"Quelqu'un vient de vous voler 800.000$, et on vous poursuit pour ça", a déclaré une banque américaine

[Katleen Erna]

"Quelqu'un vient de vous voler 800.000$...et on vous poursuit pour ça", a déclaré une banque américaine à l'un de ses clients

Au Texas, l'état américain réputé pour recourir le plus à la peine de mort, les lois sont dures.

Une banque locale vient d'informer l'un de ses clients qu'une cyber-attaque contre son compte bancaire a délesté ce dernier de 801.495 dollars. Une nouvelle qui a du secouer la victime, qui a du être encore plus choquée lorsque l'établissement bancaire lui a signalé qu'en cadeau bonus, des poursuites étaient engagées contre elle.

Le client roi ? Pas au texas !

Et certainement pas chez PlainsCapitalBank.

En novembre 2009, des pirates non identifiés, localisés en Italie et en Roumanie, ont procédé à des transferts de fonds non-autorisés depuis le compte bancaire de la société Hillary Machinery. Les voleurs ont ainsi dérobé plus de 800.000 dollars. Sur cette somme astronomique, quelques 600.000 dollars ont pu être récupèrés par la banque.

L'entreprise lésée a alors demandé à ce que la banque lui rembourse l'argent manquant, arguant que l'incident était du à un défaut de sécurisation de cette dernière.

En réponse à cette requête, PlainsCapital a immédiatement déposé une plainte auprès de la cour du texas, en demandant aux autorités de certifier que ses mesures sécuritaires sont "commercialement suffisante". Dans son dossier, la banque explique avoir fournit tous les efforts nécéssaires pour tenter de récupèrer la totalité de l'argent volé. "Nous avons répondu à un ordre légitime déposée par Hillary Machinery pour un transfert de fonds, puisque la requête a été effectuée avec des identifiants valides".

La banque ne demande rien d'autre qu'une reconnaissance officielle de la fiabilité de son système de sécurité.

De son côté, Hillary Machinery déclare que la banque "sait très bien que ses mesures de protection ne sont pas performantes" et qu'elle se cache derrière ce procès comme derrière un écran de fumée.

Pour accèder à son compte bancaire en ligne, un client de cet établissement doit simplement se connecter en entrant login et mot de passe, et ce, depuis un ordinateur ayant été préalablement validé par l'installation sur son système d'une sorte de "passeport". Et voici là tout ce qui est fait pour authentifier un utilisateur.

Ces mesures préventives semblent un peu légères, surtout lorsque l'on sait que quelques heures avant les attaques, la banque a reçu deux demandes d'enregistrer deux nouvelles machines sous le compte d'Hillary. Même si les requêtes semblaent venir d'une adresse email appartenant à Hillary Machinery, leurs adresses IP trahissaient leur position géographique européenne. Or, l'entreprise volée est aux Etats-Unis et ne fait que du commerce national.

Source : Divers journaux américains.

Trouvez-vous les arguments de la banque justifiés, ou bien trouvez-vous au contraire que leur système n'est pas assez sécurisé ?

Dans un cas de fraude informatique de ce type, qui est responsable de l'intrusion ?

[Louis Griffont]

Qu'y a-t-il de choquant ? Le Texas, c'est un peu la France, finalement !
Ben oui, en France, un cambrioleur entre chez vous par effraction, vous menace, vous vous défendez, le blessez gravement. Vous appelez la police, et le gars porte plainte contre vous, et vous vous retrouvez en tôle, alors que le voleur, lui est remis en liberté et indemnisé... sur votre compte !

[Teocali]

Citation:

Envoyé par Louis Griffont

Qu'y a-t-il de choquant ? Le Texas, c'est un peu la France, finalement !

Ben oui, en France, un cambrioleur entre chez vous par effraction, vous menace, vous vous défendez, le blessez gravement. Vous appelez la police, et le gars porte plainte contre vous, et vous vous retrouvez en tôle, alors que le voleur, lui est remis en liberté et indemnisé... sur votre compte !

On entend souvent ce genre de tirades. Ce serait marrant de voir combien de personnes sont capable de citer des sources fiables pour soutenir leurs elucubrations sécuritaires. Je vous conseille, Monsieur Griffont, d'aller faire un tour sur Legifrance, et d'y jeter un oeil aux articles 122-5 et 122-6 du Code pénal, ceux-ci portant sur la légitime défense. Vous verrez, ils sont très compréhensible, et permettre un peu de réfléchir sur la responsabilité pénale de chacun.

