Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Free confirme une fuite de données personnelles de ses clients

Free confirme une fuite de données personnelles de ses clients

Le 26 octobre à 00h43

Cela faisait plusieurs jours qu’une rumeur de fuite de données chez Free tournait sur les réseaux sociaux, sans confirmation officielle. Nous avions évidemment contacté l’opérateur, mais il n’avait pas souhaité répondre.

Quoi qu’il en soit, c’est désormais confirmé par un email envoyé à ses clients à partir de ce vendredi en fin de soirée. Vous avez été plusieurs à nous le faire suivre, merci à vous  :

« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non). Aucun de vos mots de passe n’est concerné ».

L’opérateur affirme bien sûr avoir pris toutes les mesures nécessaires « pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information ». La CNIL et l’ANSSI ont été notifiées, une plainte pénale a été déposée auprès du procureur de la République : « L’auteur de ce délit s’expose à une peine de cinq ans d’emprisonnement et de 150 000 euros d’amende », rappelle l’opérateur.

Il y a quelques jours, SaxX annonçait qu’un pirate avait mis en vente une base de données contenant 19 millions de comptes et cinq millions d’IBAN provenant de l’opérateur Free. Un nombre qui n’est pas confirmé – l’opérateur ne précise d’ailleurs pas l’ampleur des dégâts – et il n’est pas question des données bancaires dans la communication de Free.

Free est donc la dernière victime d’une longue liste depuis le mois de septembre : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux et Ornikar.

Le 26 octobre à 00h43

Commentaires (101)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Quid des anciens clients ? Je n'ai rien reçu pour l'instant. Résilié il y a un an.
votre avatar
Plaisant. Surtout si des données bancaires sont concernées.
votre avatar
Je suis abonné Free et savoir que mon IBAN est sur le darknet, ça rassure pas vraiment.
votre avatar
Malheureusement les banques s'en moque.... Je suis concerné par les fuite free, Cultura, boulanger, cybertek, Grosbill, red, la sécu et addeco. Pas mesuré de prévention je voulais changer de compte. j'ai du faire un triste arbitrage entre le coût du risque potentiel et le coup de ce changement par ma banque (y compris certains avantages du au fait que le dis compte date d'Hérode et que certains tarification ne sont pas les mêmes du tout.......
votre avatar
Oof, t'as fait un sacré strike :eeek2:
votre avatar
Le risque financier est de 0, un prélèvement étant annulable sous 8 semaines si autorisé, sous 13 mois sinon, immédiatement et sans justification.
votre avatar
j'avais oublié pole emploie....
Tu rigole j'espère ? n'importe qui de malveillant à désormais suffisamment d'information pour contracter des petits prêt à mon nom (en dessous d'un certain montant il y a peux de vérification) et me laisser me démerde derrière .
Ne pouvant changer d'identité la seul solution serais de changer de compte. Je pense que les banque devrais mettre en place un système pour changer le numéro de compte et rendre caduc l'ancien en l'inscrivant dans une black list.
votre avatar
Je plaisante pas du tout, après j'évoquais plutôt des fraudes bancaires. Pour ce qui est de souscrire des petits prêts bancaires en ton nom, déjà l'argent du prêt est souvent versé sur l'IBAN de prélèvement, ce qui annule l'intérêt de la combine, ensuite il faudra au moins fournir une carte d'identité et un justificatif de domicile récent. Ce qui peut-être falsifié et/ou récupéré depuis une autre fuite en effet, mais alors ce qui va se produire c'est que tu vas être prélevé de la première mensualité, que tu vas faire annuler et bloquer les suivants. mmunications des créanciers auxquels tu pourra répondre si tu es sympa que tu n'as rien commandé et qu'ils ne peuvent pas le prouver, ou simplement leur raccrocher au nez. Pour les éventuelles lettres de recouvrement en courrier simple, même émanant d'un huissier c'est poubelle car légalement ça ne vaut rien.

La seule chose qui ait une valeur légale c'est l'injonction de payer signifiée par huissier (habituellement en face à face, parfois en lettre recommandée), avec la procédure de recours indiquée dessus et vérifiable sur Internet, qui en effet te coûtera une lettre recommandée pour contester, sans devoir prouver quoi que ce soit, c'est celui qui attaque qui doit prouver. Ce qui renverra l'affaire devant le tribunal compétent.

Pendant tout ce temps, et même après la contestation tant qu'un jugement de tribunal n'est pas rendu en ta défaveur (ce qui ne risque pas d'arriver vu le peu d'éléments de preuve côté créancier), aucune saisie sur place ou sur compte n'est possible même si on essaiera de te faire croire l'inverse pour que tu payes.

Voilà, on peut juger ça casse-pied mais je ne trouve pas le risque financier élevé.
votre avatar
As-tu estimé en argent ce que coûtaient tous ces petits emmerdements casse-pieds ?

Si je calcule à mon prix de travail, et que je dois rédiger 3 courriers plus me casser la tête à aller à La Poste envoyer mes recommandés, classer mes papiers, stresser.
Bref 1 jour homme de foutu par prélèvement.

