LCL : un « bug informatique » affichait à des clients des opérations et le solde d’autres comptes
Le 24 février 2021 à 12h18
2 min
Société numérique
Société
C’est une situation pour le moins embarrassante pour la banque, comme elle l’explique à l’AFP : « Les personnes concernées par cet incident ont pu lire sur leur application des opérations d'un autre compte que le leur ».
Sur Twitter, plusieurs clients témoignent en effet de leur mésaventure : « Je suis choquée. En me connectant sur mon app LCL j’ai eu accès aux comptes de quelqu’un d’autre, une certaine Caroline, ses dépenses, tous ses comptes, son épargne avec les montants », explique Alexia Toulmet. « Sur l'application on n'a plus accès à nos comptes mais à des comptes d'autres clients », ajoute La chouette. Même chose chez Antoon, etc.
LCL se veut rassurante auprès de nos confrères : « les premiers constats » montrent que sur les 72 000 clients ayant utilisé l’application pendant ce « bug », il ne seraient « que quelques centaines » concernés. Cette faille est arrivée à « l'occasion de la mise en place d'une évolution de l'application », ajoute LCL.
« En aucun cas il n'était possible de réaliser des opérations sur les comptes dont les données étaient affichées, ni d'accéder aux informations du titulaire du compte », tient à préciser la banque.
Les clients concernés seront contactés.
Le 24 février 2021 à 12h18
Commentaires (27)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/02/2021 à 09h14
Et bah qu’est ce qu’il leur faut ?!
Voir les dépenses, le nom, les comptes et les montants c’est ce que j’appelle “accéder aux informations”.
Communication mensongère comme d’habitude.
Le 24/02/2021 à 09h26
Ils parlent peut-être des infos au delà du nom (qui est affiché direct quand on ouvre l’appli donc forcement on l’a) : email, adresse etc.
Le 24/02/2021 à 09h55
Oui ils diront “pas de soucis votre groupe sanguin n’a pas fuité”
(sauf si t’es aussi dans la fuite des données de santé, là y’a moyen d’avoir un combo 
)
Le 24/02/2021 à 09h24
en même temps vu l’état du SI LCL ….
banque de merde … bien fait de me barrer !
Le 24/02/2021 à 19h44
Malheureusement, les SI des autres banques ne font pas mieux. A partir du moment où on préfère déployer en prod à la va-vite plutôt que de tester correctement, il arrive ce genre de trucs.
Le 25/02/2021 à 08h23
le SI du CA me semble quand même un poil plus robuste mais c’est une vision de loin hein ^^
ressenti sur les traitement en agence et sur leur site ouaib :) (lcl leur site était moisis et en agence c’était moitier en web IE6 ou sur de l’AS400)
Le 25/02/2021 à 08h39
Le Crédit Agricole c’est de l’AS400 et du z.
L’IHM ce n’est que l’emballage.
Le 25/02/2021 à 10h25
J’y ait bossé plusieurs fois comme prestataire. Il y a une très nette dégradation de l’ambiance de travail depuis 10 ans. Il y a eu pas mal de départs. Les paies sont au ras de pâquerettes à ce que j’ai entendu dire. Quant au SI, sur l’ensemble il y a eu pas mal d’investissement pour le moderniser c’est indéniable et même très bien foutu, mais des applications COBOL batch remontent encore aux années 1970⁄1980, avec plein de code en commentaires au fur et à mesure d’évolution et de corrections. J’ai même vu un programme de moins de 200 instructions comporter environ 70 “GO TO”. Là, pour cette affaire, c’est plus que curieux quand même que cela ne touche que quelques clients (72 000 !). Quelle est leur particularité ? Et surtout comment on peut avoir un tel bug ? Des liens identifiant client + comptes client + opérations sur les comptes, c’est dans la “structure atomique de la banque”. Sincèrement, je serai bien curieux de savoir le fin mot de l’histoire.
Le 24/02/2021 à 09h36
y a un truc que je n’ai pas compris, est ce qu’il y a le nom et prénom ou juste le prénom ?
si oui si on prend mon cas, j’ai un nom rare. je n’ai qu’un seul homonyme sur la planète. et on se fait trouver sur google sans trop soucis.
et je dirais même que si il y avait mes mouvements CB y a moyen de déterminer une zone géographique sans trop soucis, et donc me déterminer avec quasi certitude.
Le 24/02/2021 à 09h43
Uniquement le prénom.
Après oui je dis pas, quelqu’un qui épluche en détail tes transactions bancaires, s’il s’y met il y a de fortes chances qu’il finisse par te retrouver (bon, par contre faut y mettre les moyens là..!).
Heureusement que la “fuite” n’a pas duré bien longtemps..!
Le 24/02/2021 à 09h47
bon avec mon prénom ce serait juste impossible de me retrouver
ça reste inacceptable pour une banque de cette taille cela dit, ils feraient bien d’investir dans des audits de sécurité.
Le 24/02/2021 à 13h14
Moi si, avec mon prénom, c’est possible de me retrouver. :/
Le 24/02/2021 à 14h10
C’est sur que oursgris, c’est pas commun comme prénom
Le 24/02/2021 à 13h40
Suffit que la personne alimente son compte épargne avec son compte courant.
T’as des virements récurent de la part de de “paul bismuth” tu te doute bien que c’est son compte a lui
Le 24/02/2021 à 16h06
On revient à ce qu’on disait au tout début, le nom + prénom oui c’était lisible facilement.
Concernant les autres info personnelles (email, adresse, #téléphone, age etc.) c’est pas dit ou pas de façon directe en tout cas.
