08 12 2019
Retour a la home
Rubrique Économie
Économie
Rubrique Société
Société
Rubrique Technologies
Technologies
Rubrique Culture
Culture
MOTS CLÉS
 
Tous les mots

DOSSIERS...
 Le projet |  L’équipe |  L’association |  Nos outils  | Actualités |  Sources |  Alertes  
Abonnés : connectez-vous

 
Oubli du mot de passe
TRANSFERT S'ARRETE
Transfert décryptait l'actualité des nouvelles technologies, proposait un fil info quotidien et une série d'outils de veille. Notre agence, refusant toute publicité, dépendait de ses abonnements.
  COPINAGES
Ecoutez Routine.
Protégez-vous.
Chiffre du jour
700 000
dépistages génétiques chaque année en Europe, selon la Commission européenne (...)
Revue de Web
 Lindows harcelé
 Cyberdissidents vietnamiens en appel
 Plus de CO2 = moins d’eau potable
Phrase du jour
"Ce service public que nous assurons a besoin de votre soutien pour perdurer"
L’association Inf’OGM, qui justifie la fin de la gratuité de son bulletin d’information (...)

Dossier
Le nucléaire mis au secret
Dossiers récents
 Racisme en ligne : l’affaire Sos-racaille
 Le fichage des passagers aériens
 La bataille des brevets logiciels
 L’impasse énergétique
 L’hydrogène, une énergie (presque) propre
Tous les dossiers
Spacer
Unes de la semaine

lundi 1er/12 Transfert.net

vendredi 28/11 Économie

jeudi 27/11 Société

mercredi 26/11 Culture

mardi 25/11 Économie

Spacer


2/07/2001 • 18h59

L’attitude de Kitetoa est moins sportive qu’avant

Marc Lanvin est directeur clientèle chez Banque Directe, filiale du groupe BNP-Paribas. Rompant le silence des groupes face à ce type de problèmes, il commente les révélations de Kitetoa sur les défauts de sécurisation des comptes bancaires Banque Directe.

Kitetoa a découvert il y a un an que 10 000 comptes de vos clients se baladaient sur Internet sans protection. Qu’est-ce qui s’est passé ?

D’abord, Kitetoa est tombé sur des fichiers de trace, et non des fichiers de log. Cela signifie que notre ex-prestataire d’ingénierie informatique, Atos avait mis en mémoire sur un site certaines opérations réalisées par nos clients. Ceci dans le but d’observer ce qui se passait mal lors des opérations, pour débuguer. Atos a supprimé les fichiers en dix minutes. Il n’y a pas eu de préjudice ni pour nous ni pour nos clients, c’est pourquoi nous n’avons pas éprouvé le besoin de poursuivre notre ex-prestataire. Je ne vous dis pas que nos relations se sont améliorées après cela, mais comme nous n’étions plus en contrat... À l’époque, nous avions discuté avec les membres de Kitetoa, qui généralement ont la politesse d’informer les gens quand ils trouvent des failles de sécurité.

Kitetoa estime que 10 000 comptes étaient mal sécurisés. C’est énorme !

Il a procédé à une estimation à la louche. Il n’y en avait pas 10 000, mais un certain nombre.

Combien ?

En fait, ces traces étaient réalisées par Atos pour étudier un cas précis de téléchargement qui ne fonctionnait pas bien. Par conséquent, on retrouvait souvent le login et le mot de passe du même client. Cela fait quelques milliers de comptes.

Kitetoa dit avoir cité le nom de Banque Directe parce que vous n’avez pas changé les mots de passe de vos clients...

Les cas concernés ont été traités par nos soins. On a changé les mots de passe à bon escient. De mémoire, au cours de cette opération de rattrapage, moins de 2 000 personnes auxquelles nous avions envoyé une recommandation ont changé leur mot de passe. Puis nous avons mis sous observation toutes les opérations concernées : il faut savoir que les clients qui pouvaient être touchés par cette faille de sécurité avaient un attribut commun. Ce n’est pas un produit financier particulier, mais je ne peux pas vous en dire plus. En tous cas, nous avons eu zéro contestation de la part de nos clients, zéro opérations douteuses après cette affaire.

Vous n’avez pas communiqué auprès de tous vos clients...

On n’en a pas fait des gorges chaudes. Il fallait surtout penser à la sécurité. Nous leur avons conseillé de changer leur mot de passe. La faute ne venait pas de nous ; si ça avait été le cas, nous aurions fait une opération de masse.