Même si j'ai été client Free comme particulier. Si j'évalue le coût de mon temps personnel au TJM d'un ingé, bonjour.

J'envoie la facture à Free pour son incompétence ?
votre avatar
J'envoie la facture à Free pour son incompétence ?
Si tu peux prouver que ça t'as coûté ça et qu'ils sont responsables à cause de la fuite, tu peux leur demander le dédommagement en justice s'ils ne veulent pas te rembourser avant.
Il faut pour cela que tu aies perdu une journée de travail. Et cela que tu sois indépendant (avec un TMJ) ou salarié (en indiquant ton salaire).
votre avatar
Non je n'estime pas ça car ça dépend de chacun, de la valeur qu'on donne à son temps, de la quantité de son temps libre, etc... En allant par là on peut aussi chiffrer l'éventuel stress pendant des mois et on obtiendra des chiffres très différents pour chacun. A chacun d'estimer ce risque, qui n'est pas financier (même si on peut toujours tenter de les convertir en tant que tel), or c'est le risque financier que tu évoquais au début ("le coût du risque"), de plus il ne me paraissait pas très élevé vu ce que tu mettais en balance en face et qui ne doit pas aller chercher très loin (notamment vu la concurrence qu'il y a de nos jours dans le bancaire). Moi j'ai dit comment je le ferais et je n'ai aucun papier à classer ni à envoyer tant que je n'ai pas reçu de signification par huissier, mais chacun le vivra à sa manière.

Si tu veux envoyer une facture pour l'embêtement suite à un prélèvement indu, je pense que le destinataire ne devrait pas être Free mais plutôt celui qui aura essayé de te prélever. Si ça va jusqu'au procès pour le recouvrement, tu pourras demander des dommages et intérêts pour ce que tu viens de citer. Si ça s'arrête avant tu peux contre-attaquer avec une procédure contre le créancier indu.

Par contre, si tu es déjà en train de stresser pour cette histoire, tu peux toujours lancer dès maintenant une procédure contre Free pour préjudice moral. Je n'ai aucune idée de comment faire ni des chances de réussite, il faudrait se pencher sur le RGPD car c'est sûrement le point de départ le plus simple.
votre avatar
"il n’est pas question des données bancaires dans la communication de Free."

Donc les IBAN ne sont pas dans la nature ?
J'imagine que si c'était le cas, Free en aurait parlé, tellement le risque est énorme, non ?
votre avatar
Ils ne risquent pas de le dire, mais au vu des autres données dont ils ont pudiquement dévoilé la liste, il est certain que les RIB ont fuité.
votre avatar
cinq millions d’IBAN provenant de l’opérateur Free.
Merci Free de rendre les autres moyens de paoement (CB notamment) tellement contraignants qu'on est obligés d'accepter le prélèvement ! :censored::censored::censored:
votre avatar
Je ne suis pas si sûr que le p^rélèvement par CB soit plus rassurant
A titre perso il faut quelques secondes pour annuler un prèlèvement automatique sur IBAN sur n'importe quelle banque alors que pour empécher un prèlèvement automatique par carte bancaire c'est assez compliqué ( j'ai donné )
Alors pourquoi tu trouves ça "contraignant" ? ( c'est une vraie question)
votre avatar
Je n'ai pas parlé de prélèvement par carte bancaire, mais de paiement.
Le principe de laisser quelqu'un se servir sur mon compte me dérange.

Si l'organisme prend trop, c'est une galère ensuite pour faire une régularisation. Il faut avoir du temps et de l'énergie pour négocier avec des conseillers payés au lance-pierre, qui savent juste répondre "oui dossier en cours, veuillez patienter" et qui ne règlent jamais le problème.

Alors que par CB, tu peux contester une facture trop élevée et ne pas la payer. C'est le risque que le service soit coupé, mais les sous ne seront pas prélevés, et la coupure peut être abusive si l'erreur est avérée.

Par rapport à l'article, il est bien plus rassurant de se dire que son IBAN n'a pas fuité, s'il n'a pas été fourni.

Concernant la contrainte, chez Free si tu refuses le prélèvement automatique, tu as des frais tous les mois car Free présente de toute façon le prélèvement à la banque, qui est évidemment rejeté car pas d'autorisation. L'UFC Que Choisir m'a confirmé que c'est illégal mais je n'ai pas le courage de me battre (surtout que j'ai quitté Free le mois dernier).

