C’est une situation pour le moins embarrassante pour la banque, comme elle l’explique à l’AFP : « Les personnes concernées par cet incident ont pu lire sur leur application des opérations d'un autre compte que le leur ».
Sur Twitter, plusieurs clients témoignent en effet de leur mésaventure : « Je suis choquée. En me connectant sur mon app LCL j’ai eu accès aux comptes de quelqu’un d’autre, une certaine Caroline, ses dépenses, tous ses comptes, son épargne avec les montants », explique Alexia Toulmet. « Sur l'application on n'a plus accès à nos comptes mais à des comptes d'autres clients », ajoute La chouette. Même chose chez Antoon, etc.
LCL se veut rassurante auprès de nos confrères : « les premiers constats » montrent que sur les 72 000 clients ayant utilisé l’application pendant ce « bug », il ne seraient « que quelques centaines » concernés. Cette faille est arrivée à « l'occasion de la mise en place d'une évolution de l'application », ajoute LCL.
« En aucun cas il n'était possible de réaliser des opérations sur les comptes dont les données étaient affichées, ni d'accéder aux informations du titulaire du compte », tient à préciser la banque.
Les clients concernés seront contactés.
Commentaires (27)
#1
Et bah qu’est ce qu’il leur faut ?!
Voir les dépenses, le nom, les comptes et les montants c’est ce que j’appelle “accéder aux informations”.
Communication mensongère comme d’habitude.
#1.1
Ils parlent peut-être des infos au delà du nom (qui est affiché direct quand on ouvre l’appli donc forcement on l’a) : email, adresse etc.
#1.2
Oui ils diront “pas de soucis votre groupe sanguin n’a pas fuité”
(sauf si t’es aussi dans la fuite des données de santé, là y’a moyen d’avoir un combo 
)
#2
en même temps vu l’état du SI LCL ….
banque de merde … bien fait de me barrer !
#2.1
Malheureusement, les SI des autres banques ne font pas mieux. A partir du moment où on préfère déployer en prod à la va-vite plutôt que de tester correctement, il arrive ce genre de trucs.
#2.2
le SI du CA me semble quand même un poil plus robuste mais c’est une vision de loin hein ^^
ressenti sur les traitement en agence et sur leur site ouaib :) (lcl leur site était moisis et en agence c’était moitier en web IE6 ou sur de l’AS400)
#2.3
Le Crédit Agricole c’est de l’AS400 et du z.
L’IHM ce n’est que l’emballage.
#2.4
J’y ait bossé plusieurs fois comme prestataire. Il y a une très nette dégradation de l’ambiance de travail depuis 10 ans. Il y a eu pas mal de départs. Les paies sont au ras de pâquerettes à ce que j’ai entendu dire. Quant au SI, sur l’ensemble il y a eu pas mal d’investissement pour le moderniser c’est indéniable et même très bien foutu, mais des applications COBOL batch remontent encore aux années 1970⁄1980, avec plein de code en commentaires au fur et à mesure d’évolution et de corrections. J’ai même vu un programme de moins de 200 instructions comporter environ 70 “GO TO”. Là, pour cette affaire, c’est plus que curieux quand même que cela ne touche que quelques clients (72 000 !). Quelle est leur particularité ? Et surtout comment on peut avoir un tel bug ? Des liens identifiant client + comptes client + opérations sur les comptes, c’est dans la “structure atomique de la banque”. Sincèrement, je serai bien curieux de savoir le fin mot de l’histoire.
#3
y a un truc que je n’ai pas compris, est ce qu’il y a le nom et prénom ou juste le prénom ?
si oui si on prend mon cas, j’ai un nom rare. je n’ai qu’un seul homonyme sur la planète. et on se fait trouver sur google sans trop soucis.
et je dirais même que si il y avait mes mouvements CB y a moyen de déterminer une zone géographique sans trop soucis, et donc me déterminer avec quasi certitude.
#3.1
Uniquement le prénom.
Après oui je dis pas, quelqu’un qui épluche en détail tes transactions bancaires, s’il s’y met il y a de fortes chances qu’il finisse par te retrouver (bon, par contre faut y mettre les moyens là..!).
Heureusement que la “fuite” n’a pas duré bien longtemps..!
#3.2
bon avec mon prénom ce serait juste impossible de me retrouver
ça reste inacceptable pour une banque de cette taille cela dit, ils feraient bien d’investir dans des audits de sécurité.
#3.3
Moi si, avec mon prénom, c’est possible de me retrouver. :/
#3.5
C’est sur que oursgris, c’est pas commun comme prénom
#3.4
Suffit que la personne alimente son compte épargne avec son compte courant.
T’as des virements récurent de la part de de “paul bismuth” tu te doute bien que c’est son compte a lui
#3.6
On revient à ce qu’on disait au tout début, le nom + prénom oui c’était lisible facilement.
Concernant les autres info personnelles (email, adresse, #téléphone, age etc.) c’est pas dit ou pas de façon directe en tout cas.
