Discussion :

[AstOz]

Pour moi c'est la SoGé et Jerome Kerviel 5 millaird de perdus parce que les gars ont pas mis de vérification sur le fait de dépasser ou non son seuil d'investissement... La classe quoi...

Salut drizzt2511,

J'ai bossé deux ans pour la SGCIB (Société Générale investissement bancaire) d'où provient Kerviel, malheureusement des clauses de confidentialités m’empêchent de te donner trop d'informations, mais ça ne s'est pas fait comme ça.
Jérome a utilisé une "combine", en gros :
Tu as un outil A qui sert à demander des crédits.
Tu as un outil B qui sert à valider ses crédits.
Normalement, tu as soit l'un soit l'autre.
Jérome avait les droits sur les deux.

Te dire si c'était voulu est un autre débat, mais c'est clairement une faute de process où à un moment, quelqu'un a déployé un droit qui ne fallait pas à son profil.

[Pierre GIRARD]

Tout aussi confidentiellement, je travaillais moi aussi à la SG (dans les services informatiques) à cette époque. Je serais tout aussi discret, mais la vérité me semble infiniment plus complexe que ce qui en est ressorti. Pour moi, il y a beaucoup de responsabilités en cause ... et pas seulement celle de celui qui à pris toute la charge sur les épaules.

Ce que je souhaite sincèrement pour la SG est que ça ai servi de leçon, et que les responsables (informatiques, pour ma part) soient devenus moins arrogants et plus à l'écoute des esclaves sous-traitants. Ce qui est certain, c'est que à l'époque, j'étais moi-même client de la banque. Maintenant, je n'ai plus 1 centime à la Société Générale.

[AstOz]

Bonjour Pierre,

Je bossais aussi au sein du service informatique.
J'aurais aimé te dire que ça a changé mais malheureusement, au moment de mon départ ce n'était pas le cas.
J'étais en presta chez eux, et quand je voyais les KPI qu'on nous soumettait avec des outils vétustes, non fonctionnel ou même des failles majeurs de sécurité, c'était Bagdad.

L'affaire Kerviel est juste une fuite de tout ce qui se passe en fond pour les banques.

Pour avoir travaillé pour trois banques différentes (SG, BPCE, Crédit Foncier), il semblerait que l'on résout tout que par des clauses de confidentialité de plus en plus lourdes qui au final, si tu les respectes toutes, tu peux seulement dire que tu travailles pour cette banque à tel endroit (pratique pour les entretiens d'embauche).

Je me suis toujours demandé ce que penserait les gens s'il savait ...

Je pense qu'on a du partager une expérience assez similaire de ce genre d'environnement où l'informatique représente plus que des programmes et une infra, elle représente un véritable investissement monétaire et a besoin d'une rentabilité comme je n'en avais jamais vu.

Triste sort pour un outil développé pour le partage libre...

[el_slapper]

Quand le désastre Kerviel est arrivé, je venais de quitter la SG(dommage, le spectacle a du être rigolo...). Le grand compte chez qui j'étais à ce moment-là m'a fait pirater mon propre poste de travail pour que je puisse bosser. Ordre direct de la directrice de projet, qui m'a même montré comment faire(il fallait juste rajouter une ligne en dur dans un fichier .txt pour avoir accès à l'autre partie du SI...après, l'installeur automatique faisait le reste).

Je n'ai pas de connaissance précise du sujet, mais je ne serais pas surpris que la faille de sécurité dont s'est servi Kerviel pour avoir les deux outils cités par AstOz soit de ce genre, un piratage faisable par un collégien. Voire même, un piratage social, on embobine la personne qui donne les droits à l'une, et celle qui donne les droits à l'autre. Et ensuite, on s'amuse.

[AstOz]

Quand le désastre Kerviel est arrivé, je venais de quitter la SG(dommage, le spectacle a du être rigolo...). Le grand compte chez qui j'étais à ce moment-là m'a fait pirater mon propre poste de travail pour que je puisse bosser. Ordre direct de la directrice de projet, qui m'a même montré comment faire(il fallait juste rajouter une ligne en dur dans un fichier .txt pour avoir accès à l'autre partie du SI...après, l'installeur automatique faisait le reste).

