EDIT : Communiqué du Crédit agricole qui conteste les accusations portées à l’encontre de son CERT.
Cette nuit a été assez mouvementée. Si vous l’avez raté, c’est sur Twitter que ça se passe. Dans la journée d’hier, le compte @cyrilbruder balance du lourd sur les pratiques « étranges », et c’est un euphémisme si elles s’avèrent exactes, du CERT (Computer Emergency Response Team) du Crédit Agricole… tout y passe allant de la simple négligence à des infractions plus lourdes.
Une politique sur les données personnelles aberrante et des infractions sur le traitement et la transmission à des tiers de ces dernières ;- Des mots de passe stockés en clair qui exposent les données bancaires des clients ;
- Des falsifications, visant à dissimuler les preuves numériques de piratages ;
- Non conformité PCIDSS ;
- Conflits d’intérêts ;
- Fichiers illégaux (appartenance religieuse) ;
- …
Les accusations sont graves, mais elles semblent, du moins partiellement, crédibles. C.B déclare avoir travaillé quatre ans au CERT du crédit Agricole (une cellule de 4 personnes qui semble agir en totale autarcie).
Son profil Linkedin semble confirmer ce qu’il déclare être, ce n’est pas un profil créé récemment pour la circonstance et il apporte des éléments matériels liés à ses propos, déclarant tenter de joindre l’ANSSI depuis des semaines sans que cette dernière ne daigne lui répondre.
Listings de comptes blacklistés à l’appui, le lanceur d’alerte explique en substance comment le CERT blackliste des choses douteuses et des personnes ne peuvent plus recevoir de virement car elles ont été blacklistées injustement. Ainsi une personne qui s’est fait pirater ne peut par exemple plus recevoir de virement. Elle n’en serait pas même informée…
Les listings de comptes bloqués ont été partiellement vérifiés cette nuit. Les déclarations et les éléments de preuve apportés par C.B se confirment, les comptes en question provoquent une erreur quand on tente de les ajouter :
Selon le lanceur d’alerte, La société Lexsi, prestataire de du Crédit Agricole aurait également contribué à la fourniture de moyens visant à commettre des « infractions pénales ».
Le lanceur d’alerte confesse avoir transmis de manière illégale plus de 700 comptes IBAN sur une mailing liste non officielles interne mise en place par LEXSI
Et maintenant… en pleine consultation sur le « grand projet » de loi sur le « Numérique », que diriez vous de renforcer les sanctions contre les dissimulations de piratages qui impactent les données personnelles de particuliers ? Ne nous faisons pas d’illusions, le cas du Crédit Agricole n’est sûrement pas un cas isolé, le système bancaire tire souvent ses pratiques en matière de sécurité d’une logique d’opacité propre à son secteur, une logique qui a maintes fois montré ses limites. Ajoutez à ça des systèmes vieillissants et des personnels à l’image des systèmes, et vous avez là un cocktail détonnant, illustration de tout ce qu’il ne faut pas faire.
La prochaine étape logique serait que le CERT du Crédit Agricole reçoive une petite visite conjointe de la CNIL et de l’ANSSI. Si l’ensemble de ces accusations venaient à se confirmer… et bien… il ne se passerait pas grand chose. La CNIL ordonnerait une mise en conformité sous un délai de N jours, l’ANSSI communiquerait au CERT du Crédit Agricole un ensemble de recommandations techniques que le CERT ne saura pas mettre en oeuvre, et voilà, circulez y’a rien à voir.
Si aucun client effectivement lésé ne porte plainte, aucune sanction ne sera prise, sauf peut-être si un procureur s’intéresse par exemple aux falsifications de preuves numériques volontaires présumées lors de compromissions de sites web. Mais là encore, que faire contre une « victime » qui dissimule elle-même des preuves d’un piratage dont elle est victime ?
Un grand merci à @_michigale_ pour ses vérifications.