Et sinon, pour en revenir au sujet, j'avoue que je serais justement intéressé pour savoir ce qu'il en serait en France.
Bon, soyons honnête, une telle plainte de la banque se ferait débouter vite fait bien fait.

Par contre, a quelle niveau pouvons nous, developpeurs, être engagé penalement quand un systeme de sécurité se revele contourné ? Ca c'est la question qui m'interesse.

Je pense que tous se jouerait autour de ces trois questions :
Avons-nous bien informé le client du mode d'emploi du systeme de sécurité ?
Le client a-t-il bien suivi ce mode d'emploi ?
S'il l'avait suivi est-ce que l'intrusion aurait pu avoir lieu tout de même ?

Qu'en pensez-vous ?

Teocali

[jf_homer]

Citation:

Qu'y a-t-il de choquant ? Le Texas, c'est un peu la France, finalement !

Idem pour la belgique

[Marco46]

Citation:

Trouvez-vous les arguments de la banque justifiés, ou bien trouvez-vous au contraire que leur système n'est pas assez sécurisé ?

Ça semble un peu léger quand même mais bon ... On connait pas le dossier donc difficile à dire.

Citation:

Dans un cas de fraude informatique de ce type, qui est responsable de l'intrusion ?

Euh ... Le pirate non ?

C'est dingue ce genre de question. Je veux bien que l'on accuse la banque de pas prendre des mesures standards de sécurité mais de là à renverser la responsabilité ...

Citation:

Envoyé par Louis Griffont

Qu'y a-t-il de choquant ? Le Texas, c'est un peu la France, finalement !
Ben oui, en France, un cambrioleur entre chez vous par effraction, vous menace, vous vous défendez, le blessez gravement. Vous appelez la police, et le gars porte plainte contre vous, et vous vous retrouvez en tôle, alors que le voleur, lui est remis en liberté et indemnisé... sur votre compte !

Ça par contre c'est tout a fait normal car :

1/ Il est interdit de se faire justice soi-même.

2/ Il est interdit de s'en prendre physiquement aux gens.

3/ Je doute qu'il soit remis en liberté puisqu'il reste le vol.

Note que si tu blesses la personne en te défendant c'est de la légitime défense donc on est pas dans ce cas.

[dams78]

Si la banque propose un système d'authentification par Internet, je trouve qu'il est normal que cela soit à elle d'assurer que ce système soit efficace.

Par contre de ce que j'ai compris il y a quand même quelque chose de "bizarre", c'est que les pirates ont fait une demande avec l'email du gars (enfin en se faisant passé pour lui, on est suffisamment informaticien pour savoir comment faire), mais ensuite les pirates se sont quand même loguer avec le user / pws du type. Donc ils étaient super bien au courant des informations (le nom de sa banque, son email, son user et son pwd). Donc est ce qu'il n'a pas aussi une part de responsabilité? Je pense que c'est une grande question actuellement qui peut se poser quand on voit le manque de connaissance informatique (sécurité et bonnes pratiques) qu'ont les gens.

En tous cas pour ceux qui critique la France, moi à la Société Générale il me faut un user / pwd pour me loguer, par contre si je veux faire un virement vers un compte extérieur (donc comme ont fait les pirates) il me faut rentrer ce compte dans le système et pour cela un code m'est envoyé par téléphone.
Je trouve ça bien réfléchit et sécur.

[loufab]

Citation:

Envoyé par Teocali

On entend souvent ce genre de tirades. Ce serait marrant de voir combien de personnes sont capable de citer des sources fiables pour soutenir leurs elucubrations sécuritaires. Je vous conseille, Monsieur Griffont, d'aller faire un tour sur Legifrance, et d'y jeter un oeil aux articles 122-5 et 122-6 du Code pénal, ceux-ci portant sur la légitime défense. Vous verrez, ils sont très compréhensible, et permettre un peu de réfléchir sur la responsabilité pénale de chacun.


Teocali

Malheureusement il y a les lois, leurs interprétations et le facteur humain (juge et avocats). Dans un procés même si tu pense avoir la loi pour toi tu n'es jamais sûr de gagner. Et quand tu gagnes un procés tu n'es pas sûr d'avoir gain de cause...

