- connexion banque depuis ailleurs que chez moi : jamais. Certain.
- procédure banque : il faut donner son n° de compte, sa date de naissance, son identifiant pour le portail, et ensuite seulement on reçoit un courrier postal avec le nouveau mot de passe. Jamais eu recours.
- plantage lors de la connexion : pas à mon souvenir, ma femme non plus. On n’a jamais eu de souci avec ça.
- connexion depuis un mail : jamais, on est vigilant au phishing. Uniquement à partir du portail, dont l’adresse est en favori dans Firefox (je n’utilise que ce navigateur). On ne tape jamais l’adresse manuellement, je dois le reconnaître. Le favori renvoie pourtant vers un https.
Penses-tu que la procédure Chrome que tu décris est possible avec Firefox ? (j’ai un profil google loggé en permanence sur mon navigateur) Je pense qu’il y a un lien avec la déviation téléphonique mise en place : le type a du appeler ma banque et se faire rappeler sur mon fixe, qui a renvoyé vers son mobile. Ca plus qqs infos personnelles glânées avec mon FAI, ça peut-être suffi a berner l’interlocuteur… mais je doute que des employés puissent être aussi légers avec les ID/MDP des usagers : donner ces infos par téléphone, ça me semble un peu trop gros.
Sinon pour les résultats de HijackThis, j’ai une récurrence bizarre de svchost\system32, qui semble relevé comme “méchant”… je ne comprends pas grand-chose au compte-rendu qu’il m’envoie. Est-ce que je peux t’en envoyer une copie par mail pou interprétation ?
Oui tu peux me le mettre en mp, mais svchost\system32 c’est vraiment un peu juste comme information : il y a des processus légitimes qui l’utilisent.
Pour le coup du favori modifié, c’est éventuellement possible avec firefox. En fait cela dépend de si tu lui fait ou non synchroniser tes favoris.
Je ne pense pas que la banque ait communiqué le mot de passe, mais après tout s’est il effectivement connecté à ton espace personnel ? Il a éventuellement pu procéder par fax avec la banque et berner un employé pour effectuer le virement.
Synchroniser Firefox, je n’ai jamais fait. Pas d’autre machine équipée.
Mr Popo, de tout coeur avec toi et ta famille même si concernant le pêtage de trucs virtuels j’y connais que dalle.
Ce que je ne comprends pas c’est qu’un virement ai pu être fait sur le site de la banque vers un compte externe sans authentification autre que le mot de passe d’accès aux comptes …
Par chez moi j’ai un mot de passe pour accéder à mes comptes; avec celui-ci je peux déjà faire pas mal de choses; mais pour pouvoir effectuer un virement externe on me demande une confirmation (authentification forte); via un code à saisir avec une petite “calculatrice” dans laquelle je mets ma carte bancaire (et doit donc saisir mon code PIN).
La pour moi la banque est clairement en défaut … (ou alors j’ai zappé un élément de l’affaire).
Bon courage à toi en tout cas !
En fait, tout est interne à la même banque : le virement a été fait vers un autre compte, avec un nom et un IBAN que je peux voir sur mon relevé. Certainement bidons, peut-être même ceux d’une autre victime, qui sait.
Je ne connais pas assez les arcanes bancaires pour être au fait des procédés divers. Mais il y a un truc pas clair. Avec l’aide de Jérémie, j’ai peut-être identifié un keylogger sur ma machine, qui pourrait être à l’origine de l’intrusion. Mais ça ne concorde pas complètement : pourquoi prendre le contrôle de ma messagerie et dévier ma ligne téléphonique si ce n’est pour blouser un interlocuteur interne à la banque ? Un keylogger aurait suffi, sans qu’il soit besoin d’aller bidouiller du côté de mon FAI.
Mais bon, seul le journal des logs de la banque pourra dire qui a accédé au compte et depuis quelle IP (même si ça vaut ce que ça vaut). En tous cas, merci de votre soutien. 
péter des genoux virtuels je ne sais pas faire, par contre pourrir la e-réputation d’un mec (ou d’une société) c’est mon job ! Enfin, je suis plutôt chargé de rendre l’e-réputation favorable, mais les mécanismes sont similaires
On peut avoir l’identité du loustic histoire de faire remonter son nom, CV, coordonnées et tout le tralala sur plein d’occurrences sympas sur Google ?
Je suis évidemment obligé de dire ici que c’est paaas bien, comme idée. Sûr. Oui monsieur.
Argh…et dire que la plupart des gens se sentent à l’abri de ça. De tout coeur avec toi!