Kitetoa fait état de possibilité de fraudes par téléphone : il suffit de deux chiffres pour retrouver son mot de passe égaré, c’est suffisant pour un pirate.

Là, il n’existe pas de faille, c’est statistique. Une question de probabilité. Le client qu’il a cité se souvenait déjà d’un chiffre de son mot de passe ; il avait donc une chance sur cent de retrouver les deux. Alors que ceux qui ne connaissent aucun chiffre ont une chance sur 10 000. Par itérations successives, en tapant plusieurs numéros, ce client pouvait retrouver son mot de passe. Mais ce n’est plus possible. Depuis décembre 1998, au bout de trois essais, on est grillé. En plus, le cas étudié par Kitetoa est théorique.

C’est tout de même inquiétant de se rendre compte que l’une des banques françaises les plus en avance sur Internet n’est pas à l’abri des pirates ?

Les problèmes évoqués par Kitetoa sont deux cas très anciens, qui ont été vus, résolus, et traités en temps et en heure. Je pense que Kitetoa, qui adopte une position critique par rapport aux grands groupes, a fait un amalgame entre Banque Directe et Atos, BNP, "qui travaillent comme des cochons". Pourtant, les failles datent d’une époque antérieure au rachat par la BNP. Et je trouve l’attitude de Kitetoa un peu moins sportive qu’avant, lorsqu’ils nous avertissaient des risques. D’autant plus que la sécurité est plus qu’une obsession pour nous. On n’a pas eu une seule contestation d’un ordre qui n’aurait pas été passé par le client, sauf le coup classique du mari qui vole sa femme. Quant aux fraudes informatiques – je touche du bois – nous n’en avons eues aucune. Personne chez nous ne connaît les données des clients, elles sont toutes cryptées, on envoie les codes confidentiels par courrier, on garde même des traces pour vérifier que les virements ne partent pas dans la nature...

 
Dans la même rubrique

28/11/2003 • 19h29

Quand le déclin de la production pétrole mondiale va-t-il débuter ?

28/11/2003 • 19h19

Les réserves de pétrole sont dangereusement surévaluées, dénonce un groupe d’experts

25/11/2003 • 19h13

Les hébergeurs indépendants ne sont toujours pas responsables, pour l’instant

25/11/2003 • 19h04

Les licences Creative Commons bientôt disponibles en français

21/11/2003 • 19h36

Deux affaires judiciaires relancent la polémique sur la responsabilité des hébergeurs
Dossier RFID
Les étiquettes "intelligentes"
Dernières infos

28/11/2003 • 18h33

La Criirad porte plainte contre la Cogema pour avoir diffusé des infos sur les déchets nucléaires

27/11/2003 • 19h01

Un traité onusien veut obliger les belligérants à nettoyer les "résidus explosifs de guerre"

27/11/2003 • 17h14

La Cnil met les"étiquettes intelligentes" sur sa liste noire

26/11/2003 • 19h06

"The Meatrix", un modèle de dessin animé militant, hilarant et viral

26/11/2003 • 18h54

Un observatoire associatif pour lutter contre les inégalités

26/11/2003 • 18h47

Pour les Etats-Unis, les essais nucléaires ne sont pas encore de l’histoire ancienne

24/11/2003 • 22h09

EDF refuse d’étudier la résistance de l’EPR à une attaque de type 11-septembre

24/11/2003 • 18h36

La Grèce bannit la biométrie de ses aéroports à un an des Jeux olympiques

24/11/2003 • 18h16

10 000 manifestants réclament la fermeture de la School of Americas

21/11/2003 • 19h04

Un anti-raciste poursuivi en justice pour antisémitisme

21/11/2003 • 18h48

Le festival Jonctions confronte art, technologies et éthique

20/11/2003 • 19h28

Un fonctionnaire ne peut utiliser sa messagerie professionnelle à des fins religieuses

20/11/2003 • 19h00

Les technologies de surveillance automatisée tiennent salon au Milipol 2003

20/11/2003 • 18h22

Zouhaïr Yahyaoui libre, les cyberdissidents tunisiens restent harcelés par le régime

20/11/2003 • 16h29

Le site parodique Send Them Back milite pour le renvoi de tous les mp3 "volés" à la RIAA


Contacts |  Haut de page |  Archives
Tous droits réservés | © Transfert.net | Accueil
Logiciels libres |  Confidentialité |  Revue de presse