Et si tu dis à Free que tu ne veux pas payer par prélèvement, on te propose le paiement par CB, avec une caution de garantie de 400 euros pour la box. Perso je peux pas laisser dormir 400 euros en caution pendant x mois/années chez eux, au prétexte que je veux payer par CB une fois le montant de la facture prélevé. Et la caution, c'est aussi le risque qu'on ne te la rende pas sur des motifs fallacieux, avec une longue bataille pour les récupérer si c'est abusif. Je ne souhaite pas éviter une contrainte (le prélèvement) pour en créer une autre (la caution).
votre avatar
Au contraire si tu es trop prélevé ou prélevé à tort tu as 6 mois pour faire opposition sans le moindre justificatif alors que c’est quasi impossible en CB avec 3DS. Perso au CM et chez boursorama c’est littéralement un bouton dans l’interface pour annuler un prélèvement et ce sans avoir à justifier. Tu peux aussi bloquer n’importe quel mandat de prélèvement et, au CM, tu peux même passer en mode whitelist c’est à dire que tu dois accepter tout nouveau mandat avant d’être prélevé. Je comprend pas pourquoi c’est pas la norme mais ça devrait.
votre avatar
Ouais c'est à peu près ce que je pensais
J'utilise 3 banques différentes et c'est exactement comme avec la tienne ( CM )
Par contre avec la Mastercard ou la Visa c'est loin d'être simple ( du moins pour les prélèvements)
Je suppose que la banque n'étant qu'intermédiaire avec les Visa ou autre Mastercard c'est la raison de cette complexité
Mais bon , merci Jarrod et jpaul je comprend les différents raisonnements
:chinois:
votre avatar
"CM" c'est Crédit Mutuel ?
votre avatar
Oui c'est ce que j'ai déduit
votre avatar
Les prélèvements autorisés sont annulables sous 8 semaines immédiatement et sans justification auprès de ta banque, sans avoir affaire au créancier. Charge à toi ensuite de régler avec lui le litige d'une autre façon, avec le risque de coupure que tu mentionnes.

Des frais où ça pour le prélèvement rejeté ? Pas de la banque en tout cas, de Free donc ?

Les paiements CB sont plus difficiles à annuler car il faut justifier. Après si tu l'as déjà fait je suis curieux d'avoir ton retour d'expérience car je n'ai que très peu pratiqué l'annulation CB.
votre avatar
Free m'a mis des frais tous les mois. Je ne sais pas si Free paye réellement des frais à la banque, ni si mes frais étaient du même montant que leurs frais.
votre avatar
Je ne sais pas s'ils payent mais si tu as demandé à ne pas payer par prélèvement je dirais qu'on s'en tape, c'est leur problème s'ils sont assez idiots pour tenter quand-même et payer des rejets. Après est-ce qu'ils prévoient des frais pour les paiements par CB, peut-être je ne suis pas allé voir. Normalement ils devraient donner au moins une possibilité autre que le prélèvement sans surcoût, mais ce n'est pas forcément la CB, ça peut être virement, chèque, espèces, mais sur un contrat conclu à distance en général c'est la CB.

S'ils ne donnent finalement aucune autre possibilité gratuite que le prélèvement il me semble que ce n'est pas légal mais j'ai oublié en vertu de quoi, ça doit être ça dont t'a parlé UFC.
votre avatar
Le paiement par CB est bien proposé gratuitement. Le fait de devoir payer une caution pour la box n'est pas considéré comme des frais de paiement.

Le libellé des frais est "Facturation intérêts de retard en cas de défaut de paiement MM/YYYY", d'après une de mes factures.
votre avatar
Ben en fait oui j'ai pratiqué et n'ai pas réussi et donc j'ai annulé ma carte bancaire et en ai repris une autre ailleurs.
C'était la première fois que j'avais un prélèvement automatique par CB ( suite à une série d'évènements avec un SAV) et depuis je n'utilise que les prélèvements SEPA qui eux s'annulent avec un seul click
pour détails : MP
votre avatar
Pareil, j'ai essayé 2 fois d'annuler un paiement CB et jamais réussi.

Par contre je ne vois pas au Crédit Mutuel le bouton dont tu parles pour annuler un prélèvement. On peut annuler un mandat en cours (et encore même pas, seulement le mettre en opposition pour une durée déterminée), mais annuler un prélèvement déjà passé, j'ai pas trouvé.
votre avatar
Pour le CM c'est pas moi qui en ai parlé c'est Jpaul
( moi je suis chez d'autres banques)
votre avatar
Ah j'ai cru que tu confirmais l'avoir vu.
votre avatar
Attention, 2 sources distinctes :

Les 5M d'IBAN Free c'est la communication du pirate qui vend le fichier et peut être le constat de spécialistes sécurité (le nombre d'IBAN, pas la source). Et si c'est bien vrai ça ne veut pas encore dire qu'ils viennent (tous) de Free (le pirate cherchant à monétiser au mieux son fichier très rapidement).

L'autre source c'est la communication de Free qui exclut les mots de passe mais n'évoque pas les coordonnées bancaires. Du coup, doute, mais pas encore confirmation.

Et il est possible que ça ne soit que partiel, par exemple que les IBAN des clients mobile et pas ceux de l'internet fixe.

Wait & see.

Mais si vous ne recevez pas de mail de Free c'est que vous n'êtes probablement pas concernés puisque la loi oblige les "piratés" a informer leurs clients concernés.
votre avatar
A priori, pour l'instant, il n'y a que des clients mobile qui reçoivent le mail d'information.
votre avatar
Hier, j'ai eu le mail pour le mobile ne précisant pas l'IBAN dans la liste des données volées et ce soir, j'ai eu un mail pour mon compte freebox et l'IBAN figure dans les données volées
votre avatar
exactement pareil pour moi
votre avatar
Idem pour un client.

