En consultant notre site, vous acceptez l’utilisation de cookies pour rendre votre visite plus agréable, vous proposer des publicités adaptées à vos centres d’intérêt, vous permettre de partager des contenus sur les réseaux sociaux, et réaliser des statistiques de visites. En savoir plus

Compte Courant
Posez toutes vos questions au sujet de votre compte courant sur le Web Café. Vous obtiendrez des réponses rapides, claires et précises de la part de nos clients ou de l'équipe ING Direct.
annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
Dertron
Visiteur fréquent

Compte ING piraté et récupération impossible

Bonjour,

 

Depuis le 5 mai, je n'arrive pas à reprendre le contrôle de mon compte ING. En effet, suite au piratage de mon numéro de téléphone Free mobile le 3 mai, mon compte ING a été piraté le 4 mai, et un virement de 18350 euros a été fait vers l'étranger. Dépôt de plainte effectué le 5 mai, et mon numéro de portable n'est pas récupérable.

 

J'ai fait une demande de nouveau code secret ING que j'ai reçu par courrier ce matin, mais ce code s'est avéré invalide, car le pirate a fait entre temps la réinitialisation du code secret en ligne.

 

La réinitialisation du code secret est instantanée si on connaît :

  • numéro compte client
  • date de naissance
  • ville de naissance
  • département de naissance
  • code postal de résidence
  • numéro de mobile

Le pirate semble donc avoir toutes ces données, qui sont toutes publiques hormis le numéro de compte client (LinkedIn ou autres réseaux sociaux). 

 

Dès qu'il reçoit une alerte ING de demande de changement de code secret, le pirate change de code secret et reprend ainsi l'accès à mon compte, rendant caduques mes demandes d'envoi postal de nouveau code secret.

 

Mais pour empêcher le pirate de reprendre la main, il suffit de modifier 1 seule des données demandées. Il ne pourra plus alors changer le code secret. La seule donnée modifiable est le numéro de mobile.

 

Chez ING, il n'est pas possible de changer de numéro de mobile si on ne connaît pas son code secret et si on n'a pas accès au numéro de mobile. Dans ma situation, ces 2 données sont détenues par le pirate.

 

Je suis donc dans une situation qui me semble insoluble. Comment faire pour forcer le changement de mobile dans mon compte ING ? Est-ce qu'il y a une procédure qui existe, par courrier par exemple ?

 

Merci de votre aide !

5 RÉPONSES 5
Gwladys-W
Modérateur

Re: Compte ING piraté et récupération impossible

Bonjour Dertron,

 

Bienvenue dans notre communauté ING !

 

Je vous invite à me communiquer vos nom, prénom, adresses mail, postale, et numéro de téléphone, en privé.

 

Pour me contacter en privé, il vous suffit de cliquer sur mon prénom en orange.

 

A très vite.

 

Gwladys-W

Dertron
Visiteur fréquent

Re: Compte ING piraté et récupération impossible

Merci Gwladys-W pour votre soutien, je vous envoie ça de suite.

Dertron
Visiteur fréquent

Re: Compte ING piraté et récupération impossible

Pour ceux qui se demandent comment trouver les infos personnelles que demande ING :
J'ai fait une recherche "X Y date de naissance", X Y étant mon Prénom Nom.
Résultats dès la 1ère page :
* site internet "societe.com", y figure mon code postal, en tant que gérant.
* site internet "Copains d'avant", j'avais créé un compte il y a bien 15 ans, y figure ma date de naissance, affichée par défaut à l'époque.
* recherche d'images : on retrouve sur "Copains d'avant" les photos de classe de quand j'étais en primaire. Y figure ma ville de naissance supposée, dont on peut déduire le département de naissance.

Pour info, j'ai supprimé hier mon compte "Copains d'avant"... Ma date de naissance n'est donc plus visible, mais mon nom reste toujours associé aux photos de classe...
  

Dertron
Visiteur fréquent

Re: Compte ING piraté et récupération impossible

Après bien des recherches, et aidé par les contributeurs du forum universfreebox, voici un petit récapitulatif sur le mode opératoire que le pirate aurait pu suivre. Attention, pavé dans la mare...

