Banque Directe: logins et mots de passe en balade sur le Net grâce à Atos et téléphone à t(r)ouches...?

Souvenez-vous... Nous avions publié un papier en juillet 2000 dans lequel nous évoquions  le fait que des logins et mots de passes d'une grosse banque en ligne étaient stockés sur une serveur Web public par Atos sans aucune protection.

La banque en question, Banque Directe, et Atos n'avaient alors plus de relation commerciale. Pourtant, les experts d'Atos continuaient de logguer les connexions des clients de la banque via le Web. Pire, ils stockaient en clair ces logins et passwords dans des fichiers textes, eux-mêmes zippés dans un site Web a accès public.  Nous avions donc pu prendre connaissance de ces fichiers et y découvrir l'étendue des dégâts. Il est impossible de compter précisément le nombre de logins/mots de passe. Mais à la louche voici ce que cela donne...

Il y a 234 fichiers Zip. La plupart font environ 5 ou 6 Ko. Certains 2Ko, d'autres 16... Dans les fichiers de 6Ko, on peut dénombrer environ 45 logins/mots de passe. Bilan des courses: 234 X 45 = 10.530 comptes exposés... Au bas mot.

Vous imaginez bien que si nous étions tombés sur ce serveur, d'autres avaient dû le découvrir aussi avant nous. Pas après. En effet, après notre coup de fil à Banque Directe, le serveur a été retiré du Net en 15 minutes chrono. Comme quoi certains ex-clients ont un peu de poids lorsqu'ils appellent Atos. Comme quoi également, lorsque l'on veut agir face à un problème de sécurité, c'est simple et ultra rapide. foin de procédures foireuses...

A l'époque du premier papier nous n'avions pas souhaité donner le nom de la banque. Parce qu'elle n'avait rien à voir avec le problème. La faute incombait à Atos. Or nous supputions que la publication du nom de la banque focaliserait l'attention de la presse. Atos s'en serait sorti à bon compte tandis que la banque aurait été accablée pour rien. Toutefois, nous pensions vraiment que dans le mois suivant cette histoire, Banque Directe allait modifier les mots de passe des clients. Genre "bonjour cher client, à l'occasion d'une refonte de nos systèmes informatiques nous vous attribuons un nouveau couple login/mot de passe"... Rien.

On attend toujours...

Téléphone à t(r)ouches?

Il y a quelques semaines, au cours d'une rencontre avec un spécialiste de la sécurité informatique la conversation dérive. "Bla-bla, visite dans telle société, bla-bla.... un mec...bla-bla-bla, capable de récupérer son code secret d'identification à Banque Directe par téléphone quand il l'oublie".... Tilt... Manquait plus que ça, se dit votre Kitetoa... Il se trouve que nous avons pu rencontrer en quelques coups de Net ledit monsieur qui peut récupérer son code secret. Il nous a confirmé qu'il avait pu le faire. Explications...

Lorsque le  client Banque Directe s'identifie au téléphone, on lui demande son numéro de client et 2 chiffres de son code secret qui en compte 5. Et, nous explique notre interlocuteur, deux, c'est très peu. Nous n'expliquerons pas ici la méthodologie qui permet de récupérer les codes secrets... En revanche, si nous n'avons pas reproduit ou fait reproduire cette manip par notre interlocuteur, nous ne doutons pas un instant de sa parole.

Deux événements fâcheux...

Kitetoa, Banque Directe et Zebank...

Ce n 'est pas un mystère, tout le monde est au courant, nous ne miserions pas un franc sur le business model de Zebank. Nous pensons que La campagne de teasing organisée autour du lancement (et même du pré-lancement) étaient stupides, qu'elles relevaient des méthodes les plus nulles des pubeux cuvée années 80. Nous nous sommes moqués de cette banque et du niveau de sécurité de plusieurs de ses serveurs plusieurs fois. Nous avons eu de nombreux échos internes au cours du développement par Sema qui nous laissent supposer que le bébé a été très dur à accoucher et que le résultat n'est pas forcément optimal. Mais c'est vrai que ça doit être compliqué à mettre en place un truc comme ça...

Voilà que nous publions un papier pas très amical pour Banque Directe. Zebank va se frotter les mains. J'imagine déjà le pauvre Jaffré assis sur son tas de stock options (quelqu'un a de la mémoire dans la salle?) se frottant les mains s'il lit ce texte... Mais le monde de la banque est terrible. Affreux même. Pour commencer, moi, à la place de Jaffré, je ne me frotterais pas les mains. Simplement parce que dans 1 an, un peu plus ou un peu moins, qui sait..., ses troupes vont installer un serveur en plus quelque part. Et ils vont oublier un patch... Et Kitetoa ou un autre sera là. Nous on fera un papier. L'autre... Qui sait? Ensuite, je ne me frotterais pas les mains parce que rien ne dit que Zelabanque va marcher. Le coût d'acquisition d'un client a l'air fort cher... Et le rythme actuel annoncé ne tiendra peut être pas longtemps... Bien sûr, on ne ferme pas une banque comme on ferme une usine et les actionnaires vont devoir y perdre leur chemise avant de fermer si ça ne marche pas... Mais quand même... Enfin, ne jouons pas les Cassandre. Si ça se trouve, ça va marcher...

Pourquoi faire une mauvaise pub avec ce papier à des pionniers du Net (financier) me direz-vous? En effet... Banque Directe a toujours été pionnière. Elle est née à l'Atelier de la Compagnie Bancaire (banque mangée par Paribas, elle-même dévorée par le B.N.P. à la suite d'un raid raté). On ne dira jamais assez combien le rôle de l'Atelier et de son "patron" Jean-Michel Billaut a été important pour le développement du Net en France. Aujourd'hui, la situation a un peu changé. La B.N.P. qui est totalement has-been dans le domaine d'Internet (c'est mon opinion et je la partage) a pris la main sur ce vivier (Paribas). Que faire de tout ça? Première idée, mettre Jean-Michel Billaut sous tutelle en plaçant une BNPéiène à la tête de l'Atelier et tenter de le rentabiliser. Mauvaise idée... Changer la direction de Banque Dirtecte pour y mettre des BNPéiens. Mauvaise idée... Imposer la marque de fabrique de la B.N.P. que tous ses anciens clients connaissent: un service clientèle totalement nul. Aucune personnalisation... Bref... Un gros dinosaure bancaire... La Banque Directe perd peu à peu son âme. A tel point qu'elle fait une communication "à deux balles" pour une carte bancaire Internet qui ne fait pas grand chose de plus qu'une carte normale. Mais passons...

Quelqu'un a de la mémoire dans la salle disais-je? Qui se souvient du nom de la SSII qui a développé le système informatique de Banque Directe? Sema.

Qui se souvient du chef de projet expliquant, justement, à l'Atelier, combien cela avait douloureux?

Qui se souvient du nom de la SSII qui a réalisé le système informatique de Zebank? (c'est pour voir si vous suivez...). Sema...

Le monde est petit hein?

Ugly Discours Marketing...

C'est beau comme un poulain qui nait un matin, dans la campagne recouverte de rosée, sous un soleil naissant qui caresse le monde subtil des micro-animoïdes. Voilà ce que la Banque directe balance ces jours-ci...

Banque Directe et Wanadoo annoncent un partenariat stratégique pour   promouvoir les services bancaires en ligne.

Banque Directe, leader de la banque en ligne, filiale de BNP Paribas, et Wanadoo, leader français de l’Internet et filiale du Groupe France Télécom, annoncent la signature d’un partenariat stratégique visant à commercialiser une offre bancaire en ligne, spécifique pour les internautes de Wanadoo, Voila et Alapage.

Dans le cadre de cet accord, les sites wanadoo.fr, voila.fr et alapage.com recommanderont dès l’automne, de manière exclusive, auprès de leurs visiteurs et abonnés, l’offre bancaire de Banque Directe (compte courant et services associés, bourse en ligne, épargne rémunérée à 5 % et autres placements, crédits à la consommation …).