Bref, j’veux pas minimiser leur bug hein..! A la base je clarifiais juste ce qu’ils voulaient probablement dire par “données personnelles”…
#4
Est-ce que ce bug a permis à qnn ici de voir les comptes de la famille Bérégovoy, de Jean-Yves Haberer et de Jean-Claude Trichet ? C’est pour un ami…
#5
Non, si Paul Bismuth est son père on ne saura pas que c’est le compte de Paul Bismuth vu qu’il s’appelle Jean-Edouard Du Chnock.
#6
La vache. Le jour où ma banque me fait ça, je me barre direct.
#7
Que quelques centaines… genre 720? ce qui fait tout de même 1% des comptes. Ce n’est pas rien.
#8
Un autre point, qui n’a pas été soulevé ici, l’a été par Bluetouff (qui parle d’experience):
sauce: https://bluetouff.com/2021/02/24/pourquoi-et-comment-les-clients-victimes-de-la-boulette-du-credit-lyonnais-pourraient-etre-poursuivis-par-leur-banque-et-condamnes/
#8.1
C’est un tordu quand même, mais sait-on jamais…
Reprenons :
ont accédé sans intrusion à un STAD en pensant accéder à leur espace ;
A partir du moment où ils ont utilisé leur identifiant et leur mot de passe associé, ce n’est pas une intrusion, mais un accès légitime.
se sont maintenus frauduleusement sur des comptes qu’ils savaient ne pas être les leurs ;
Il faudra caractériser le “maintient frauduleux” avec les horodatages de début et fin de connexion.
ont volé des données en les exportant ou en prenant des captures d’écran qu’ils ont ensuite diffusé publiquement (même caviardées) ;
Là, effectivement cela peut être reconnu, mais en aucun cas ne peut dédouaner le LCL de sa faute, ce sont deux choses distinctes. Quand à diffuser des copies d’écran même maquillées, il faut voir si cela permet d’identifier ou non une personne, cela se discute en effet.
ont donné l’alerte sur les réseaux sociaux… ?
Là, ce n’est pas un délit que je sache, non ?
que risque le Crédit Lyonnais (en vrai) ?
Il y a déjà un risque de réputation et de perte de confiance de la part de la clientèle, et par ricochet, envers les salariés de la DSI (certains ici vont allègrement mettre tout le monde dans le même bain sans jamais avoir mis les pieds à la DSI du LCL).
Il y a un risque pénal, lié à la RGPD : curieux que personne n’évoque cette loi, y compris pour l’affaire des 500 000 clients des labos de l’Ouest (affaire Dedalus).
#9
oui je me doute ! (mais bon ça fait le café as400 et Z/OS) mais au moins leur IHM elle marche bien quoi.
le seul truc qui refuse de fonctionner pour moi c’est l’ajout de mes carte en sans contact rien à faire (me demande si je me suis pas fait bannir car j’avais réussit à l’activer malgré mon tel rooter)
#10
Ce n’est donc peut-être pas qu’une impression que j’ai de voir plein d’offres d’emploi chez eux alors ;)
Cela vient des vieilles habitudes quand il n’y avait pas trop d’outils de versionning. Et les habitudes ont la vie dure, même les plus jeunes se laissent tenter de mettre du code en commentaire même quand il est obsolète.
De ce que je comprends ce sont ceux qui ont fait la mise à jour de l’application et se sont connectés dans la foulée. Le chiffre ne me parait pas déconnant.
Un identifiant tronqué en production et que l’on n’a pas vu en homologation sur une nouvelle version d’un composant car les identifiants ont des valeurs plus petites semble une possibilité. (Et cela peut-être n’importe où entre le front et le back )
#11
Mettons que par un malheureux hasard ma clé puisse ouvrir sans effraction la porte de la maison d’un voisin.
En suivant ton raisonnement, si un soir je rentre bourré chez ce voisin, ce n’est pas une intrusion mais un accès légitime.
#11.1
Oui et non en effet, mais là le client n’était pas bourré du tout. Quant à ouvrir une autre porte que la votre avec votre clé, je ne sais pas si c’est réellement possible. J’en doute.
#12
C’est un intrusion, mais involontaire et non préméditée, et donc c’est moins grave. Et quand tu vois ton voisin sortir de sa chambre en calbut, normalement tu es censé piger et repartir au lieu de t’incruster.
#13
Déjà être bourré n’est plus une circonstance atténuante pour quoi que ce soit (trop facile
).
Et avec l’analogie de ta maison ce serait plus pertinent avec :
“J’ai la bonne clé, je rentre chez moi et sur mon bureau je trouve les papiers du voisin au lieu des miens.”
Sauf qu’il ne s’agit pas de ta maison ni de celle du voisin.
La question sur la responsabilité de la banque se poserait beaucoup moins si on parlait d’accès aux coffres:
“Je rentre avec ma clef, demande un accès a mon coffre, ouvre mon coffre, tombe sur les affaires d’un autre.”
Peut venir ensuite les questions sur la valeur ajoutée des services proposés par la banque et les garanties implicites lié à une restriction d’accès par clef… le fait de prendre des photos/captures (sans les diffuser, faut pas être trop con) est surement le seul moyen de prouver un manquement quelconque.