IBAN concerné pour la Freebox, mais pas le mobile.
Donc IBAN dans la nature.
votre avatar
Perso, en 2009-2010, j'avais voulu payer en CB une mensualité de retard suite à un rejet de prélèvement automatique, j'ai payé 7 € de frais en remerciement (sur la brochure tarifaire c'était indiqué mais je ne pensais pas qu'après avoir fourni mon autorisation de prélèvement, Free me facturerait comme si j'avais demandé le paiement par CB).
Dans les années 2010, je voulais souscrire un abonnement Free mobile mais Free refusait les CB Electron à autorisation systématique.
Merci mais non merci Free. Je suis chez Reef maintenant et je paie comme je veux.
votre avatar
Merci surtout de rester avec ce système archaïque. Il ne devrait être stockée qu'un identifiant d'autorisation de prélèvement, pas le reste.
Comme les token.
votre avatar
Le message m'est adressé ? C'est le paiement par CB que tu trouves archaïque ?

Avec la nouvelle présentation des commentaires j'ai du mal à suivre les discussions.
votre avatar
Oui, c'était en complément de ton message. Je trouve archaïque de stocker des infos 'identifiante' et potentiellement 'réutilisables'. L'iban qu'on fourni devrait étre temporaire ou être un autre système: free ne devrait avoir qu'un numéro d'autorisation, ne fonctionnement que pour free et le compte ciblé
votre avatar
D'accord le merci ironique s'adresse à Free, et pas à moi :transpi:
votre avatar
C'est curieux, je n'ai rien reçu. Est-ce à dire que la fuite est partielle ?
votre avatar
Perso, j'ai plusieurs comptes free mobile liés à des emails différents. Je n'ai reçu le message que pour 1 compte.
L'envoi est d'hier 22h28, probablement qu'ils envoient par lot...
votre avatar
J’ai reçu mon mail ce matin à 7h donc c’est probablement le temps d’envoi est un peu long
votre avatar
Quand il y a un décalage entre les réceptions, c'est que les mails sont envoyés par lots. Et quand on les envoie par lot c'est qu'il y en a beaucoup...
J'ai reçu le mien hier soir de Free Mobile.
Question aux experts : la loi oblige désormais à informer les clients en cas de fuite mais aussi à leur dire les éléments qui ont fuité, non ? Si l'IBAN a fuité Free est obligé de le dire ?
votre avatar
Bin finalement j'ai un mail pour chacun, le dernier 4h am ce dimanche
Donc tous les comptes sont concernés.:pleure:
votre avatar
J'ai finalement reçu le mail de Free. Ils indiquent que l'IBAN est bien concerné par la fuite...
votre avatar
Bonjour,

Merci pour l'article.
Ça m'amène deux questions :

1/ Est-il facile pour une personne qui récupère ces IBAN de mettre en place un prélèvement SEPA ?

2/ Peut-on demander à nos banques de ne pas autoriser la mise en place d'un prélèvement SEPA sans qu'on l'ait validé (comme on le fait pour un paiement par carte par exemple) ?
votre avatar
Oui, très (trop) facile. Il suffit d'avoir l'IBAN du compte. Les banques ne regardent même pas s'il y a un mandat de prélèvement.

Dans les jours et semaines qui viennent, bien regarder les personnes autorisées à faire un prélèvement sur le compte.
votre avatar
Cela dépend de la banque.
La mienne m'envoie une notification quand un nouvel émetteur (un nouveau créancier) fait un prélèvement pour pouvoir intervenir et le bloquer dans l'application de la banque.
Après, je ne sais pas si un IBAN bombing est possible.
votre avatar
Même chose, à chaque demande de prélèvement, même pour les impôts, je suis prévenu, et je peux annuler ou bloquer temporairement ce mandat de prélèvement depuis mon espace client.
votre avatar
Quand je pense au nombre de gens, particuliers et fournisseurs qui disposent de mon IBAN, je suppose que ça n'est pas une donnée confidentielle, d'ailleurs les banques ne donnent aucun conseil de protection à priori.
Je suppose donc que c'est contrôlé et bien géré, à priori, ça ne peut être utilisé qu'entre banques, qui se font confiance, c'est facile pour un virement, mais plus difficile pour un prélèvement si on n'est pas dans la liste des créanciers autorisés.
votre avatar
En effet l'IBAN n'a jamais été une donnée confidentielle. Cependant certains services considèrent à tort que c'est en une et peuvent partir du principe que celui qui l'a fourni est forcément son titulaire, ce qui est idiot. Le risque ici est une plus grande difficulté à contester une usurpation d'identité auprès de ces services.
votre avatar
Question naïve : Si mon IBAN est entre les mains d'une personne mal intentionnée : Peut-elle réellement réaliser un prélèvement aussi facilement ?
votre avatar
Non, avec un IBAN, un attaquant ne peut rien faire sur ton compte.

Si jamais, je dis bien, jamais, il arrivait à effectuer un prélèvement, tu contactes ta banque, tu demandes à voir l'autorisation de prélèvement que tu as signé (car il faut une autorisation signée) et en l'absence, la banque sera tenue de te rembourser.

