la mémoire dans la salle?) se frottant les mains s'il lit ce texte... Mais le monde de la banque est terrible. Affreux même. Pour commencer, moi, à la place de Jaffré, je ne me frotterais pas les mains. Simplement parce que dans 1 an, un peu plus ou un peu moins, qui sait..., ses troupes vont installer un serveur en plus quelque part. Et ils vont oublier un patch... Et Kitetoa ou un autre sera là. Nous on fera un papier. L'autre... Qui sait? Ensuite, je ne me frotterais pas les mains parce que rien ne dit que Zelabanque va marcher. Le coût d'acquisition d'un client a l'air fort cher... Et le rythme actuel annoncé ne tiendra peut être pas longtemps... Bien sûr, on ne ferme pas une banque comme on ferme une usine et les actionnaires vont devoir y perdre leur chemise avant de fermer si ça ne marche pas... Mais quand même... Enfin, ne jouons pas les Cassandre. Si ça se trouve, ça va marcher... Pourquoi faire une mauvaise pub avec ce papier à des pionniers du Net (financier) me direz-vous? En effet... Banque Directe a toujours été pionnière. Elle est née à l'Atelier de la Compagnie Bancaire (banque mangée par Paribas, elle-même dévorée par le B.N.P. à la suite d'un raid raté). On ne dira jamais assez combien le rôle de l'Atelier et de son "patron" Jean-Michel Billaut a été important pour le développement du Net en France. Aujourd'hui, la situation a un peu changé. La B.N.P. qui est totalement has-been dans le domaine d'Internet (c'est mon opinion et je la partage) a pris la main sur ce vivier (Paribas). Que faire de tout ça? Première idée, mettre Jean-Michel Billaut sous tutelle en plaçant une BNPéiène à la tête de l'Atelier et tenter de le rentabiliser. Mauvaise idée... Changer la direction de Banque Dirtecte pour y mettre des BNPéiens. Mauvaise idée... Imposer la marque de fabrique de la B.N.P. que tous ses anciens clients connaissent: un service clientèle totalement nul. Aucune personnalisation... Bref... Un gros dinosaure bancaire... La Banque Directe perd peu à peu son âme. A tel point qu'elle fait une communication "à deux balles" pour une carte bancaire Internet qui ne fait pas grand chose de plus qu'une carte normale. Mais passons... Quelqu'un a de la mémoire dans la salle disais-je? Qui se souvient du nom de la SSII qui a développé le système informatique de Banque Directe? Sema. Qui se souvient du chef de projet expliquant, justement, à l'Atelier, combien cela avait douloureux? Qui se souvient du nom de la SSII qui a réalisé le système informatique de Zebank? (c'est pour voir si vous suivez...). Sema... Le monde est petit hein? Ugly Discours Marketing... C'est beau comme un poulain qui nait un matin, dans la campagne recouverte de rosée, sous un soleil naissant qui caresse le monde subtil des micro-animoïdes. Voilà ce que la Banque directe balance ces jours-ci... Banque Directe et Wanadoo annoncent un partenariat stratégique pour promouvoir les services bancaires en ligne. Banque Directe, leader de la banque en ligne, filiale de BNP Paribas, et Wanadoo, leader français de lInternet et filiale du Groupe France Télécom, annoncent la signature dun partenariat stratégique visant à commercialiser une offre bancaire en ligne, spécifique pour les internautes de Wanadoo, Voila et Alapage. Dans le cadre de cet accord, les sites wanadoo.fr, voila.fr et alapage.com recommanderont dès lautomne, de manière exclusive, auprès de leurs visiteurs et abonnés, loffre bancaire de Banque Directe (compte courant et services associés, bourse en ligne, épargne rémunérée à 5 % et autres placements, crédits à la consommation ). Banque Directe proposera ainsi en exclusivité sur les sites de Wanadoo la souscription à ses produits et à ses services ainsi que la consultation et la gestion des comptes.Les internautes de Wanadoo bénéficieront désormais des moyens de paiement sécurisés développés par Banque Directe, en particulier la Directe Card, première carte de paiement VISA offrant des garanties de remboursement en 48 heures en cas de fraude sur Internet. Cette offre, aujourdhui unique en France, devrait accélérer le développement du e- commerce et constituer un service supplémentaire pour les Wanadiens. Nicolas Dufourcq, Président Directeur Général de Wanadoo, précise :« Proposer sans cesse à nos clients plus de services utiles et pratiques, faciles daccès, telle est la mission de Wanadoo. Grâce au partenariat commercial que nous venons de mettre en place avec Banque Directe, je suis sûr que nous allons contribuer de manière active au développement des usages bancaires sur Internet. De surcroît, Banque Directe nous permet de bénéficier dun savoir faire unique et reconnu dans les services en ligne et la sécurisation des paiements ». Jean-Bernard Lafonta, Président de Banque Directe, ajoute : « Banque Directe a choisi de fonder son développement sur linnovation produits et les partenariats avec des marques de référence sur leur marché. Les portails Wanadoo, Voila et Alapage sont leaders en France et disposent dune audience de premier plan. En nous associant à Wanadoo, nous faisons le choix de travailler avec des sites bénéficiant dune très grande notoriété, qui allient qualité des contenus et sérieux de loffre au plan européen ». Banque Directe, filiale de BNP Paribas, est le leader de la banque en ligne avec 100 000 clients et 135 000 comptes en progression de 40 % sur un an. Cest la banque de référence sur le net avec 75 % des contacts clients par Internet et une augmentation de 65 % des pages vues sur 2000, place le site de Banque Directe en tête de son classement parmi près de 50 sites de banques banquedirecte.fr depuis un an. Létude Forrester Best of Europes net banking de novembre traditionnelles et en ligne de lUnion Européenne. Entreprise de média Internet leader en France, filiale du groupe France Télécom, Wanadoo recouvre la totalité de la chaîne de valeur Internet : Accès à Internet, Portails avec Wanadoo, Voila mais aussi les sites thématiques Goa ou Ridingzone, E-commerce avec la plate-forme Alapage, Annuaires et enfin Services aux professionnels. Cet ensemble dactivités regroupé au sein deWanadoo, le dynamisme de sa croissance externe illustrée par les récentes acquisitions de Freeserve, leader de laccès à Internet en Grande Bretagne, ou celle dIndice Multimedia, second opérateur dannuaires en Espagne et ladhésion de ses clients toujours plus nombreux (près de 5 millions de clients au 31 mars 2001), inscrivent Wanadoo parmi les acteurs majeurs de lInternet en Europe. Avec Wanadoo, France Telecom, la Net Compagnie, conforte son ambition dêtre un leader sur le marché de linternet en Europe. Contacts Presse Banque Directe C'est pas beau un tel discours marketeinge? Special Greets: :))))
|
Page d'accueil Nous écrire By mail Nous envoyer des commentaires By la page de le Feed-Back |
Nouveautés
et... |
Le Sommaire de Kitetoa (orientation...) Sommaire général du site |
Les
rubriques! Les
livres publiés par Kitetoa |
Les
rubriques! (suite) Les Let-R-s Des Images On s'en fout! KitEcout' KessTaVu? -KiteToile Voyages |
Les dossiers : Precision [ZataZ] Le monde fou des Admins Defcon Le hack le plus bizarre Guerre de l'info Convention contre la cyber-criminalité Hack |
Questionnaire visant à améliorer le contenu de ce site si c'est possible et pas trop compliqué |
Rechercher sur le site ...et sur le Net Des liens et D'autres choses du Ouèb |