"Quelqu'un vient de vous voler 800 000$... et on vous poursuit pour ça"
A déclaré une banque américaine à un client

Le , par Katleen Erna, Expert éminent sénior
"Quelqu'un vient de vous voler 800.000$...et on vous poursuit pour ça", a déclaré une banque américaine à l'un de ses clients

Au Texas, l'état américain réputé pour recourir le plus à la peine de mort, les lois sont dures.

Une banque locale vient d'informer l'un de ses clients qu'une cyber-attaque contre son compte bancaire a délesté ce dernier de 801.495 dollars. Une nouvelle qui a du secouer la victime, qui a du être encore plus choquée lorsque l'établissement bancaire lui a signalé qu'en cadeau bonus, des poursuites étaient engagées contre elle.

Le client roi ? Pas au texas !

Et certainement pas chez PlainsCapitalBank.

En novembre 2009, des pirates non identifiés, localisés en Italie et en Roumanie, ont procédé à des transferts de fonds non-autorisés depuis le compte bancaire de la société Hillary Machinery. Les voleurs ont ainsi dérobé plus de 800.000 dollars. Sur cette somme astronomique, quelques 600.000 dollars ont pu être récupèrés par la banque.

L'entreprise lésée a alors demandé à ce que la banque lui rembourse l'argent manquant, arguant que l'incident était du à un défaut de sécurisation de cette dernière.

En réponse à cette requête, PlainsCapital a immédiatement déposé une plainte auprès de la cour du texas, en demandant aux autorités de certifier que ses mesures sécuritaires sont "commercialement suffisante". Dans son dossier, la banque explique avoir fournit tous les efforts nécéssaires pour tenter de récupèrer la totalité de l'argent volé. "Nous avons répondu à un ordre légitime déposée par Hillary Machinery pour un transfert de fonds, puisque la requête a été effectuée avec des identifiants valides".

La banque ne demande rien d'autre qu'une reconnaissance officielle de la fiabilité de son système de sécurité.

De son côté, Hillary Machinery déclare que la banque "sait très bien que ses mesures de protection ne sont pas performantes" et qu'elle se cache derrière ce procès comme derrière un écran de fumée.

Pour accèder à son compte bancaire en ligne, un client de cet établissement doit simplement se connecter en entrant login et mot de passe, et ce, depuis un ordinateur ayant été préalablement validé par l'installation sur son système d'une sorte de "passeport". Et voici là tout ce qui est fait pour authentifier un utilisateur.

Ces mesures préventives semblent un peu légères, surtout lorsque l'on sait que quelques heures avant les attaques, la banque a reçu deux demandes d'enregistrer deux nouvelles machines sous le compte d'Hillary. Même si les requêtes semblaent venir d'une adresse email appartenant à Hillary Machinery, leurs adresses IP trahissaient leur position géographique européenne. Or, l'entreprise volée est aux Etats-Unis et ne fait que du commerce national.

Source : Divers journaux américains.

Trouvez-vous les arguments de la banque justifiés, ou bien trouvez-vous au contraire que leur système n'est pas assez sécurisé ?

Dans un cas de fraude informatique de ce type, qui est responsable de l'intrusion ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de degrécelcius degrécelcius - Membre à l'essai https://www.developpez.com
le 03/02/2010 à 10:28
Citation Envoyé par Teocali  Voir le message
... Par contre, a quelle niveau pouvons nous, developpeurs, être engagé penalement quand un systeme de sécurité se revele contourné ? Ca c'est la question qui m'interesse...

Que pensez-vous d'une solution qui utilise l'expédition d'e-mail pour confirmation (le site web envoie un email vers l'adresse enregistrée pour le responsable de l'entreprise qui doit valider la demande par clic sur un lien).
Est-ce suffisant pour valider une transaction financière
Sinon, le système cité du téléphone portable est ok, à part que maintenant que les mobiles accèdent à la messagerie, quand on le perd ou se le fait piquer ... c'est comme si nous donnions les clés de la maison et du coffre
Avatar de dams78 dams78 - Membre chevronné https://www.developpez.com
le 03/02/2010 à 10:56
Citation Envoyé par degrécelcius  Voir le message
Que pensez-vous d'une solution qui utilise l'expédition d'e-mail pour confirmation (le site web envoie un email vers l'adresse enregistrée pour le responsable de l'entreprise qui doit valider la demande par clic sur un lien).
Est-ce suffisant pour valider une transaction financière
Sinon, le système cité du téléphone portable est ok, à part que maintenant que les mobiles accèdent à la messagerie, quand on le perd ou se le fait piquer ... c'est comme si nous donnions les clés de la maison et du coffre

Pour le téléphone, si tu te le fais voler, le gars ne pourra pas aller sur ton compte pour faire un virement puisqu'il n'aura pas ton code d'accès ni ton mot de passe.
Avatar de thithi83 thithi83 - Membre régulier https://www.developpez.com
le 03/02/2010 à 12:23
Allons... La banque s'est fait piratée son système d'information.