La seule chose que puisse faire un attaquant avec ton IBAN, c'est savoir la banque chez qui tu es, afin de faire une attaque ciblée comme une arnaque au faux conseiller bancaire.
votre avatar
Il est facile de lancer un prélèvement sur n'importe quel compte si tu n'as que l'IBAN... il faut par contre être enregistré auprès d'une société qui permet de faire des prélèvements. Ces sociétés (ou ces banques) vérifient lors de ton enregistrement que tu es une société "de confiance" et peuvent te retirer ton approbation quand ils veulent s'il y a des soucis sur les prélèvements effectués. Donc en pratique, à mon avis, il peut y avoir quelques prélèvements indus mais qui ne dureront pas si les clients prélevés se manifestent auprès de leur banque.
votre avatar
Il est facile de lancer un prélèvement sur n'importe quel compte si tu n'as que l'IBAN... il faut par contre être enregistré auprès d'une société qui permet de faire des prélèvements.
Du coup, c'est facile ou c'est pas facile ? ;)

Sur la théorie, tu as raison. Sauf que tu oublies qu'un prélèvement est soumis à l'autorisation de ta banque. Si ta banque reçoit une demande de prélèvement, mais qu'elle n'a pas reçue de ta part l'autorisation de prélèvement, elle est tenue de le refuser.

En pratique, j'ai pu constater une certaine tolérance pour certains organismes très reconnue (EDF, Orange, etc...) où la demande de prélèvement a été autorisé par ma banque (et je pense que cela dépend de la banque).

Par exemple, j'ai du mettre en place un prélèvement en urgence pour OVH (car ma carte bancaire a été refusée du jour au lendemain, alors qu'elle était bien valide et qu'il y avait de l'argent sur le compte). Le prélèvement a pu être mis en place sans que je transmette l'autorisation à ma banque. Par contre, pour les impôts, le paiement de ma première TVA avait été rejeté, car l'autorisation de prélèvement n'était pas bon (j'ai transmis l'autorisation de l'administration fiscale, mais qui a présenté le prélèvement sous un autre numéro, donc ça a été rejeté).

Mais sinon, un organisme inconnue qui passe un prélèvement sans la demande d'autorisation qui va bien, ça n'arrive quasiment jamais. Et si cela arrive, ta banque sera tenue de te rembourser pour défaut d'autorisation.

[edit]
Petit rajout : il est maintenant possible dans pas mal de banque de voir et de s'opposer à un prélèvement à venir avant qu'il n'ait effectivement lieu depuis son application bancaire ou son compte en ligne. D'où l'intérêt aussi de consulter régulièrement ses comptes.
votre avatar
J'ai effectivement des notifs de la Caisse d'Epargne lors qu'un créancier prélève pour la première fois, et ce quelques jours avant.
votre avatar
En vrai si je m’inscris chez orange par exemple, au moment de conclure le contrat je vais « signer » via mon numéro de téléphone mais je ne vais jamais rien envoyer à la banque.
Le jour où quelqu’un signe un contrat avec autre chose que mon téléphone? Est ce que ça marche ?
votre avatar
Là, ça dépasse mes connaissances. Mais en l'état actuelle des choses, je suppose que c'est comme pour les signatures manuscrites : les signatures sont falsifiables, mais on peut quand même faire des analyses poussées en cas de besoin et de suspicions de fraude.

Quand tu signes numériquement un document, on sait que tel numéro l'a signé (cas du code SMS que l'on reçoit par exemple). Si le numéro est le même que celui renseigné au niveau de ta banque, tu es considéré comme étant le signataire. Si le numéro est autre, je suppose qu'il faut prouver que le numéro t'appartient / ne t'appartient pas. Mais je ne sais pas à qui incombe la charge de la preuve.
votre avatar
Quand tu fais une signature électronique, l'organisme à l'origine du document possède un dossier de preuve. Ce document est une archive ZIP qui contient les CGU acceptées au moment de la signature ainsi que le code Javascript de la page de consentement et la feuille de style. Il est accompagné d'un XML contenant les empreintes des documents et le détail du workflow opéré.

Tu as le droit d'accéder au document de preuve, tu peux le demander à Orange. Ils doivent le conserver 10 ans.

Si tu veux en savoir plus sur le fonctionnement de la signature électronique, tu peux lire le cahier des fonctionnalités de Lex Community. Lex Community est la version gratuite à destination des particuliers d'une entreprise française de signature électronique. Je m'en sers à titre perso pour signer des documents quand ceux-ci ne sont pas émis pour signature électronique. En gros je m'auto envoie le document, utilise le code reçu par SMS, et envoie la version signée. Histoire d'éviter d'imprimer/scanner bêtement. Jusqu'ici je n'ai pas eu de soucis.