Bref, j’veux pas minimiser leur bug hein..! A la base je clarifiais juste ce qu’ils voulaient probablement dire par “données personnelles”…
Le 24/02/2021 à 12h55
Est-ce que ce bug a permis à qnn ici de voir les comptes de la famille Bérégovoy, de Jean-Yves Haberer et de Jean-Claude Trichet ? C’est pour un ami…
Le 24/02/2021 à 14h09
Non, si Paul Bismuth est son père on ne saura pas que c’est le compte de Paul Bismuth vu qu’il s’appelle Jean-Edouard Du Chnock.
Le 24/02/2021 à 14h53
La vache. Le jour où ma banque me fait ça, je me barre direct.
Le 24/02/2021 à 15h11
Que quelques centaines… genre 720? ce qui fait tout de même 1% des comptes. Ce n’est pas rien.
Le 24/02/2021 à 20h24
Un autre point, qui n’a pas été soulevé ici, l’a été par Bluetouff (qui parle d’experience):
sauce: https://bluetouff.com/2021/02/24/pourquoi-et-comment-les-clients-victimes-de-la-boulette-du-credit-lyonnais-pourraient-etre-poursuivis-par-leur-banque-et-condamnes/
Le 25/02/2021 à 10h47
C’est un tordu quand même, mais sait-on jamais…
Reprenons :
ont accédé sans intrusion à un STAD en pensant accéder à leur espace ;
A partir du moment où ils ont utilisé leur identifiant et leur mot de passe associé, ce n’est pas une intrusion, mais un accès légitime.
se sont maintenus frauduleusement sur des comptes qu’ils savaient ne pas être les leurs ;
Il faudra caractériser le “maintient frauduleux” avec les horodatages de début et fin de connexion.
ont volé des données en les exportant ou en prenant des captures d’écran qu’ils ont ensuite diffusé publiquement (même caviardées) ;
Là, effectivement cela peut être reconnu, mais en aucun cas ne peut dédouaner le LCL de sa faute, ce sont deux choses distinctes. Quand à diffuser des copies d’écran même maquillées, il faut voir si cela permet d’identifier ou non une personne, cela se discute en effet.
ont donné l’alerte sur les réseaux sociaux… ?
Là, ce n’est pas un délit que je sache, non ?
que risque le Crédit Lyonnais (en vrai) ?
Il y a déjà un risque de réputation et de perte de confiance de la part de la clientèle, et par ricochet, envers les salariés de la DSI (certains ici vont allègrement mettre tout le monde dans le même bain sans jamais avoir mis les pieds à la DSI du LCL).
Il y a un risque pénal, lié à la RGPD : curieux que personne n’évoque cette loi, y compris pour l’affaire des 500 000 clients des labos de l’Ouest (affaire Dedalus).
Le 25/02/2021 à 09h51
oui je me doute ! (mais bon ça fait le café as400 et Z/OS) mais au moins leur IHM elle marche bien quoi.
le seul truc qui refuse de fonctionner pour moi c’est l’ajout de mes carte en sans contact rien à faire (me demande si je me suis pas fait bannir car j’avais réussit à l’activer malgré mon tel rooter)
Le 25/02/2021 à 11h54
Ce n’est donc peut-être pas qu’une impression que j’ai de voir plein d’offres d’emploi chez eux alors ;)
Cela vient des vieilles habitudes quand il n’y avait pas trop d’outils de versionning. Et les habitudes ont la vie dure, même les plus jeunes se laissent tenter de mettre du code en commentaire même quand il est obsolète.
De ce que je comprends ce sont ceux qui ont fait la mise à jour de l’application et se sont connectés dans la foulée. Le chiffre ne me parait pas déconnant.
Un identifiant tronqué en production et que l’on n’a pas vu en homologation sur une nouvelle version d’un composant car les identifiants ont des valeurs plus petites semble une possibilité. (Et cela peut-être n’importe où entre le front et le back )
Le 25/02/2021 à 17h14
Mettons que par un malheureux hasard ma clé puisse ouvrir sans effraction la porte de la maison d’un voisin.
En suivant ton raisonnement, si un soir je rentre bourré chez ce voisin, ce n’est pas une intrusion mais un accès légitime.
Le 03/03/2021 à 08h54
Oui et non en effet, mais là le client n’était pas bourré du tout. Quant à ouvrir une autre porte que la votre avec votre clé, je ne sais pas si c’est réellement possible. J’en doute.
Le 25/02/2021 à 21h46
C’est un intrusion, mais involontaire et non préméditée, et donc c’est moins grave. Et quand tu vois ton voisin sortir de sa chambre en calbut, normalement tu es censé piger et repartir au lieu de t’incruster.
Le 26/02/2021 à 08h46
Déjà être bourré n’est plus une circonstance atténuante pour quoi que ce soit (trop facile
).
Et avec l’analogie de ta maison ce serait plus pertinent avec :
“J’ai la bonne clé, je rentre chez moi et sur mon bureau je trouve les papiers du voisin au lieu des miens.”
Sauf qu’il ne s’agit pas de ta maison ni de celle du voisin.
La question sur la responsabilité de la banque se poserait beaucoup moins si on parlait d’accès aux coffres:
“Je rentre avec ma clef, demande un accès a mon coffre, ouvre mon coffre, tombe sur les affaires d’un autre.”
Peut venir ensuite les questions sur la valeur ajoutée des services proposés par la banque et les garanties implicites lié à une restriction d’accès par clef… le fait de prendre des photos/captures (sans les diffuser, faut pas être trop con) est surement le seul moyen de prouver un manquement quelconque.