L'arme préférée des pirates qui s'attaquent à nos comptes en ligne est le phishing. Redoublez de vigilance face aux e-mails suspects, et accédez directement à vos comptes en ligne depuis un raccourci ou en tapant leur URL !
PAPEETE, le 28 février 2018 - Les pirates redoublent d'efforts pour attaquer les clients des banques locales. Ces dernières assurent que leurs systèmes sont sécurisés. Malgré tout, certains clients se font tout de même voler leurs économies, en particulier à cause d'attaques de type "phishing". Nous avons ainsi reçu le témoignage d'un client s'étant fait dérober 2,6 millions de francs... Que sa banque refuse de lui rembourser !
La semaine dernière, un expert local en cyber-sécurité nous alertait sur une faille potentielle du site de la Banque de Tahiti, introduite après la migration du site banque-tahiti.pf vers un nouveau serveur (voir le droit de réponse de la banque). La banque conteste donc l'analyse de cet expert, assurant que d'autres sites locaux ont la même vulnérabilité. La BT nous explique tout de même qu'elle va installer un certificat de sécurité plus sérieux dans les semaines qui viennent.
Et leur remarque est valide. Effectivement, les sites institutionnels de la Socredo et de l'OPT (Web CCP) n'ont même pas un certificat de sécurité SSL de test : ils ne sont pas protégés du tout par le protocole HTTPS. En pratique, ça veut dire qu'il n'y a pas le fameux "cadenas vert" sur ces sites, ce qui alerte tout de même les clients sur leur mauvaise protection. Comme pour les clients de la BT, est recommandé aux clients Socredo et OPT de mettre les adresses de leur banque en ligne en favori et d'y accéder directement, sans passer par les sites vitrines de ces banques. Pour le CCP, il s'agit de l'adresse secure.opt.pf. Pour la Socredo, il s'agit de websoc.socredo.com. Pour la Banque de Tahiti c'est l'adresse tiarenet.banque-tahiti.pf.
Si l'OPT ne pouvait pas nous répondre dans la journée, nous avons réussi à contacter la Socredo. Son responsable communication assure que malgré l'absence de certificat de sécurité sur le site socredo.pf, les clients ne courent aucun risque : "Nous avons confié à des sociétés de sécurité internationales la mission de vérifier régulièrement si le site est attaquable ou pas. La dernière faille découverte remonte à quatre ans, et elle était mineure. De plus, le site socredo.pf ne contient que des informations sur nos produits, même s'il y a un lien vers le site bancaire qui est hyper sécurisé. Concernant le phishing, nous sommes comme tout le monde sur internet, nous sommes régulièrement attaqués par les pirates... Après, c'est aux internautes de savoir quand ils peuvent cliquer sur un lien dans un email et quand il ne faut pas cliquer. Il y a aussi des gens qui lancent des protocoles d'attaque automatiques contre le site, comme contre tout le monde sur internet, mais ces attaques ne passent pas. Donc pour nous le site est sécurisé. Il n'y a pas à s'affoler, on est régulièrement attaqués mais il n'y a jamais eu de problème."
Le secrétaire général de la Socredo, Miri Aunoa, nous a également précisé par email que la Socredo "dispose de deux sites totalement distincts et surtout isolés l'un de l'autre : Le site socredo.pf que vous citez est notre site institutionnel sur lequel vous trouverez uniquement des informations publiques sur notre banque. S’il ne dispose pas à ce stade d’un certificat ou de connexion https eu égard aux informations très génériques qu’il contient, son accès est néanmoins régulièrement contrôlé par nos équipes informatiques de même que le fonds et la forme font l’objet d’une veille par nos équipes de communication ; Le second site https://websoc.socredo.com/, qui est le site commercial permettant à nos clients de faire des opérations en ligne, est bien sécurisé et dispose d'un certificat tenu régulièrement à jour. Des test d’intrusion sont régulièrement réalisés pour vérifier la solidité de ce site face à des menaces d’intrusion. Soyez assuré , plus globalement, que nous portons la plus grande attention à la sécurité des données de nos clients et que nos infrastructures informatiques font l'objet d'un suivi étroit en terme de cyber sécurité."
DE NOMBREUSES ATTAQUES, ET DES VICTIMES
Malgré ces assurances, évitez de passer par les sites institutionnels de votre banque pour accéder à votre compte en ligne (la Banque de Polynésie a un site mieux sécurisé, mais accéder directement à son compte en ligne reste une bonne habitude à prendre). Et bien sûr n'accédez jamais à votre compte en cliquant sur un lien reçu par mail !
