Kitetoa a découvert il y a un an que 10 000 comptes de vos clients se baladaient sur Internet sans protection. Qu’est-ce qui s’est passé ?

D’abord, Kitetoa est tombé sur des fichiers de trace, et non des fichiers de log. Cela signifie que notre ex-prestataire d’ingénierie informatique, Atos avait mis en mémoire sur un site certaines opérations réalisées par nos clients. Ceci dans le but d’observer ce qui se passait mal lors des opérations, pour débuguer. Atos a supprimé les fichiers en dix minutes. Il n’y a pas eu de préjudice ni pour nous ni pour nos clients, c’est pourquoi nous n’avons pas éprouvé le besoin de poursuivre notre ex-prestataire. Je ne vous dis pas que nos relations se sont améliorées après cela, mais comme nous n’étions plus en contrat... À l’époque, nous avions discuté avec les membres de Kitetoa, qui généralement ont la politesse d’informer les gens quand ils trouvent des failles de sécurité.

Kitetoa estime que 10 000 comptes étaient mal sécurisés. C’est énorme !

Il a procédé à une estimation à la louche. Il n’y en avait pas 10 000, mais un certain nombre.

Combien ?

En fait, ces traces étaient réalisées par Atos pour étudier un cas précis de téléchargement qui ne fonctionnait pas bien. Par conséquent, on retrouvait souvent le login et le mot de passe du même client. Cela fait quelques milliers de comptes.

Kitetoa dit avoir cité le nom de Banque Directe parce que vous n’avez pas changé les mots de passe de vos clients...

Les cas concernés ont été traités par nos soins. On a changé les mots de passe à bon escient. De mémoire, au cours de cette opération de rattrapage, moins de 2 000 personnes auxquelles nous avions envoyé une recommandation ont changé leur mot de passe. Puis nous avons mis sous observation toutes les opérations concernées : il faut savoir que les clients qui pouvaient être touchés par cette faille de sécurité avaient un attribut commun. Ce n’est pas un produit financier particulier, mais je ne peux pas vous en dire plus. En tous cas, nous avons eu zéro contestation de la part de nos clients, zéro opérations douteuses après cette affaire.

Vous n’avez pas communiqué auprès de tous vos clients...

On n’en a pas fait des gorges chaudes. Il fallait surtout penser à la sécurité. Nous leur avons conseillé de changer leur mot de passe. La faute ne venait pas de nous ; si ça avait été le cas, nous aurions fait une opération de masse.

Kitetoa fait état de possibilité de fraudes par téléphone : il suffit de deux chiffres pour retrouver son mot de passe égaré, c’est suffisant pour un pirate.

Là, il n’existe pas de faille, c’est statistique. Une question de probabilité. Le client qu’il a cité se souvenait déjà d’un chiffre de son mot de passe ; il avait donc une chance sur cent de retrouver les deux. Alors que ceux qui ne connaissent aucun chiffre ont une chance sur 10 000. Par itérations successives, en tapant plusieurs numéros, ce client pouvait retrouver son mot de passe. Mais ce n’est plus possible. Depuis décembre 1998, au bout de trois essais, on est grillé. En plus, le cas étudié par Kitetoa est théorique.

C’est tout de même inquiétant de se rendre compte que l’une des banques françaises les plus en avance sur Internet n’est pas à l’abri des pirates ?

Les problèmes évoqués par Kitetoa sont deux cas très anciens, qui ont été vus, résolus, et traités en temps et en heure. Je pense que Kitetoa, qui adopte une position critique par rapport aux grands groupes, a fait un amalgame entre Banque Directe et Atos, BNP, "qui travaillent comme des cochons". Pourtant, les failles datent d’une époque antérieure au rachat par la BNP. Et je trouve l’attitude de Kitetoa un peu moins sportive qu’avant, lorsqu’ils nous avertissaient des risques. D’autant plus que la sécurité est plus qu’une obsession pour nous. On n’a pas eu une seule contestation d’un ordre qui n’aurait pas été passé par le client, sauf le coup classique du mari qui vole sa femme. Quant aux fraudes informatiques – je touche du bois – nous n’en avons eues aucune. Personne chez nous ne connaît les données des clients, elles sont toutes cryptées, on envoie les codes confidentiels par courrier, on garde même des traces pour vérifier que les virements ne partent pas dans la nature...