Dans le cas de Sosh (donc aussi d'Orange), tu peux récupérer ton mandat SEPA signé numériquement sur l'espace client.
votre avatar
Les banques ne reçoivent plus les mandats de prélèvement depuis la mise en place des prélèvements SEPA, ce sont les créanciers qui les gardent. Elles ne peuvent donc plus savoir à priori si un prélèvement est autorisé ou non, donc elles n'ont pas d'autre choix que d'accepter tout par défaut, sauf paramétrage spécifique de la part du client.

Si tu contestes dans les 8 semaines, elle doit te rembourser immédiatement qu'il y ait autorisation ou non, inutile de vérifier le mandat. Si c'est dans les 13 mois et que tu dis que c'est non autorisé, elle doit te rembourser immédiatement mais elle peut demander au créancier (ou à sa banque) une copie du mandat et te re-prélever si c'était finalement autorisé. Je ne pense pas qu'il soit légal d'attendre de vérifier le mandat avant de te rembourser.
votre avatar
Les banques ne reçoivent plus les mandats de prélèvement depuis la mise en place des prélèvements SEPA, ce sont les créanciers qui les gardent.
C'est plus compliqué que ça. En fait, il existe plusieurs types de virement prélèvement SEPA. Le SEPA Core, le plus classique, où c'est le créancier qui transmet généralement le mandat à la banque du débiteur.

Le SEPA B2B, où c'est le débiteur qui doit transmettre le mandat à sa banque (et j'avoue, c'était dans le cadre de mon entreprise, pour le paiement des impôts où c'est un SEPA B2B). Je n'avais pas conscience de cette subtilité jusqu'à aujourd'hui.

De plus, le créancier doit avertir le débiteur 14j au moins avant le prélèvement (cette durée peut être réduite en cas d'accord entre le créditeur et le débiteur).
votre avatar
En tant que particulier on n'utilise que les Core, et ce sont des prélèvements, pas des virements, la distinction est importante (en fait les deux n'ont juste rien à voir). Les prélèvements B2B c'est seulement entre entreprises (Business to Business), du coup les banques refusent systématiquement ce type de prélèvement sur un compte d'une personne physique si jamais elles devaient en recevoir un.
votre avatar
Roh j'ai encore utilisé le mot "virement".... Je suis incorrigible. Après, comme je le disais, j'ai les deux casquettes, particulier et pro.
votre avatar
Les mandats n'ont plus à être envoyés aux banques. c'est l'organisme de prélèvement qui s'occupe de demander la signature d'un mandat. Mais il n'y a rien de plus facile que de se faire passer pour la personne qui doit signer le mandat...
Comme je le disais, en pratique les prélèvements frauduleux resteront peu fréquents car l'organisme va rapidement révoquer l'autorisation de prélèvement du fraudeur et récupérer les sous car la banque va annuler l'opération. Il faut par conséquent vérifier régulièrement son compte bancaire. Une fois tous les 2 mois, ça laisse une bonne marge de manœuvre. Après si le fraudeur a eu le temps de partir avec les sous récupérés avant que la banque annule les opérations frauduleuses, c'est un problème pour la banque, pas pour les clients fraudés qui eux seront remboursés dans tous les cas.
votre avatar
Les mandats n'ont plus à être envoyés aux banques
Comme je le disais plus haut, ça dépend du type de prélèvement. Pour un prélèvement core oui, pour un prélèvement B2B non, le mandat doit toujours être transmis par le débiteur à son organisme bancaire. Mais ce dernier est, comme son nom l'indique, réservé aux prélèvements interentreprises (et c'était effectivement dans le cadre pro que j'avais du transmettre le document en question)
votre avatar
votre avatar
Même si le mandat est bel et bien signé en fait tu peux le révoquer et te faire rembourser n’importe quel prélèvement.

Même un prélèvement légitime peut être annulé, cela devient alors un litige commercial entre toi et le commerçant mais la banque n’est pas impliquée.

Ils seront plus difficiles avec la CB car elle sert justement à vendre aux commerçants la « certitude » d’être payés. D’où le fait qu’il faut quasi toujours passer par 3DS de nos jours puisque cela fait reposer la responsabilité de la transaction sur l’utilisateur contrairement à un paiement sans 3DS.
votre avatar
Même si le mandat est bel et bien signé en fait tu peux le révoquer et te faire rembourser n’importe quel prélèvement.
Vrai pour la révocation, malheureusement pas si simple pour le remboursement. La procédure que tu décris s'appelle le recall et n'est malheureusement pas 100% efficace (et valable uniquement pour les virements SEPA). Dans le cadre d'un virement avec des organismes légitimes, il y a rarement des soucis. De plus, en fonction du pays, le recall peut être soumis à validation par celui qui a reçu l'argent (ce que ne fera jamais un escroc par principe)

Dans le cas où c'est un virement frauduleux, et donc vers le compte d'un escroc, l'argent reste rarement longtemps sur le compte. Si pas d'argent, la procédure de recall échouera, car c'est un détail "bête", mais pour que le virement puisse être annulé, il faut que l'argent soit encore disponible.
votre avatar
Le recall c'est pour les virements SEPA, pas pour les prélèvements SEPA. Ici on parle de prélèvements, si le mandat est signé, c'est remboursable jusqu'à 8 semaines après la date de prélèvement, immédiatement et de manière certaine sans condition de récupération de l'argent auprès du créancier.