Le pirate sait que ING a une faille : ING communique par email le numéro de compte client à l'ouverture du compte, mais aussi à tout rejet de virement. Cette information qui s'avère être confidentielle est pourtant communiquée par email. Pour réinitaliser le code secret, il faut le numéro de compte, le numéro de portable, quelques infos souvent facilement trouvables sur internet (date de naissance, département de naissance, code postal), et pouvoir recevoir des SMS sur le portable associé au compte. En ayant accès à l'historique des emails d'un client ING, on peut donc trouver toutes les infos nécessaires, mais il faut pouvoir recevoir les SMS. Il faudrait donc arriver à pirater le numéro de portable et récupérer une carte SIM pour que la faille soit exploitable.

Le pirate sait que Free Mobile a une faille : les factures Freebox indiquaient le RIB (au moins jusqu'au 10/04/2021), et les factures Free Mobile indiquent le numéro de client. Souvent un client Freebox a aussi son mobile chez Free Mobile. Et Free Mobile permet la réinitialisation de l'email et du mot de passe grâce à la fonction de secours (j'ai perdu mon mot de passe, je n'ai plus accès à mes emails, et mon compte est actif) en fournissant le numéro de compte client et le RIB associé au compte (information considérée donc comme confidentielle). En ayant accès à l'historique des emails d'un client Free sur 1 an, on peut donc trouver les infos nécessaires, et donc prendre le contrôle du compte. Pour le garder, il suffit de changer le RIB : le vrai propriétaire ne pourra plus utiliser la fonction de secours pour se connecter sur son compte. Et pour récupérer une nouvelle carte SIM, il faut déclarer l'ancienne comme perdue et attendre 24 avant de se présenter à une borne Free avec l'identifiant et le mot de passe, la plupart du temps pas besoin de carte d'identité. Il faudrait donc arriver à pirater l'adresse e-mail.

Le pirate sait que si un compte email est utilisé en IMAP, son historique peut remonter assez loin (quelques années) car il n'y a pas de mécanisme systématique de vidage des emails (contrairement au POP). Si le propriétaire du compte email a un compte Free et un compte ING, il va pouvoir retrouver les infos nécessaires pour prendre le contrôle du portable, puis du compte bancaire.

Le pirate ne va pas essayer de pirater le compte email de quelqu'un qui a un compte ING et un portable chez Free. Mais en partant d'une adresse e-mail dont il a récupéré les identifiants, il va essayer d'identifier si le propriétaire a un compte ING et un portable Free. Si c'est le cas, bingo : piratage du mobile, puis piratage du compte bancaire.

Il sait que régulièrement paraissent sur le dark net des fichiers contenant des comptes emails + leur mot de passe, ayant fait l'objet de fuites (systèmes hackés). Par exemple, d'après Chrome Password Security Check, mail.ovh.net en aurait fait les frais il y a quelques semaines. En se connectant sur chacun des comptes email et en scannant tous les emails (ce qui se fait en toute discrétion), il peut identifier les utilisateurs ayant un compte Free, les utilisateurs ayant un compte ING, et même croiser entre les différents comptes.

Dès qu'il a identifié un utilisateur pour lequel il a récupéré toutes les informations dont il a besoin, il peut compléter par une petite recherche Google pour les infos manquantes (date de naissance, ...). Quand c'est fait, il peut passer à l'action : piratage du compte Free Mobile, récupération de carte SIM, piratage du compte ING, ajout de nouveau bénéficiaire et virement.

Le pirate a perfectionné le sytème : script pour contrer les modifications d'adresse email sur le compte Free Mobile, en modifiant à nouveau l'adresse e-mail et le mot de passe. Le propriétaire ne peut pas reprendre le contrôle de son compte, car il a moins de 2 minutes pour répondre à l'email de changement d'adresse email, changer de mot de passe et remplacer son IBAN. Ayant repris la main, le pirate a alors tout son temps pour agir, vu l'absence de réactivité des équipes support Free Mobile et ING, dû principalement à des processus de sécurité n'ayant pas anticipé cette situation et qui se retournent contre eux.