Quant au sujet de ce post, je cherchais justement un crédit gratuit non remboursable, je sais maintenant à quelle banque m'adresser

[gorgonite]

Citation:

Envoyé par Teocali

On entend souvent ce genre de tirades. Ce serait marrant de voir combien de personnes sont capable de citer des sources fiables pour soutenir leurs elucubrations sécuritaires. Je vous conseille, Monsieur Griffont, d'aller faire un tour sur Legifrance, et d'y jeter un oeil aux articles 122-5 et 122-6 du Code pénal, ceux-ci portant sur la légitime défense. Vous verrez, ils sont très compréhensible, et permettre un peu de réfléchir sur la responsabilité pénale de chacun.

je peux citer le cas d'une personne que je connais et à qui c'est arrivé...
se faire braquer dans son commerce, se défendre en désarmant le type (en seul coup porté ^^), enfermer le type et appeler la police, pour finalement passer devant le juge pour avoir agressé la "victime"

donc oui, en France tout est possible

[Rizzen]

Citation:

Envoyé par Louis Griffont

Qu'y a-t-il de choquant ? Le Texas, c'est un peu la France, finalement !
Ben oui, en France, un cambrioleur entre chez vous par effraction, vous menace, vous vous défendez, le blessez gravement. Vous appelez la police, et le gars porte plainte contre vous, et vous vous retrouvez en tôle, alors que le voleur, lui est remis en liberté et indemnisé... sur votre compte !

Je confirme et je cite le conseil d'un gendarme si vous blessez un cambrioleur vaut mieux le tuer ça pose moins de soucis !!!!

[goomazio]

Quand je repense à Fortis qui ne t'identifie que si tu es dans ton agence principale, avec ta carte d'identité électronique (si la puce est tombée ça ne va pas), je suis content
Pour se baser en partie sur l'adresse email qui ressemble à celle du propriétaire il faut être fou non ?
Leur "identification de machine" (passeport) ne sert à rien si c'est fait ainsi.
Edit : j'ai mal lu On parle de compte de messagerie piraté et pas d'email ressemblant au vrai email.

[buzzkaido]

Citation:

En tous cas pour ceux qui critique la France, moi à la Société Générale il me faut un user / pwd pour me loguer, par contre si je veux faire un virement vers un compte extérieur (donc comme ont fait les pirates) il me faut rentrer ce compte dans le système et pour cela un code m'est envoyé par téléphone.

Idem.

Je suis à la banque postale, et pour me logguer sur mon compte, c'est juste un login / password... surement crackable si un pirate le veux vraiment.

Mais c'est pas un vrai souci puisque sur cet espace client on ne peut faire des virements que sur des comptes inscrit, et l'inscription se fait par papier, avec signature et tout le tralala...

Donc même si je me fait pirater mon compte, le pirate ne pourra que consulter mes comptes ou faire des virements entre eux, mais pas faire un virement sur son propre compte...

[Marco46]

Citation:

Envoyé par Rizzen

Je confirme et je cite le conseil d'un gendarme si vous blessez un cambrioleur vaut mieux le tuer ça pose moins de soucis !!!!

Si un gars rentre chez toi, qu'il ne t'agresse pas et que tu le tabasses, tu es en tord et c'est normal.

On tape pas sur les gens pour se faire justice soi-même, c'est du niveau de la cours de récréation de maternelle.

[turican2]

Citation:

@Marco46: Si un gars rentre chez toi, qu'il ne t'agresse pas et que tu le tabasses, tu es en tord et c'est normal.

si quelqu'un rentre chez toi par effraction ou pas, il te dit gentillement, je prends ta télé, bijoux, bonsoir... toi tu ne te defends pas, tu ne l'agresses pas !!! ... eu tu es un peu particulier comme garçon . Moi quelqu'un rentre chez moi, je pense à ma femme, mon p'tit garçon avant de penser "qu'est ce ce gas fait chez moi?"

Citation:

On entend souvent ce genre de tirades. Ce serait marrant de voir combien de personnes sont capable de citer des sources fiables pour soutenir leurs elucubrations sécuritaires.

Ma tente c'est faite cambrioler, et le gas c'est fait mordre par son chien. Le cambrilloleur à eu 15 jours d'arrêt de travail, et bien la justice a demandé à ma tente de payer ses jours d'incapacité... ça c'est normal???? allons allons un peu de sérieux dès fois je me dis que le système judiciaire marche sur la tête un peu partout dans le monde.

[Humanum]

Et le probleme de securite qui ressurgit...

Cela montre la direction a suivre ou du moins qui va s'imposer avec le temps...

La securite n'est pas quelque chose d'acquis mais plutot une confiance que l'on accepte de donner...

Parfois l'on est en securite mais l'on ne se sent pas en securite et vice versa...