On ne peut pas faire un virement sortant avec un simple IBAN.
votre avatar
oups, pardon. Je me suis mélanger les pinceaux. Merci de la rectification. C'est ça de lire des sujets liés aux prélèvements et d'autres aux virements en même temps : on se trompe ^^
votre avatar
Tu peux lire https://www.minimachines.net/actu/fuites-de-donnees-iban-dans-la-nature-quels-risques-130572 pour en savoir plus.
TL;DR: surveille tes comptes !
votre avatar
Ne pas hésiter à porter plainte sur ce site pour se couvrir.
cybermalveillance.gouv.fr République Française
votre avatar
merci ;-)
votre avatar
C'est vraiment tout le monde, en ce moment Oo
votre avatar
C'était un double post.
Il y a une sacré latence dans la prise en compte des commentaires alors que pour une fois la page charge rapidement.
votre avatar
Nous sommes à une époque où il n'est plus très difficile d'avoir des IA perso pour la recherche de faille ou d'attaque.
La plupart des systèmes ont été conçu avant l'arrivée des IA. Donc les attaquants ont un avantage net tant que les systèmes hébergeant des données sensibles ne sont pas protégés en conséquence.
votre avatar
Je ne sais pas s'il y a un lien de cause à effet, mais depuis hier, j'ai eu 2 ou 3 inscriptions à des newsletters sur mon adresse free (bien évidemment, pas par moi).

Adresse free simple, sans abonnement payant derrière.
votre avatar
Depuis que je n'utilise plus du tout l'adresse mail que j'avais eu chez mon opérateur, je suis plus emmerdé :ouioui: je me suis pris un nom de domaine pour avoir un mail perso qui n'est lié à aucun opérateur. Et le mail principal n'est jamais utilisé nulle part. Je ne créé que des alias différents pour chaque inscriptions. Si un jour l'un de ses alias est compromis ou est un peu trop spammé de conneries, hop, je le détruis et j'en créé un nouveau, en quelques minutes c'est réglé ^^
votre avatar
Perso, j'ai mes adresses mail "perso" a laposte.net (ca marche parfois moyen mais ca fait le job) et gmail pour les plus jetables
votre avatar
C'est une adresse "historique", qui date de l'époque de mon abonnement 56k. C'est un peu mon adresse poubelle aujourd'hui ^^
votre avatar
clairement un époque que beaucoup de lecteur ici n'on pas du connaitre :phiphi:
votre avatar
pourtant, je ne suis pas si vieux que ça du haut de mes 40 ans ^^
votre avatar
Pour les risques avec IBAN (dont la fuite reste à confirmer), il y a (évidemment) un article Next !
Je l’ajoute dans l’actu pour plus de visibilité puisque la question revient souvent :chinois:
votre avatar
L'article indique que le plus gros risque est l'usurpation d'identité, et que celle ci deviens possible si l'arnaqueur réussi à avoir l'adresse postale et l'IBAN. Or avec une usurpation d'identité,on peut faire un prêt en votre nom (entre autres) toujours selon l'article. Si la fuite de l'IBAN est confirmée, c'est encore pire que ce que je pensais.
votre avatar
Faire un prêt avec seulement les informations volées ici j'en doute fort, ou alors ça va être très très limité. Le minimum quand on touche à l'argent c'est quand-même de demander une carte d'identité, et pour un prêt on demande aussi très vite des signatures de contrat papier, d'autres justificatifs, de revenus, d'adresse (pas juste l'adresse mais le justificatif).

Après tout ça peut se falsifier tout ça mais bon quand ça va arriver chez l'usurpé ça va vite se voir que ça correspond à rien puisque l'escroc aura forcément fait des faux au hasard. Et il sera aussi possible de voir que l'argent n'est pas parti chez la bonne personne.

Une réponse aussi relativement simple c'est "vous avancez que j'aurais contracté tel et tel service, prouvez-le moi", en France on est présumé innocent, pas coupable (sauf pour les PV). C'est pas à toi de prouver ce que tu n'as pas fait, mais à celui qui demande de prouver que tu l'as fait.
votre avatar
Je ne sais pas, je ne m'y connais pas vraiment dans ce domaine, en tout cas pas plus qu'un usager averti.
Je me suis contenté de lire l'article cité par Sébastien plus haut sans rien y ajouter qui vient de mon expérience.
votre avatar
La fuite des IBANs semble se confirmer. Le Twittos _Saxx_ qui a révélé le premier la fuite indique maintenant que le pirate a mis en ligne 100k IBANs, et met le reste en vente pour 70.000$.
x.com Twitter
votre avatar
La fuite des IBAN semble concerner uniquement les abonnement Freebox, le mail reçu de Free l'indique explicitement dans ce cas.
votre avatar
For the fun j'ai appelé le n° vert de Free qui figurait sur leur mail et les ai questionné sur la raison pour laquelle il n'était pas mentionné que les données financières (RIB) avaient fuité ou quelles n'avaient pas fuité. Alors que tout le reste s'était égayé joyeusement dans la nature (sauf le mdp de l'espace client, ça nous fait une belle jambe).