Si elle avait en charge son propre système, et donc sa propre sécurité, elle peut sans doute se retourner contre son personnel en cas de faute grave de nature à compromettre la sécurité de l'ensemble du SI.

Dans le cas où elle confie son SI à une société tierce... La sécurité étant un argument de vente majeure... Il est normal que ce soit cette société qui assume les conséquences, toutes les conséquences, à moins que le cahier des charges ne prévoyait pas de sécurité (ce dont je doute).
Si la banque a signé un tel contrat, faut pas pleurer après...

Voilà!
Avatar de Jidefix Jidefix - Membre éprouvé https://www.developpez.com
le 03/02/2010 à 12:54
Citation Envoyé par thithi83  Voir le message
Allons... La banque s'est fait piratée son système d'information.

Si elle avait en charge son propre système, et donc sa propre sécurité, elle peut sans doute se retourner contre son personnel en cas de faute grave de nature à compromettre la sécurité de l'ensemble du SI.

Dans le cas où elle confie son SI à une société tierce... La sécurité étant un argument de vente majeure... Il est normal que ce soit cette société qui assume les conséquences, toutes les conséquences, à moins que le cahier des charges ne prévoyait pas de sécurité (ce dont je doute).
Si la banque a signé un tel contrat, faut pas pleurer après...

Voilà!

Ben ça me semble pas si évident que ça, visiblement la défense de la banque se base sur le fait que le client s'est fait piquer ses identifiants.
Or pour moi ça devrait s'apparenter à une rupture de contrat de la part du l'entreprise.
Reste à voir lequel est vrai mais les deux points de vue me semblent vraisemblables!
Avatar de thithi83 thithi83 - Membre régulier https://www.developpez.com
le 03/02/2010 à 13:39
Citation Envoyé par Jidefix  Voir le message
Ben ça me semble pas si évident que ça, visiblement la défense de la banque se base sur le fait que le client s'est fait piquer ses identifiants.

Humm... Tu trouves normal, qu'un client arrive à retirer 800 000$ sur son propre compte bancaire avec son identifiant et son mot de passe ?

C'est sûr que des clients, vraiment mal intentionnés cette fois, vont venir se servir, maintenant que la publicité est faite
Avatar de Jidefix Jidefix - Membre éprouvé https://www.developpez.com
le 03/02/2010 à 14:03
Citation Envoyé par thithi83  Voir le message
Humm... Tu trouves normal, qu'un client arrive à retirer 800 000$ sur son propre compte bancaire avec son identifiant et son mot de passe ?

C'est sûr que des clients, vraiment mal intentionnés cette fois, vont venir se servir, maintenant que la publicité est faite

Ben justement ça fait partie des mille et unes informations que nous n'avons pas: le client n'est pas monsieur Duchmol puisqu'il s'agit d'une entreprise.
De là à se dire qu'il a un compte particulier, depuis lequel il peut être régulièrement amené à faire des virements importants, il n'y a qu'un pas.

Encore une fois je ne dis pas que la banque a raison, je dis simplement qu'au vu de ce que nous savons on ne peut pas conclure grand chose.
Avatar de thithi83 thithi83 - Membre régulier https://www.developpez.com
le 03/02/2010 à 14:51
Citation Envoyé par Jidefix  Voir le message
Ben justement ça fait partie des mille et unes informations que nous n'avons pas: le client n'est pas monsieur Duchmol puisqu'il s'agit d'une entreprise.
De là à se dire qu'il a un compte particulier, depuis lequel il peut être régulièrement amené à faire des virements importants, il n'y a qu'un pas.

Encore une fois je ne dis pas que la banque a raison, je dis simplement qu'au vu de ce que nous savons on ne peut pas conclure grand chose.

C'est tout à fait vrai. Mais bon, un certain nombre de vérifications seraient souhaitables dans des opérations B2B pour éviter de se retrouver dans ce cas de figure.
Je parie en plus que le pirate a pu se payer un bateau tout beau tout neuf pour naviguer au gré des vents et semer la terreur dans le monde merveilleux des banques, où, même quand c'est la crise, ce sont les autres qui trinquent.
Avatar de Jidefix Jidefix - Membre éprouvé https://www.developpez.com
le 03/02/2010 à 15:15
Citation Envoyé par thithi83  Voir le message
C'est tout à fait vrai. Mais bon, un certain nombre de vérifications seraient souhaitables dans des opérations B2B pour éviter de se retrouver dans ce cas de figure.
Je parie en plus que le pirate a pu se payer un bateau tout beau tout neuf pour naviguer au gré des vents et semer la terreur dans le monde merveilleux des banques, où, même quand c'est la crise, ce sont les autres qui trinquent.