En tant qu'ex développeur, je ne vois rien de bien sorcier pour développer de tels outils permettant l'industrialisation du piratage pour exploiter ces failles en cascade. Aujourd'hui, le système mis en place me semble imparable pour pirater un compte bancaire ING, sauf actions correctrices de Free Mobile et d'ING.

Ce que j'attends de la part de Free Mobile :
1. On ne peut pas considérer que l'IBAN est une donnée confidentielle. En la mettant dans les factures freebox, vous l'avez fait fuiter. C'est maintenant corrigé, mais il reste l'historique des emails. Comme pour un mot de passe qui a fuité, vous ne pouvez plus utiliser l'IBAN. Et vous ne pouvez pas demander à tous vos clients de changer leur IBAN pour sécuriser leur compte. Il faut donc s'appuyer sur une autre donnée. Confidentielle, elle.
2. Lorsqu'une demande de changement d'adresse email est faite en boutique Free, avec présentation de pièces d'identité, il faut empêcher tout changement de mot de passe effectué en ligne, pendant un laps de temps suffisant pour
3. Il faut permettre le changement d'adresse email en boutique Free, même si le compte est désactivé.
4. Il faut un mécanisme de récupération de compte mobile, basé sur des données vérifiables. Dépôt de plainte + pièce d'identité par exemple ?
Le point 1 concerne tous les utilisateurs Free Mobile : votre compte Free Mobile n'est pas sécurisé actuellement ! Les points 2 à 4 concernent les utilisateurs comme moi dont le compte est piraté, et qui ne peuvent pas en reprendre le contrôle.

Ce que j'attends de la part d'ING :
1. On ne peut pas considérer que des informations disponibles sur internet pour la moitié des internautes (date de naissance, département de naissance, code postal) sont des données confidentielles. Il faut donc s'appuyer sur au moins 1 donnée vraiment confidentielle.
2. Quand est compte a été piraté, il faut prévoir un mode de récupération d'accès au compte qui ne soit pas exclusivement basée sur une vérification par SMS. En l'état, une demande de nouveau code par courrier est contrée par le pirate qui peut faire un changement de code en ligne (avec validation par SMS), annulant alors e code envoyé par courrier.
Le point 1 concerne tous les clients ING qui sont aussi clients Free Mobile : votre compte bancaire n'est pas sécurisé actuellement.
Le point 2 concerne les clients ING dont le compte a été piraté par prise de contrôle de votre mobile. Le pirate peut en plus vous empêcher de reprendre le contrôle de votre compte bancaire. Vous n'avez alors plus moyen de savoir quelles sont les opérations qui ont lieu, et vous ne pouvez pas enclencher les procédures de récupération des fonds puisque votre compte est toujours entre les mains du pirate.


En espérant être entendu par ING et Free Mobile, qu'ils prennent conscience de la gravité de la situation, et qu'ils mettent en oeuvre des actions correctrices au plus vite.
  

 

De plus, ne pouvant pas connaître les dernières opérations effectuées sur mon compte, je ne peux pas savoir si de nouveaux virements ont été faits par le pirate, et je ne peux donc pas faire de demande de "recall". Combien reste-t-il sur mon compte, et vais-je perdre la possibilité de récupérer mon argent ?

tropcher
Contributeur d'honneur

Re: Compte ING piraté et récupération impossible

Merci pour ces renseignements, je partage votre avis sur la fragilité des protections des banques en ligne.

 

Une véritable protection serait basée sur un cryptage fort (interdit et réservé à la défense nationale) et la blockchain comme pour le bitcoin.

 

Solution pour moi : Plusieurs comptes en ligne (pour ne pas rester en panne en cas de piratage de l'un d'entre eux) et réduire au minimum les encours sur ces comptes "en ligne" en limitant également autant que possible leur fréquence d'utilisaion, n'utiliser le commerce en ligne , les courriels etc... que quand on ne peut pas faire autrement etc...

 

Finalement essayer d'éviter internet pour tout ce qui "craint", se limiter à la déclaration de revenus (puisqu'il est devenu obligatoire de la faire en ligne), aux comptes bancaires et aux réseaux sociaux car il faut bien se tenir informé vu que l'on ne peut plus compter sur la presse publique devenue de plus en plus partisane ou orientée.

Meilleurs auteurs de solution