La prudence est de mise car l'infrastructure bancaire polynésienne est particulièrement visée par les pirates ces derniers mois. Leur arme de prédilection est le "phishing" : des faux emails des banques, qui essaient d'attirer les clients vers des faux sites afin de récupérer leurs identifiants et mots de passes bancaires. Par exemple le weekend dernier, les comptes CCP étaient victimes d'une attaque de ce type, avec un mail très bien élaboré qui adoptait toute la charte graphique de la banque. Les trois autres banques locales ont également toutes été victimes d'attaques de ce type ces derniers mois... Et certains de leurs clients ont été pris au piège. Nous avons ainsi reçu le témoignage du directeur d'une grande entreprise locale qui a été victime d'une très mauvaise surprise en consultant ses relevés en ligne, à lire ci-dessous.
La semaine dernière, un expert local en cyber-sécurité nous alertait sur une faille potentielle du site de la Banque de Tahiti, introduite après la migration du site banque-tahiti.pf vers un nouveau serveur (voir le droit de réponse de la banque). La banque conteste donc l'analyse de cet expert, assurant que d'autres sites locaux ont la même vulnérabilité. La BT nous explique tout de même qu'elle va installer un certificat de sécurité plus sérieux dans les semaines qui viennent.
Et leur remarque est valide. Effectivement, les sites institutionnels de la Socredo et de l'OPT (Web CCP) n'ont même pas un certificat de sécurité SSL de test : ils ne sont pas protégés du tout par le protocole HTTPS. En pratique, ça veut dire qu'il n'y a pas le fameux "cadenas vert" sur ces sites, ce qui alerte tout de même les clients sur leur mauvaise protection. Comme pour les clients de la BT, est recommandé aux clients Socredo et OPT de mettre les adresses de leur banque en ligne en favori et d'y accéder directement, sans passer par les sites vitrines de ces banques. Pour le CCP, il s'agit de l'adresse secure.opt.pf. Pour la Socredo, il s'agit de websoc.socredo.com. Pour la Banque de Tahiti c'est l'adresse tiarenet.banque-tahiti.pf.
Si l'OPT ne pouvait pas nous répondre dans la journée, nous avons réussi à contacter la Socredo. Son responsable communication assure que malgré l'absence de certificat de sécurité sur le site socredo.pf, les clients ne courent aucun risque : "Nous avons confié à des sociétés de sécurité internationales la mission de vérifier régulièrement si le site est attaquable ou pas. La dernière faille découverte remonte à quatre ans, et elle était mineure. De plus, le site socredo.pf ne contient que des informations sur nos produits, même s'il y a un lien vers le site bancaire qui est hyper sécurisé. Concernant le phishing, nous sommes comme tout le monde sur internet, nous sommes régulièrement attaqués par les pirates... Après, c'est aux internautes de savoir quand ils peuvent cliquer sur un lien dans un email et quand il ne faut pas cliquer. Il y a aussi des gens qui lancent des protocoles d'attaque automatiques contre le site, comme contre tout le monde sur internet, mais ces attaques ne passent pas. Donc pour nous le site est sécurisé. Il n'y a pas à s'affoler, on est régulièrement attaqués mais il n'y a jamais eu de problème."
Le secrétaire général de la Socredo, Miri Aunoa, nous a également précisé par email que la Socredo "dispose de deux sites totalement distincts et surtout isolés l'un de l'autre : Le site socredo.pf que vous citez est notre site institutionnel sur lequel vous trouverez uniquement des informations publiques sur notre banque. S’il ne dispose pas à ce stade d’un certificat ou de connexion https eu égard aux informations très génériques qu’il contient, son accès est néanmoins régulièrement contrôlé par nos équipes informatiques de même que le fonds et la forme font l’objet d’une veille par nos équipes de communication ; Le second site https://websoc.socredo.com/, qui est le site commercial permettant à nos clients de faire des opérations en ligne, est bien sécurisé et dispose d'un certificat tenu régulièrement à jour. Des test d’intrusion sont régulièrement réalisés pour vérifier la solidité de ce site face à des menaces d’intrusion. Soyez assuré , plus globalement, que nous portons la plus grande attention à la sécurité des données de nos clients et que nos infrastructures informatiques font l'objet d'un suivi étroit en terme de cyber sécurité."
DE NOMBREUSES ATTAQUES, ET DES VICTIMES
Malgré ces assurances, évitez de passer par les sites institutionnels de votre banque pour accéder à votre compte en ligne (la Banque de Polynésie a un site mieux sécurisé, mais accéder directement à son compte en ligne reste une bonne habitude à prendre). Et bien sûr n'accédez jamais à votre compte en cliquant sur un lien reçu par mail !