Après avoir torturé le correspondant pendant 15 minutes, j'ai fini par avoir une réponse révélatrice: "personne ne nous a signalé un pb sur son compte bancaire pour l'instant".

Bel exemple de langue de bois qui est une reconnaissance implicite de la fuite des RIB.

@Sebastion Gavois : possible pour Next d'avoir plus d'infos ? Merci
votre avatar
Après avoir torturé le correspondant pendant 15 minutes, j'ai fini par avoir une réponse révélatrice: "personne ne nous a signalé un pb sur son compte bancaire pour l'instant".
Penses-tu qu'un conseiller en bout de chaîne aura le niveau d'information nécessaire ?

En cas de crise, les consignes sont souvent de ne rien dire pour éviter que ça ne parte dans tous les sens ou en malentendu en attendant une communication officielle. Et si tu as "torturé" la personne au bout, à un moment elle a du aussi en avoir marre et dit n'importe quoi pour se débarrasser de toi.
votre avatar
Donc, selon toi, dans un tel cas, il faudrait juste "baisser sa culotte", ne rien faire, ne rien dire et subir ? Désolé, ce n'est pas mon habitude.
votre avatar
Il dit juste que tu ne t'es pas adressé à la bonne personne pour avoir les informations que tu voulais.

Je pense qu'interroger le délégué à la protection des données aurait été plus approprié. dpo à iliad.fr.

En plus, ensuite si la réponse ne te convient pas, tu pourras porter plainte auprès de la CNIL puisque tu n'es pas de ceux qui baissent leur culotte.
votre avatar
C'est le changement d'heure qui fait que personne ne comprend rien à des simples phrases ou quoi ?
votre avatar
Pour ma part, cela fait plusieurs jours, sur des sites internet et des groupes facebook, que je me fait remballer car les gens ne lisent pas correctement ce qui est écrit, ils contestent mes propos en disant ce que j'ai écris mais sous une autre forme. Avant, il y avait des gens comme ça mais depuis quelques jours, c’est flagrant
votre avatar
Complètement débile la réponse de l'opérateur Free. Ce n'est pas auprès d'eux qu'un client se plaindra d'une fraude ou usurpation d'identité, c'est auprès de sa banque.
votre avatar
n'empêche qu'il peut dire qu'il n'a pas connaissance de plainte, ce n'est pas plus débile que lui poser des questions pendant 1/4 heure alors qu'il n'est pas sensé savoir ce qui a fuité précisément, ils ont donné une information large et générale, la première ligne qui n'est pas le nez dans l'admin de la BDD ne sait pas plus que ce qu'on l'autorise à dire.
votre avatar
Yep, j’ai prévu d’envoyer des question dès lundi matin, stay tuned si réponse de Free j’en parlerais évidemment :chinois:
votre avatar
Il se passe quoi si le pirate appelle ma banque en se faisant passer pour moi, en utilisant mon IBAN pour savoir dans quel établissement je suis et mon compte bancaire, pour enregistrer un nouveau bénéficiaire et lui demander de faire un virement en utilisant un prétexte nul du style "j'ai mon appli qui déconne et je dois absolument payer cette amende d'ici ce soir" ?

Parce que autant les prélèvements à la Adecco, c'est pas génial, autant faire du Social Engineering sur les conseillers bancaires, ça peut faire de gros dégâts...
votre avatar
Ca dépend des banques, déjà un bon nombre n'accepte pas les ordres par téléphone et on essaiera plutôt de t'aider à le faire depuis le site Internet, ou sinon te renvoyer à un distributeur ou à une agence physique. Et si une accepte de donner suite au téléphone, il y aura normalement des vérifications multi-facteurs que le conseiller ne pourra pas ignorer et que le pirate ne pourra pas valider.

Quant à l'argument de l'urgence, ça n'a normalement pas d'effet, on finira au pire par te dire qu'il fallait s'en occuper plus tôt.

Après si tu veux vraiment le savoir, c'est très simple, essaie toi même de le faire. Si le résultat n'est pas convaincant, change de banque.
votre avatar
ça deviens une classique arnaque au président, si la banque laisse passer ça, ils sont en faute
votre avatar
Pour info j'ai vérifié la liste des prélèvements actifs sur le compte avec lequel je règle mon abo Free
Et j'ai d'ailleurs fait du nettoyage car certains vieux trucs étaient encore actifs

Par contre sur la page
Il est clairement écrit :

*Bon à savoir

Vous avez la possibilité de demander le rejet ou de suspendre les prélèvements non B2B.
Vous êtes une entreprise : la déclaration d’un mandat est obligatoire pour le paiement des prélèvements B2B présentés.*
votre avatar
Ca ne fait quand même pas très sérieux, un FAI qui se fait taper autant de données personnelles...
Que faisaient des IBAN et autres données en clair sur une zone internet ?
Cela confirme une négligence extrême de la part de Free. L’expérience Free s’arrête ici en ce qui me concerne.

Free confirme une fuite de données personnelles de ses clients

Fermer