Selon S-bank, le problème a touché un si petit groupe qu’il n’a pas été remarqué dans ses propres systèmes.
Selon S-bank, il a fallu des mois pour remarquer le problème car il concernait un si petit groupe. Antti Nikkanen
L’expert en sécurité des données Petteri Järvinen décrit le problème de sécurité des données de la S-bank comme « incroyable ». Il est particulièrement étrange que le problème n’ait pas été remarqué rapidement.
S-bank a annoncé mardi qu’il y avait une erreur système dans son identification qui a duré d’avril à août.
Pendant environ quatre mois, certains clients ont eu la possibilité de se connecter à la banque en ligne d’un autre client. La perturbation a été utilisée, entre autres, pour transférer de l’argent à partir de comptes et des informations d’identification bancaires en ligne ont été utilisées pour s’identifier auprès de divers services en ligne.
– Le simple bon sens dit que le problème aurait dû être détecté au moins parce que les gens nous contactent plus souvent qu’auparavant et nous demandent pourquoi l’argent a été perdu sur le compte, dit Järvinen.
Il déclare que l’entreprise aurait dû remarquer le nombre croissant de contacts en surveillant les commentaires des clients.
Selon l’expert en sécurité des données Petteri Järvinen, il est étonnant que l’affaire n’ait pas été portée à l’attention de la banque plus tôt. Joël MAISALMI
En Finlande, les informations d’identification bancaires en ligne sont une partie essentielle du système électronique. Ils sont utilisés pour se connecter non seulement aux services bancaires mais aussi à d’autres systèmes et peuvent consulter des informations sur la santé, par exemple. Les informations d’identification bancaires en ligne sont également utilisées pour les signatures électroniques, et en vous appuyant sur leur identification solide, vous pouvez signer des prêts et d’autres contrats pour vous-même.
– À un niveau fondamental, c’est un problème incroyable. L’identification électronique, qui est le pilier de la société finlandaise de sécurité de l’information, est cassée, et personne ne le remarque, se demande Järvinen.
L’affaire a été portée à l’attention de S-bank au début du mois d’août lorsqu’un soi-disant pirate informatique a remarqué le problème et l’a porté à l’attention de la banque. Les hackers chapeau blanc sont ceux qui utilisent leurs compétences pour le bien et les utilisent pour apporter des informations sur ces vulnérabilités et perturbations du système.
« Un petit groupe »
Directeur de S-bank responsable du développement numérique de Carl-Edvard Holmberg selon le rapport, il a fallu plusieurs mois pour détecter la perturbation, car elle concernait un groupe si restreint.
– Bien sûr, chacun de ces cas est de trop. Nous parlons de quelques centaines de clients, et seuls certains d’entre eux ont été connectés à la banque en ligne par quelqu’un d’autre. Et puis combien de comptes ont été utilisés pour d’éventuelles transactions de paiement abusives, on parle d’un nombre encore plus petit, dit-il.
Selon Holmberg, la perturbation a affecté un si petit nombre des plus de 3 millions de clients de la banque qu’elle n’est pas apparue de manière significative dans les données de la banque.
– Maintenant que nous savons ce qui s’est passé, nous sommes en mesure d’enquêter nous-mêmes sur les transactions précédentes des clients et de déterminer où elles sont une question d’abus financier, dit Holmberg.
S-bank ne fournit pas d’informations détaillées sur la perturbation, telles que le nombre de clients touchés par le problème ou les sommes d’argent que les clients ont perdues. Holmberg fait appel à l’enquête policière en cours dans son silence.
Mercredi, la police a annoncé que les autorités étaient au courant de 53 fraudes aux instruments de paiement liées à l’affaire. En plus de ceux-ci, environ 150 violations de données font l’objet d’une enquête. Deux personnes soupçonnées d’abus ont été interpellées. Selon Iltalehti, l’un d’eux n’a que 16 ans.
Le chef de l’enquête sur l’affaire, le commissaire au crime Klaus Geiger Raconté pour MTV, qu’un total de 940 000 euros ont été prélevés sur les comptes des clients. Selon Geiger, l’argent avait été dépensé pour une vie luxueuse.
Remboursements en cours
Petteri Järvinen met en évidence le rapport de force inégal entre le client de la banque et le grand établissement bancaire. Les banques ont accès aux données de journal sur les transactions de compte et ont des experts et des avocats à leur disposition.
– La supériorité de la banque en matière d’informations est si grande que le client perd souvent des litiges potentiels, déclare Järvinen.
S-bank assure qu’en cas de dommages liés à la perturbation en cours de traitement, le client n’a pas à prouver séparément le préjudice financier en résultant ni même à déposer une plainte concernant les événements.
– Nous avons été en contact avec toutes les personnes concernées. Nous connaissons ce groupe de clients et nous sommes en mesure d’utiliser nos systèmes pour enquêter sur les cas d’abus possibles, déclare Holmberg de S-bank.
Selon Holmberg, S-bank a déjà réparé de nombreux abus et le reste est traité « le plus rapidement possible ». Il ne peut pas donner d’horaire précis.
LIRE AUSSI
L’expert en sécurité des données Petteri Järvinen appelle à la responsabilité des banques dans la fiabilité des identifiants bancaires en ligne.
– Ils étaient autrefois un moyen de signature électronique et ils fonctionnent exclusivement sur la base de la confiance, explique Järvinen.
Il souligne que les banques elles-mêmes ont voulu garder les identifiants et la technologie connexe sous leur propre contrôle. D’autres n’ont pas été en mesure de développer le système.
– Cela met l’accent sur la responsabilité de la banque en matière de sécurité, dit-il.
Selon Järvinen, la sécurité des identifiants bancaires en ligne a été « pratiquement inviolable » jusqu’à présent, et la perturbation désormais révélée sape leur statut. Cependant, sur la base d’un seul incident, Järvinen ne dirait pas que les informations d’identification bancaires en ligne ne sont pas un moyen d’identification fiable.
– Les identifiants bancaires ont une histoire de 25 ans et il y a extrêmement peu de problèmes, donc je ne dirais pas que cela les rend encore peu fiables, mais cela provoque des distorsions, dit-il.
Le cas de S-bank montre que les banques « doivent être constamment en alerte ».
– Les banques doivent prendre soin du système sans relâche. De telles choses ne doivent pas arriver.