Mr Popo dit:
Je pense que ça vient de là. Les ordis des écoles primaires sont notoirement mal protégés, vérolés de toolbars à la con et jamais passés à la maintenance (rarement à l’antivirus). Possible que l’un d’entre eux avait une saloperie dormante qui a chopé mon login/mdp FAI.
Ne pas hésitez à faire appel au référent Tice de la circonscription (s’il existe) ou de la commune, pour mettre à jour l’antivirus et faire le ménage sur les machines de l’école primaire en question, d’une part pour la navigation des élèves ( rien de pire que les toolbar à gogo et autres cochonneries) , et deuxièmement, même si c’est accessoire certes, pour la navigation des collègues entre midi et autres pour tout ce qui est de l’ordre usage privé ou professionnel. Et surtout pour que ça n’arrive plus…
Oui, c’est prévu. A voir si la faille vient bien de là, mais je n’ai que très peu de doutes là-dessus. Soit une machine est infectée avec un mouchard de clavier, soit les entrées/sorties du réseau sont surveillées… j’utilise souvent le wifi de l’établissement, que ça soit pour le boulot (PC de la classe) ou pour le perso (mails et navigation sur le téléphone).
Dans tous les cas, c’est certainement là que ça a commencé, et c’est aussi là qu’il faudra agir.
Edit- tiens, voilà qui date de l’an dernier, mais qui ressemble un peu à cette affaire : http://www.leparisien.fr/evry-91000/arn … 050136.php
kuentin dit:Ce que je ne comprends pas c'est qu'un virement ai pu être fait sur le site de la banque vers un compte externe sans authentification autre que le mot de passe d'accès aux comptes ...
Par chez moi j'ai un mot de passe pour accéder à mes comptes; avec celui-ci je peux déjà faire pas mal de choses; mais pour pouvoir effectuer un virement externe on me demande une confirmation (authentification forte); via un code à saisir avec une petite "calculatrice" dans laquelle je mets ma carte bancaire (et doit donc saisir mon code PIN).
La pour moi la banque est clairement en défaut ... (ou alors j'ai zappé un élément de l'affaire).
Bon courage à toi en tout cas !
+1
Tout pareil chez moi. J'utilise mon mot de passe pour me connecter et voir mes comptes. Mais pour enregistrer un nouveau bénéficiaire pour des virements, j'ai une procédure renforcée me demandant de rentrer un code sur une carte-grille reçue par la poste. Donc clairement, la sécurité de ta banque est en cause !!!
Pour ce qui est du problème pécunier, il semble me rappeler qu'une loi oblige les banques à rembourser les clients en cas de fraude avérée. Donc si la fraude est reconnue, la banque DOIT te rembourser tous les virements frauduleux. Mais quelqu'un connaissant bien la loi te renseignera sûrement mieux.
Courage en tout cas
Zork dit:kuentin dit:Ce que je ne comprends pas c'est qu'un virement ai pu être fait sur le site de la banque vers un compte externe sans authentification autre que le mot de passe d'accès aux comptes ...
Par chez moi j'ai un mot de passe pour accéder à mes comptes; avec celui-ci je peux déjà faire pas mal de choses; mais pour pouvoir effectuer un virement externe on me demande une confirmation (authentification forte); via un code à saisir avec une petite "calculatrice" dans laquelle je mets ma carte bancaire (et doit donc saisir mon code PIN).
La pour moi la banque est clairement en défaut ... (ou alors j'ai zappé un élément de l'affaire).
Bon courage à toi en tout cas !
+1
Tout pareil chez moi. J'utilise mon mot de passe pour me connecter et voir mes comptes. Mais pour enregistrer un nouveau bénéficiaire pour des virements, j'ai une procédure renforcée me demandant de rentrer un code sur une carte-grille reçue par la poste. Donc clairement, la sécurité de ta banque est en cause !!!
Pour ce qui est du problème pécunier, il semble me rappeler qu'une loi oblige les banques à rembourser les clients en cas de fraude avérée. Donc si la fraude est reconnue, la banque DOIT te rembourser tous les virements frauduleux. Mais quelqu'un connaissant bien la loi te renseignera sûrement mieux.
Courage en tout cas
Je n'ai aucune idée de comment ça s'est fait. Peut-être une complicité interne ?
Je viens de découvrir qu'il a fait hier un autre virement vers un autre compte, pour un total de 6000€ !! Putain !! C'est pas possible, qu'est-ce que c'est que cette histoire ?? Comment ils font ??