Banque Directe proposera ainsi en exclusivité sur les sites de Wanadoo la souscription à ses produits et à ses services ainsi que la consultation et la gestion des comptes.Les internautes de Wanadoo bénéficieront désormais  des  moyens de paiement sécurisés développés par Banque Directe, en particulier la Directe Card, première carte de paiement VISA offrant des garanties de remboursement en 48 heures en cas de fraude sur Internet.

Cette offre, aujourd’hui unique en France, devrait accélérer le développement du e- commerce et constituer un service supplémentaire pour les Wanadiens. Nicolas Dufourcq, Président Directeur Général de Wanadoo, précise :« Proposer sans cesse à nos clients plus de services utiles et pratiques, faciles d’accès, telle est la mission de Wanadoo. Grâce au partenariat commercial que nous venons de mettre en place avec Banque Directe, je suis sûr que nous allons contribuer de manière active au développement des usages bancaires sur Internet. De surcroît, Banque Directe nous permet de bénéficier d’un savoir faire unique et reconnu dans les services en ligne et la sécurisation des paiements ». Jean-Bernard Lafonta, Président de Banque Directe, ajoute : « Banque Directe a choisi de fonder son développement sur l’innovation produits et les partenariats avec des marques de référence sur leur marché. Les portails Wanadoo, Voila et Alapage sont leaders en France et disposent d’une audience de premier plan. En nous associant à Wanadoo, nous faisons le choix de travailler avec des sites bénéficiant d’une très grande notoriété, qui allient qualité des contenus et sérieux de l’offre au plan européen ».

Banque Directe, filiale de BNP Paribas, est le leader de la banque en ligne avec 100 000 clients et 135 000 comptes en progression de 40 % sur un an. C’est la banque de référence sur le net avec 75 % des contacts clients par Internet et une augmentation de 65 % des pages vues sur 2000, place le site de Banque Directe en tête de son classement parmi près de 50 sites de banques banquedirecte.fr depuis un an. L’étude Forrester   “ Best of Europe’s net banking ” de novembre traditionnelles et en ligne de l’Union Européenne.

Entreprise de média Internet leader en France, filiale du groupe France Télécom, Wanadoo recouvre la totalité de la chaîne de valeur Internet : Accès à Internet, Portails avec Wanadoo, Voila mais aussi les sites thématiques Goa ou Ridingzone, E-commerce avec la plate-forme Alapage, Annuaires et enfin Services aux professionnels. Cet ensemble d’activités regroupé au sein deWanadoo, le dynamisme de sa croissance externe illustrée par les récentes acquisitions de Freeserve, leader de l’accès à Internet  en Grande Bretagne, ou celle d’Indice Multimedia, second opérateur d’annuaires en Espagne et l’adhésion de ses clients toujours plus nombreux (près de 5 millions de clients au 31 mars 2001), inscrivent Wanadoo parmi les acteurs majeurs de l’Internet en Europe. Avec Wanadoo, France Telecom, la Net Compagnie, conforte son ambition d’être un leader sur le marché de l’internet en Europe.

Contacts Presse

Groupe France Télécom
Nilou du CASTEL / Elizabeth BOZZI
Tél : 01 44 44 93 93
E-mail : nilou.ducastel@francetelecom.com
E-mail : elisabeth.bozzi@francetelecom.com

Banque Directe
Anne Souvayre
Tél : 01 40 67 34 57
E-mail : anne.souvayre@banquedirecte.fr

C'est pas beau un tel discours marketeinge?

Kitetoa

Special Greets:
Notre clone virtuel (faudra quand même qu'on publie sa photo un jour) souhaite féliciter la chargée de la communication "à deux balles" de la Banque Directe pour sa parfaite gestion des papiers qui lui déplaisent. Inutile de chercher dans votre plan média. Vous n'avez pas acheté d'espace sur Kitetoa.com. Inutile donc de chercher à nous couper les fonds de votre campagne de pub...

:))))