Heureusement que je n'ai pas de compte bancaire ... La meilleure banque se trouve sous mon lit...

La banque devrait etre coupable puisque ayant defini les mesures securitaire a adopte et n'ayant pas pris la precaution de verifier les adresses ip utiliser pour l'envoie des mails...

[samuel.s]

Bah la banque ne poursuit pas le client parcequ'il s'est fait volé 800.000(en fait 200.000,ce qui est déjà moins gros) mais surtout le fait qu'on touche à sa réputation.

Citation:

On tape pas sur les gens pour se faire justice soi-même, c'est du niveau de la cours de récréation de maternelle.

Ce n'est pas tellement une question de faire justice soit même c'est que je penses à ma famille voir à moi et qu'en plus même si ce n'etait pas dangereux physiquement ce n'est pas pour autant que il faut lui dire bah allez-y, ah attendez vous avez oublié la voiture...

[Derf59242]

Citation:

Envoyé par dams78

Si la banque propose un système d'authentification par Internet, je trouve qu'il est normal que cela soit à elle d'assurer que ce système soit efficace.

Par contre de ce que j'ai compris il y a quand même quelque chose de "bizarre", c'est que les pirates ont fait une demande avec l'email du gars (enfin en se faisant passé pour lui, on est suffisamment informaticien pour savoir comment faire), mais ensuite les pirates se sont quand même loguer avec le user / pws du type. Donc ils étaient super bien au courant des informations (le nom de sa banque, son email, son user et son pwd). Donc est ce qu'il n'a pas aussi une part de responsabilité? Je pense que c'est une grande question actuellement qui peut se poser quand on voit le manque de connaissance informatique (sécurité et bonnes pratiques) qu'ont les gens.

En tous cas pour ceux qui critique la France, moi à la Société Générale il me faut un user / pwd pour me loguer, par contre si je veux faire un virement vers un compte extérieur (donc comme ont fait les pirates) il me faut rentrer ce compte dans le système et pour cela un code m'est envoyé par téléphone.
Je trouve ça bien réfléchit et sécur.

Et tu ne penses pas que si les pirates ont réussis à faire ajouter 2 machines, une fois ces 2 machines ajoutées il n'y aurait pas un moyen par exemple dans le système/site de la banque de se faire renvoyer son mot de passe sur son email comme celà se fait sur pas mal de site ?

On ne connait pas assez les détails/produits pour statuer sur les éventuelles erreurs du client.

Ce qui me choque c'est que l'ajout de machines se fasse juste sur l'IP et une demande par mail sans aucune vérification.

D'autre part pour "dérober" de l'argent dans une banque via un site Web, on ne peut le faire que par virement. Et en France pour les sociétés quand on fait un virement, il faut encore valider par l'envoi d'une lettre de débit signée (par fax, mail, ou autre moyen) avant que le virement soit effectif.

[Marco46]

Citation:

Envoyé par turican2

si quelqu'un rentre chez toi par effraction ou pas, il te dit gentillement, je prends ta télé, bijoux, bonsoir... toi tu ne te defends pas, tu ne l'agresses pas !!! ... eu tu es un peu particulier comme garçon . Moi quelqu'un rentre chez moi, je pense à ma femme, mon p'tit garçon avant de penser "qu'est ce ce gas fait chez moi?"

Tu n'as pas le droit d'agresser les gens, même s'ils te volent, ou font des choses qui ne te plaisent pas. Dans ce cas tu appelles les flics, tu le suis, tu le menaces, tu peux faire plein de choses avant de le dessouder.
Ce que tu as le droit de faire c'est de préserver ton intégrité physique (et celle de tes proches), la légitime défense quoi. Mais on ne défonce pas le crâne de quelqu'un que l'on prend à voler quelque chose. Ça s'appelle la civilisation.

Alors après je reconnais que tout ça c'est de la théorie, que c'est bien plus facile à dire qu'à faire, qu'on sait pas comment on réagirait sur le moment dans le feu de l'action, mais on parle de règles générale de conduite en société. Imaginons l'alternative inverse, qui est en gros qu'à partir du moment où quelqu'un viole la loi, on a pas besoin d'être fonctionnaire de police pour faire cesser l'atteinte à la loi. C'est un bordel sans nom car tout le monde s'arroge le droit d'être juge et exécutif. C'est n'importe quoi, ça voudrait dire que je peux cribler de balles un intru dans mon jardin, etc ...