Encore un compte dans la même banque, encore une autorisation de virement qui passe, comme ça, tranquille... c'est juste la folie. CEtte fois-ci, le nom est différent, le compte aussi, tout comme la localisation... ils doivent pirater des comptes qui servent de "boîtes aux lettres" le temps de jouer les vases communicants, et qu'ils abandonnent ensuite, sans même peut-être que leurs propriétaires le sachent.
D'ailleurs, même topo pour le n° de mobile, qui est déjà HS. "ce numéro n'est pas attribué", me dit la voix. Ben voyons...
Pétard je bous, je pèterais bien des dents à coups de pompe, là. 
Mais comment une banque peut-elle laisser passer des trucs pareils ?? Hein ?? A un mois de notre mariage, plus un rond sur les comptes… elle est pas belle la vie ? Pétard !!
Et ces gros abrutis de la poste qui se vantent :
“Il est très simple de mettre en place un virement, même vers un nouveau compte bénéficiaire. Vous devez pour cela vous procurer les coordonnées bancaires du bénéficiaire (qui peut vous fournir un RIB). Inscrivez ensuite celles-ci sur votre demande de virement ou enregistrez les (grâce au service CERTICODE) dans la liste de vos bénéficiaires pour un virement sur la Banque en ligne ou via le 3639¹.”
Ah ben chuis bien content de le savoir… facile, quoi. Ca a du faire le bonheur de mon pirate, ça.
Bonjour,
Je viens de lire vos mésaventures…
Je travaille à l’informatique d’une banque (une autre, désolée…) et j’ai appris une choses ou deux ces dernières années. Notamment que la Banque doit bien plus de choses aux clients que ceux-ci ne le savent. En effet leur activité est extrêmement réglementé aussi bien par l’état Français que par l’Europe, et également surveillée.
Sans parler du risque d’image encouru.
Avez-vous pu entrer en contact avec votre banque/agence pour déclarer la fraude ? Il leur est probablement possible de “geler” les ordres voire de désactiver le service de virement par internet. Ou au moins de poser une alerte.
J’ajouterai que si le conseiller n’est pas (ou ne semble pas) efficace d’autres recours doivent exister, comme :
- escalader et demander à entrer en contact avec son supérieur
- demander à enregistrer une réclamation (dans certains établissements bancaires ce mot est suffisant pour faire peur aux conseillers)
Concernant l’authentification, malheureusement, il y a ici “double protection” qui est positionnée sur deux axes complémentaires, qui sont dans ce cas précis tous deux détournés :
1- les identifiants de connexion sont strictement personnels et nominatifs, ne doivent normalement jamais être diffusés autrement que par voie postale, et ne transitent probablement pas à travers le système d’information de la banque en clair (en tout ça, ça ne devrait pas, c’est ultra risqué - si c’était le cas il y aurait + de cas de fraude a priori)
2- confirmation de l’activation des bénéficiaires par SMS ou voie courrier, sachant que sauf erreur, activer l’option “par SMS” requiert d’abord un courrier [cependant l’activer ne rend pas du tout l’usager responsable de la fraude qu’il subit]
Cette double protection est le moyen pour la banque de se prémunir de toute accusation sur un défaut de fiabilité. Cependant, votre exemple le démontre malheureusement, ça n’empêche pas la fraude, du tout. Ca la rend un peu plus complexe.
Comme d’autres l’ont dit, l’accès aux identifiants de connexion en 1- sont vraiment suspects, surtout avec les us et coutumes de connexion/navigation que vous décrivez.
Il reste une option “non informatique” : savez-vous où est le courrier que vous avez du recevoir avec vos identifiants de connexion ? A-t-il été récemment jeté ? (etc…)
Si je comprends bien les logins/pass de connexion n’ont pas été changés (les nouveaux devraient arriver par courrier et le fraudeur n’en aurait alors pas connaissance à moins de dévier aussi le courrier, ce qui ressemblerait à une vengeance personnelle). Avez-vous pu entamer cette démarche ?
Bon courage à vous et n’hésitez pas à harceler votre établissement bancaire… Ils vous doivent des choses (au-delà de l’argent).
En tous cas ca fait flipper ta mesaventure.
Au fait y a t’il eu une explication à cette histoire ? une conclusion ?
Une fin heureuse ?
Un mariage ? Des témoins bourrés ? Un voyage de noces sur Namek ?
timbur dit:Un mariage ?
Avec le pirate ?
Ben non… Avec mme Popo, si j’ai bien compris…
(ou un autre mr Popo, on est en 2013…)