C'est un certain Jerôme K. qui a besoin d'argent pour rembourser ses dettes de jeu
Avatar de Xyphis Xyphis - Membre à l'essai https://www.developpez.com
le 04/02/2010 à 15:19
Il faut savoir que dans des cas comme celui-ci plusieurs choses entrent en jeu.

La société "victime" (je parle de la banque) : Elle est tenue par la loi d'assurer un certain niveau de sécurité (surement ce qu'ils entendent eux-même par "commercialement acceptable"). Ces mesures sont auditées et mises à jour régulièrement. Elles sont la responsabilité du conseil d'administration et du (ou des) RSSI (en France, ce dernier est responsable pénalement).

La société d'où partait l'attaque : si la banque a été amenée à croire que l'attaque venait d'une société en particulier (host, IP, nom de domaine, certificat falsifié, ...), celle-ci devient complice de l'attaque (même dans le cas où elle est victime elle-même d'une tierce partie). Ce fut le cas de la société Lucent dans l'affaire ESCROCA.

Le coupable : les individus qui ont lancé l'attaque, peu importe de où, sont coupables des délits ayant engendré tous les préjudices subis. Toute information ou accès sécurisé de quelque nature que ce soit ayant été volé par les coupables suite à des mesures de protection trop faibles transforme leur détenteur légal en complice.

Donc la banque peut avoir motif de se retourner sur son client lésé si celui-ci a entraîné le vol par sa négligence. La négligence, dans ce cas, peut retomber sur toute personne ayant outrepassé (ou simplement ignoré) les recommandations prises par l'entreprise en terme de sécurité.

Autrement dit, un développeur peut être poursuivi à partir du moment où le code dont il est responsable ne réagi pas conformément à la politique de sécurité adoptée par l'entreprise. Si la politique est insuffisante, c'est le RSSI qui en est responsable, ou à défaut, toute personne ayant autorité en matière de sécurité.

Edition : (en réponse à lochnar) Si quelqu'un rentre chez toi la nuit pour te voler... tu oublies de préciser quelque chose de très important : ce type, tu ne le connais pas, il aura du commettre une effraction pour entrer.

Si tu laisses ta porte grande ouverte, là tu auras commis une négligence. Exemple : si tu gares ta voiture dans la rue, avec les clés sur le contact, est-ce vraiment un vol de te la prendre ? oui, mais... l'assurance risque de ne rien te rembourser pour ... négligence ! Mieux encore ! Si le voleur braque une banque et se tire avec ta voiture, ne crois-tu pas que tu vas voir la police arriver chez toi ? Comment prouver alors que tu n'as pas volontairement laissé ta voiture au voleur ?

Donc cette fameuse banque, si un "client" veut inscrire deux nouvelles machines et dispose de tous les codes nécessaires, elle ne peut pas refuser. Or elle subit des préjudices (ne fut-ce qu'en terme de réputation) par la faute du "client" qui a laissé les truands s'emparer de données sensibles (c'est du moins le point de vue qui semble être celui de la banque). Si le client est clean, il doit pouvoir le prouver.
Avatar de user25 user25 - Nouveau membre du Club https://www.developpez.com
le 12/05/2010 à 23:40
En voila une bonne question. Qui est responsable d'un vol sur Internet ? Le développeur ou le pirate ?

Mon avis est que c'est le pirate qui est responsable.

Déjà le développeur cherche à sécuriser le système et (je pense) y met beaucoup de volonté.
Si un pirate a exploité une faille de sécurité et a volé des données c'est de la faute du pirate pas du développeur.
Parce que le développeur n'a pas pu concevoir son système de sécurité pour qu'il puisse parer toutes les attaques et opèrer dans toutes les conditions.

C'est comme si des soldats dans un véhicule blindé se faisaient tuer parce que le véhicule n'a pas résisté à une attaque. Qui est en tort ? Le constructeur ou les attaquants ?
Pour moi ce sont les attaquants parce que le véhicule blindé ne peut résister à tout type d'attaque.
J'imagine bien la tête du constructeur quand on lui dit qu'il est coupable parce que son véhicule n'a pas résisté à une bombe nucléaire !

Mais dans le cas où le développeur assure que son système est inviolable je sais pas encore ce que j'en pense.
Avatar de dvdbly dvdbly - Membre averti https://www.developpez.com
le 14/05/2010 à 6:49
Citation Envoyé par user25  Voir le message
[...]

Mais dans le cas où le développeur assure que son système est inviolable je sais pas encore ce que j'en pense.

Dans ce cas-là, il faut qu'il change de métier : l'inviolabilité est une illusion, cela n'existe pas.
Tout au plus existe-t-il une inviolabilité dans un certains laps de temps.

Sans compter que le développeur - comme quiconque - peut toujours assurer ce qu'il veut, ce n'est pas pour ça que c'est vrai et qu'il est sincère...
Offres d'emploi IT
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil