le libéralisme de forum : la puissance de l’État pour MON intérêt. Les autres nada.
2 « J'aime »
Il semble que les banques françaises ne demandent pas de mandat de prélèvement SEPA pour les montants inférieurs à un certain plafond. A part OVH, FREE, Orange, et les crédits pour des voitures, je n’ai jamais eu de mandat pour des prélèvements venant d’autres pays de l’Union Européenne.
Normalement, ils devraient avoir une amende de la CNIL, puisqu’aussi bien c’est le cas pour des petites boîtes qui avaient des accès mal sécurisés (par exemple un cabinet médical dont le NAS avait été piraté).
Il n’y a aucun automatisme. Comme souvent il faut prouver qu’un manquement a un loi a eut lieu. On ne met pas des amendes sans raison ou parce qu’un tord est perçu.
Ici si l’entreprise montre qu’elle a mis en œuvre des moyens de sécurisation ça peut suffire à éviter les amendes. Sans négligence ou mauvaise pratique l’entreprise est aussi une victime.
1 « J'aime »
C’est pas la même chose de protéger son PC à soit, avec un accès limité, et protéger toute une infrastructure d’une grande entreprise qui a besoin d’accès à toutes les données depuis des 10aines de milliers de points.
Beaucoup de salariés ont besoin d’accéder à certaines données, au siège, dans les points de vente…
2 « J'aime »
YOUPI !!! Je suis aujourd’hui parmi les gagnants.
J’ai reçu le même jour, le mail de Bouygues me disant de faire attention et mon premier SMS « vous êtes chez vous ? » 
Pfff, être chez Free, et avoir été piraté (j’ai vu clairement un mail élaboré avec toutes mes infos dont IBAN, mais c’était sur un vieil email), et passer chez Bouygues y’a même pas 1 mois, pour ça, super…
- affligeant tous les jours des boites de cette tailles piratées rien n est fait. visiblement aucune mesures prises
- l IBAN en clair : impenssable et pourtant vrai alors meme qu on a vu le probleme chez free il y a quelques mois
- oui l iban seul permet de payer sans aucune verification. pure scandale qui perdure depuis des decenies. des journalistes ont commandés des stylos sur des sites marchand avec des iban de leur collegues et ont été livré sisi veridique et ?.. rien … 0 mesures correctives.
c est pourtant pas compliqué 2fa a mettre en place dès maintenant pour toutes les validations iban… mais non rien n est fait… surveillez vos comptes voila la seule securité pour le client …
incroyable
1 « J'aime »
- C’est faux
- Probablement plus compliqué que ça. Et de toutes façon tu veux faire quoi ? Stocker un hash comme les mdp ? Super tu ne peux plus accéder à la data…
- C’est faux. On l’a montré au dessus.
C’est un peu comme le message de notre ami plus haut.
« Il suffirait que l’idée géniale que je viens d’avoir en ignorant absolu existe pour que tout soit réglé »
Sauf que l’idée géniale existe déjà et qu’apparemment le problème existe toujours.
2 « J'aime »
renseigne toi avant d ecrire.
ca se verifie des journalistes d un magasine high tech concurrent ont acheté un bic 4 couleurs sur amazon avec un iban SEUL et ils l ont RECU. ils ont aussi ouvert une ligne chez …bouygues… c est vrai. vérifie.
Ensuite ah bon tu peux pas sécuriser une base de données sans « plus pouvoir accéder à la data » ?? premiere nouvelle…
ce qui est frappant c est que bouygues securise les mdp et annonce qu ils ne sont donc pas compromis donc ils ont les moyens de sécuriser… mais pas l iban pourquoi? parce qu ils considèrent comme tant d autres que c est pas une donnée critique . ce qui est comme je l ai dit aberrant
Bon apparemment on aura aucun effort sur la rédaction. Ok ^^
Déjà l’article dont tu parles c’est celui là Fuites de données : oui, votre IBAN peut être utilisé par des hackers pour faire des achats
Je ne comprends pas pourquoi tu fais autant de mystère autour de ce papier. Tu bosses pour la CIA ? 
Ensuite, alors j’ai lu tes trois tentatives de réponses et déjà je salue le fait d’avoir supprimé les deux premières. J’espère que t’en as profité pour lire un peu sur ce qu’est une donnée chiffrée et une donnée cryptée.
Pour le coup de l’iban tu as totalement raison il est bien possible pour des raisons expliquées et testée dans l’article de faire un paiement. Là où je dis que c’est faux c’est parce que tu dis qu’il y a « 0 mesure corrective ». Outre le fait qu’on se demande parfois ce que tu veux dire quand tu utilises des mots, il y a bien des mesures correctives mise en en place par les établissements (remboursement) et même des mesures préventives (liste blanche). Je te précisais même qu’on en parlait au dessus. J’aurais du préciser que c’était que cette partie que c’était faux mais comme c’était l’objet de la discussion jusque le je pensais que ça allait de soit. My bad.
C’est ce que je te dis juste avant. Bouygues ne stocke pas les mdp des gens. Ils stockent probablement le hash du mdp comme un peu tout le monde. Le côté pratique du truc c’est que c’est très dur de remonter du hash à la donnée elle même. Tiens tu peux consulter ça pour comprendre comment ça marche. Le cryptage et le hachage expliqués simplement
J’espère que le mal entendu est levé.
je pense exactement la meme chose. il a fallut attendre 20 ans pour que quelqu un se.disent « ah mais.le numero de cb écrit sur la carte elle meme » c est un peu limite.niveau sécurité on va rajouter de la double authentification quand meme. peut etre que dans 20 ans ils se diront « ah mais demander le conscentement avec une vrai verification sur le sepa c est pzut etre une bonne chose ». en attendant le.message de sécurité officiel c est " verifiez vos comptes" c est minable bien sûr c est connu tous les ptits vieux se rendent compte instannément de prelevement frauduleux … c est juste completement abberant ce systeme
1 « J'aime »
je sais.parfaitement ce qu est un hash un sallage de mdp… arrete de prendre les gens de haut.
ce que je dis tout simplement c est que l iban étant un moyen de paiement atrocement.mal sécurisé autant que le cheque finalement il serait temps de.considérer que c est une donnée sensible à sécuriser.aussi efficacement qu un MDP ce qu aucune.sociéte ne semble faire. donc oui 0 mesures correctives à date. apres le piratage de free.la norme aurait dû evidemment etre une chiffrement des iban.
et.du coté des banques c est pas mieux le sepa et.meme.pire que l ancien systeme de.prelevement il n y a casi aucine verification la signature du sepa quand il y en a une se fait sur le numero de tel que tu veux bien donner
aussi incroyable que ça. alors que il l a été dit.plus haut il suffirait tout simplement de.mettre un vrai 2Fa.
Mais il faut la déchiffrer la donnée pour l’utiliser voyons . Comment le chiffrement des iban les protègeraient ? Et si tu les protèges comme un mdp tu ne peux plus les utiliser ^^
Te donner les moyens de comprendre les différences et enjeux en clarifiant et définissant les termes c’est te prendre de haut ? C’est nouveau ça. 
Dans le fond, il n’a pas complètement tord en fait, mais c’est pas simplement un problème de sécurisation de la donnée au niveau du créancier, et c’est pas en stockant les IBAN comme il stocke les mots de passe qu’il peut régler le problème.
Ce qu’il faudrait, c’est qu’après la première utilisation d’un IBAN par un créancier pour un prélèvement SEPA, il ne conserve qu’une référence unique communiquée par la banque après cette opération, et que cette référence soit ensuite utiliser pour les prélèvements suivants, avec comme contrainte que cette référence ne puisse être utilisée que pour créditer le compte qui était destinataire du premier prélèvement.
Ainsi le créancier ne conserverait que cette référence unique et n’aurait pas besoin de conserver l’IBAN complet, il pourrait se contenter par exemple de garder les derniers chiffres, juste pour information/aide-mémoire.
Il y a déjà presque tout en place, puisque cette référence unique existe déjà en SEPA (la RUM, référence unique de mandat), mais elle doit tout de même être accompagnée de l’IBAN lors de chaque prélèvement…
Mais mettre en place un tel système n’est pas de la responsabilité du créancier, et tant que ça n’existe pas, il n’a effectivement pas d’autre solution que de conserver l’IBAN en clair ou en chiffrement réversible (ce qui est pas loin d’être équivalent à du clair en cas de compromission du SI de l’opérateur).
Ou simplement, c’est que le serveur qui a été compromis est un serveur qui contenait les données de facturation, pas les données de comptes utilisateurs…
Parce que normalement, même si ce qui a été volé est des hash salés, le principe de précaution impose de considérer que les mots de passe ont été compromis et doivent être changés.
Source ?
TKT fréro …
Il serait quand même bon de donner VOS SOURCES les gars, c’est fatigant.
Je le rappelle encore une fois, ce qui est avancé sans preuve peut-être réfuté sans preuve.
Si pas de source, pas de confiance dans ce qui est affirmé.
Merci @Hanandano d’avoir retrouvé l’article en question.
1 « J'aime »
source 01net.
pas mis sur clubic parce que on parle.d un concurrent donc mon message peut sauter et aussi parce que je ne suis pas un fan du chatgpt ou du tout cuit. En règle général si je dis quelque chose c’est que je l’ai vérifié maintenant effectivement on va pas me croire sur parole et dans ce cas la recherche prend 30 secondes
Et au risque de me répéter on en revient à la même chose il y a deux sécurisations possibles qui ne sont pas mises en place.
Une sécurisation chez les détenteurs du RIB soit pas au minimum sécurisation réelle ou chiffrement des données voire comme certains l’ont dit suppression des données c’est tout à fait techniquement possible.
Et enfin il y a de la grosse fainéantise pour ne pas dire manque de professionnalisme du côté des banques ou clairement il suffit de taper n’importe quel RIB et de cocher une croix ou de donner n’importe quel numéro pour valider une transaction… pourquoi ce qui est devenu inimaginable aujourd’hui pour un paiement CB l’est encore pour le RIB.
Donc chacun voit midi à sa porte mais moi en tant que client il y en a marre quand je donne une info bancaire j’exige qu’elle soit sécurisée. Et quand quelqu’un donne mon RIB j’attends de la banque qu’elle mette en place un moyen de confirmer que c’est bien moi c’est pas demander la lune non plus je trouve.
Non. Pour présenter un prélèvement SEPA à la banque, il faut l’IBAN. Le créancier a donc besoin de le conserver.
Pour ce qui est du chiffrement, on ne peut pas affirmer avec les informations à notre disposition que les données n’étaient pas chiffrées.
Il se peut tout a fait qu’elles l’aient été, mais forcément, les clés de déchiffrement sont quelque part dans le SI de Bouygues, puisqu’il a besoin de déchiffrer les données quand il les utilise. Et donc en cas de compromission du SI, les clés peuvent être compromises également, ce qui donne accès en clair aux données.