Je n'ai pas de connaissance précise du sujet, mais je ne serais pas surpris que la faille de sécurité dont s'est servi Kerviel pour avoir les deux outils cités par AstOz soit de ce genre, un piratage faisable par un collégien. Voire même, un piratage social, on embobine la personne qui donne les droits à l'une, et celle qui donne les droits à l'autre. Et ensuite, on s'amuse.

Je te rassure ça reste similairement toujours le cas, c'est assez triste quand tu vois le pognon qu'ils mettent dans leur SI.

Pour la faille, il a fait tout simplement une demande auprès du helpdesk ... Ça en est presque risible de voir ce genre de vice de procédure.
Il faut vraiment se dire de Jérome n'a concrètement utilisé aucune faille informatique, il a juste fait des demandes de droits pour des applications, et celles-ci ont été validées. C'est "juste" une erreur humaine de process où à un moment quelqu'un n'a pas vérifié avant ou l'a fait délibérément pour lui déployer l'accès.

En soit, la "faille" peut être réalisable par n'importe qui qui sait utiliser une souris.

Ça me rappelle une campagne pour le social engineering auquel j'ai participé quand j'étais stagiaire dans une banque pour la promotion immobilière.
Une véritable catastrophe, on a pu obtenir les logins du PDG, et de presque 80% de l'entreprise grâce à un simple coup de fil de l'extérieur.

[micka132]

Quels sont selon vous les pires désastres technologiques de notre temps ?

Je qualifierais plutôt d'erreurs techniques que technologiques.
Un desastre technologiques pour moi c'est plutot les mauvais répercussions d'une technologie, et j'ai pas exemple en tete le "high-frequency trading", un système totalement parasite qui ne produit aucune valeur, mais qui potentiellement détruit des vies à l'autre bout de la planète.

[Edit]
J'aurais pu au final voter pour "La perte de 440 millions de dollars en 30 mn du Knight Capital Group", mais c'est pas tellement cette perte qui me gène, c'est qu'elle existe encore

[Lyons]

Pour moi c'est la SoGé et Jerome Kerviel 5 millaird de perdus parce que les gars ont pas mis de vérification sur le fait de dépasser ou non son seuil d'investissement... La classe quoi...

quelle naïeveté.
Les traders sont forcés à jouer avec des sommes complètement aberrantes car tant que ça marche les banque s'en mettent plein les poches et quand ça ne marche plus il leur suffit de se retourner contre le trader en question.
Évidemment que tout le monde savait qu'il avait accès à des sommes auquelles il n'aurait pas dû mais comme c'est des arrangements sans trace écrite, il ne peut rien prouver.

[Joratois]

Cette bévue d'Intel est à l'origine de la blague "Pourquoi Intel a baptisé son nouveau processeur Pentium ?"
- Parce qu'il s ont demandé au processeur de calculer 486 + 100 pour trouver ce nouveau nom et 585.98234984753839 c'est pas très vendeur...

[AstOz]

quelle naïeveté.
Les traders sont forcés à jouer avec des sommes complètement aberrantes car tant que ça marche les banque s'en mettent plein les poches et quand ça ne marche plus il leur suffit de se retourner contre le trader en question.
Évidemment que tout le monde savait qu'il avait accès à des sommes auquelles il n'aurait pas dû mais comme c'est des arrangements sans trace écrite, il ne peut rien prouver.

Faut bien se dire qu'un trader gagne des commissions sur les trades qu'ils effectuent, comme un VRP qui aurait un salaire de base et des commissions pour les nombres de produits vendus.
Chez les traders, c'est un % de la transaction qui tombe dans leurs poches, donc oui, on peut facilement comprendre pourquoi certains souhaitent gérer des aussi grosses sommes.

[Greg_Lumiere]

Autre: les millions (milliards? j'ai perdus le fil sur le compte) de dollars US évacués du système bancaire SWIFT.
Qu'on vienne parler sécurité après ça, pfff, la blague !