Piratage à la Banque Postale, 25 millions d’euros envolés ?

Depuis plusieurs mois, des internautes s’étonnaient de découvrir qu’un pirate s’était invité dans leur compte de La Banque Postale alors qu’ils étaient utilisateurs du système de sécurité CERTICODE. La réponse à ces piratages semble enfin sortir de l’ombre.

CERTICODE, un système de sécurité de type double authentification mis en place par la Banque Postale. L’idée, transformer votre téléphone mobile (ou votre téléphone fixe pour les clients résidents à l’étranger uniquement) comme clé de sécurité. « Vous bénéficiez d’une protection renforcée pour certaines de vos opérations réalisées depuis votre Espace client Internet. » explique le site officiel. RTL vient de révéler que plusieurs pirates informatiques viennent d’être arrêtés après avoir utilisé une faille dans ce système.

25 millions envolés ?

Lors d’un achat sur internet, La Banque Postale envoie un code par SMS, le CERTICODE. Code qu’il faut réécrire sur le site en guise de confirmation. Cela doit éviter les paiements frauduleux. Sauf si un pirate réussi à se faire passer pour votre téléphone. La vulnérabilité exploitée par les 4 hommes arrêtés semble avoir été exploitée par d’autres pirates. Les quatre voleurs auraient réussi à détourner 800.000 euros. Depuis l’existence de cette faille, se serait 25 millions d’euros à s’être envolées dans les poches de malveillants. La technique est malheureusement assez simple, usurpation du téléphone portable des personnes visées. Clonage de la puce, et le tour est joué. Les pirates se retrouvent à recevoir le code CERTICODE à la place des propriétaires légitimes du compte en banque. Une escroquerie qui semble courir le web depuis plusieurs années. Des  plaintes d’internautes apparaissent en 2012.

Parmi les autres possibilités des pirates, pour mettre la main sur Certicode, téléphoner directement à la banque. Il faut, pour cela, que les victimes aient donné leurs identifiants de connexion (via un phishing par exemple, ndlr zataz.com). L’escroc n’a plus qu’à se faire passer pour le client et réclamer toutes les modifications nécessaires pour valider des transactions financière frauduleuses.

Que faire face à ce genre d’attaque

D’abord, méfiez-vous des courriels aux couleurs de votre banque. ZATAZ.COM ne cesse de vous le répéter, votre banque ne vous réclamera jamais vos identifiants de connexion, et encore moins les données de votre double authentification. Le Crédit Mutuel, par exemple, rembourse de moins en moins les clients piégés par un hameçonnage, considérant que les clients sont largement informés sur les attaques pirates. Ensuite, mettez en place une procédure « humaine » avec votre attaché financier. En cas d’achat non prévu, alertez le en amont. Les banques, via leurs équipes de veille, sont de plus en plus efficace, mais les pirates aussi. Dernier point, ne perdez JAMAIS de vu votre téléphone portable.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Hélène Pizzuto Reply

    Bonsoir , moi je suis a la banque postale . Et ont ma pirater mon compte bancaire , il m ont même changé mes identifiants , et ils même fait des virements dans deux banque BNP Paribas un a mon non et un autre aux non d une femme que je connais pas .donc j ai lue votre article et la poste c est bien fait pirater sur sont site ?

    • Damien Bancal Reply

      Bonjour,
      Le cas que vous avez lu date de 2014. Je vous conseille de vous rapprocher de votre agence, d’autant que si des virements ont été orchestrés de compte Fr à compte FR, le problème va être très vite résolu.
      Cordialement

Répondre à Damien Bancal Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.