Citation:

Envoyé par turican2

Ma tente c'est faite cambrioler, et le gas c'est fait mordre par son chien. Le cambrilloleur à eu 15 jours d'arrêt de travail, et bien la justice a demandé à ma tente de payer ses jours d'incapacité... ça c'est normal???? allons allons un peu de sérieux dès fois je me dis que le système judiciaire marche sur la tête un peu partout dans le monde.

Elle est responsable du chien donc c'est normal. Tu préfèrerais quoi ? Que le chien bouffe un bras du gars et que le mec avec son bras en moins prenne en charge la facture du lavage d'estomac ?

Quand on a un chien aussi sauvage on prend des précaution. Comment le chien peut-il faire la différence entre un voleur, un facteur, un gamin qui vient chercher son ballon dans le jardin en passant par dessus le grillage, etc ... On peut trouver plein de cas particuliers.

[dams78]

Citation:

Envoyé par Derf59242

Et tu ne penses pas que si les pirates ont réussis à faire ajouter 2 machines, une fois ces 2 machines ajoutées il n'y aurait pas un moyen par exemple dans le système/site de la banque de se faire renvoyer son mot de passe sur son email comme celà se fait sur pas mal de site ?

On ne connait pas assez les détails/produits pour statuer sur les éventuelles erreurs du client.

Ce qui me choque c'est que l'ajout de machines se fasse juste sur l'IP et une demande par mail sans aucune vérification.

D'autre part pour "dérober" de l'argent dans une banque via un site Web, on ne peut le faire que par virement. Et en France pour les sociétés quand on fait un virement, il faut encore valider par l'envoi d'une lettre de débit signée (par fax, mail, ou autre moyen) avant que le virement soit effectif.

Je suis d'accord avec toi on n'en connait pas assez pour pouvoir "juger", je soulevait juste là question "comment ils ont eu le user / pwd" Je pense pas que ça soit par email, parce qu'ils, les pirates, avaient juste moyen d'envoyer un email toto@caramail.com et non de consulter la réponse toto@caramail.com, enfin de ce que j'ai compris, sinon je vois pas pourquoi on nous parlerai d'adresse IP (le gars peut être à l'étranger et consulter son compte).
Enfin bref tout cela est trop flou

[Kikuts]

Ah j'adore le cas du cambrioleur en france qui a bien fait parlé et fait coulé beaucoup d'encre !

Maintenant quand on dit "il vaut mieux le tuer ca apporte moins de problème"

Va tuer qq1 comme ça d'un coup. Je pense pas qu'on verra de la légitime défense si tu lui plante 12 coups de couteaux pour être sûr qu'il est bien mort

Moi, je préférerai voir plus de monde condamné et des peines ajusté genre 50e la chanson pour téléchargé. 150e si c'est du partage. Parce que sinon c'est du grand n'importe quoi (et encore les montants que je donne sont encore énorme ! :s )

J'aime la photo qui était parrut sur zataz qui disait : 1 vie vaut 12 000 $ (un truc comme ça) suite à l'accident d'un avion : la compagnie a indemnisé à hauteur de 22 500$ (je sais plus le montant exacte c'est indicatif) chaque famille pour chaque mort. Et à côté de ça, un mec avait 190 000$ d'amende par chanson DL ^^

[dams78]

Citation:

Envoyé par Marco46

Elle est responsable du chien donc c'est normal. Tu préfèrerais quoi ? Que le chien bouffe un bras du gars et que le mec avec son bras en moins prenne en charge la facture du lavage d'estomac ?

Quand on a un chien aussi sauvage on prend des précaution. Comment le chien peut-il faire la différence entre un voleur, un facteur, un gamin qui vient chercher son ballon dans le jardin en passant par dessus le grillage, etc ... On peut trouver plein de cas particuliers.

Autant je suis d'accord pour comprendre que la légitime défense c'est "tu ne dois pas répliquer à une attaque par plus fort" que là je suis pas vraiment pour tes propos. Déjà qui te dis que le chien est super violent? Un chien défendra à tout pris son maître, je le sais pour en avoir eu un dans mon enfance de 15 kilos qui un jour à mordu mon père parce qu'il m'engueulais . Ensuite le chien était quand même chez lui, c'est encore une fois trop facile de rentrer chez les gens et de venir se plaindre parce que le chien t'as mordu !!!
Le cambrioleur fait un acte illégale lorsqu'il pénètre chez toi, il a qu'à assumer. Je trouve ça tout à fait normal de vouloir défendre sa maison !