La prudence est de mise car l'infrastructure bancaire polynésienne est particulièrement visée par les pirates ces derniers mois. Leur arme de prédilection est le "phishing" : des faux emails des banques, qui essaient d'attirer les clients vers des faux sites afin de récupérer leurs identifiants et mots de passes bancaires. Par exemple le weekend dernier, les comptes CCP étaient victimes d'une attaque de ce type, avec un mail très bien élaboré qui adoptait toute la charte graphique de la banque. Les trois autres banques locales ont également toutes été victimes d'attaques de ce type ces derniers mois... Et certains de leurs clients ont été pris au piège. Nous avons ainsi reçu le témoignage du directeur d'une grande entreprise locale qui a été victime d'une très mauvaise surprise en consultant ses relevés en ligne, à lire ci-dessous.
2,6 millions vidés de son compte en ligne
Nous avons reçu ce témoignage du directeur d'une entreprise locale, qui assure n'avoir jamais cliqué sur le moindre lien suspect, encore moins dans un mail de phishing : "Ça fait 15 ans que je suis (dans cette banque) et je n'avais jamais eu de soucis. On fait régulièrement des virements par internet avec ma femme. Mais en janvier dernier, on a été très surpris de voir sur notre compte en ligne que des virements avaient été faits que nous ne connaissions pas. Dans la liste des comptes autorisés, on avait trois nouvelles personnes qu'on ne connaissait ni d'Ève, ni d'Adam. Deux personnes de la région parisienne et un à la presqu'île. Ils avaient prélevé 2,6 millions de francs sur le compte en tout ! Nous avons donné leurs noms à la gendarmerie et on a fait changer tous les codes de notre compte en ligne... Mais jusqu'à présent personne ne peut m'expliquer comment ils sont entrés sur le compte, c'est vraiment inquiétant. Pour l'instant (cette banque) me répond qu'ils ont fait des recherches informatiques chez eux mais qu'ils n'avaient rien trouvé. On a porté plainte, mais la gendarmerie ne nous a pas encore fait de retour."
Ce client malheureux ne sait pas comment les pirates ont réussi à prendre possession de son compte. Il est surtout surpris et inquiet que plusieurs millions aient pu être sortis de son compte et trois nouveaux bénéficiaires ajoutés sans même qu'il reçoive un SMS d'alerte : "Ils auraient pu vider le compte, on ne s'en serait aperçu qu'à la réception des relevés. Nous avons demandé à (cette banque) de nous rembourser, car pour moi c'est leur responsabilité, mais je n'ai pas eu de réponse. J'attends encore un peu, mais s'ils ne réagissent pas je vais devoir porter plainte contre eux ! Au niveau informatique j'ai l'impression qu'ils ne sont vraiment pas les meilleurs. Pourtant c'est primordial pour la sécurité ! Après, je ne suis pas un spécialiste, mais on attend un minimum de sérieux d'une banque. "
Le directeur de la banque concernée, qui ne souhaite pas que l'on cite son entreprise, nous a répondu. Il affirme que, selon leur enquête, le client malheureux a cliqué sur un lien dans un mail de phishing et a donné ses codes secrets au pirate sans s'en rendre compte. Il ne sera donc pas du tout remboursé.
Ce client malheureux ne sait pas comment les pirates ont réussi à prendre possession de son compte. Il est surtout surpris et inquiet que plusieurs millions aient pu être sortis de son compte et trois nouveaux bénéficiaires ajoutés sans même qu'il reçoive un SMS d'alerte : "Ils auraient pu vider le compte, on ne s'en serait aperçu qu'à la réception des relevés. Nous avons demandé à (cette banque) de nous rembourser, car pour moi c'est leur responsabilité, mais je n'ai pas eu de réponse. J'attends encore un peu, mais s'ils ne réagissent pas je vais devoir porter plainte contre eux ! Au niveau informatique j'ai l'impression qu'ils ne sont vraiment pas les meilleurs. Pourtant c'est primordial pour la sécurité ! Après, je ne suis pas un spécialiste, mais on attend un minimum de sérieux d'une banque. "
Le directeur de la banque concernée, qui ne souhaite pas que l'on cite son entreprise, nous a répondu. Il affirme que, selon leur enquête, le client malheureux a cliqué sur un lien dans un mail de phishing et a donné ses codes secrets au pirate sans s'en rendre compte. Il ne sera donc pas du tout remboursé.