Fraude sur mon compte Free Mobile

[Francois38]

...
je n'ai vu pour l'instant personne discuter sur le fond :
1) un identifiant n'a pas vocation à être privé, sinon on l'appele mot de passe.
2) chez les concurrents les identifiants sont soit l'email, soit le numéro de téléphone ...rien de privé
3) Le fait que l'identifiant Free apparaisse sur les relevés bancaire permet d'identifier facilement le contrat dans le cas où l'utilisateur a plusieurs prélèvement. Je rappelle aussi que l'identifiant de connexion au site web de la banque apparaît aussi en général sur le relevé bancaire...mais là étonnamment ça à l'air de ne gêner personne

1) Peut etre, mais il na 'a pas vocation non plus a être utilise non codé dans un SEPA, bien au contraire si on en croit ca: http://sepafrance-temp.fr/bds/data/esmb ... SEPA_2.pdf
2) Chez les concurrents aucun identifiant n’apparait sur un relevé de compte bancaire
3) Une série de chiffre n'a jamais permis d'identifier un contrat facilement au premier coup d’œil sur un relevé de compte si on en a plusieurs. Enfin tu peux toujours essayer d'utiliser ton identifiant bancaire pour modifier quoi que se soit sur ton compte bancaire par téléphone ... tu n'est pas prêt d'y arriver sans certain éléments très précis et très privé (chose que Free Mobile ne fait pas)

Bref si c'est toi qui a monté le site de Free Mobile (vu que tu semble en avoir pas mal de monté) je ne vois pas le problème ni de quoi t'inquiéter ... puisque le souci ne vient pas du site lui même (même si une date de naissance et une question secrète sécuriserait encore plus les comptes, enfin si les personnes du SC savent les utiliser avant de modifier un compte par téléphone).

[jimmy_36]

Résumons, car cela me semble être une situation assez grave.

1ere étape :
Récupération d'un document pour avoir un lien entre un compte Free et un compte bancaire.
Jusque là, rien de compliqué et risque zéro.

2eme étape :
Phising ciblé et/ou tentative d'intrusion sur les comptes via des mots de passe faible. ("123456", "password" , etc ...)
Etape la plus complexe qui heureusement ne va pas déboucher sur beaucoup de victime.
A partir de là, c'est la boite de pandore qui est ouverte ...

3eme étape :
Détournement du numéro de téléphone.
Etape très simple ,car via une borne Free Mobile, elle ne nécessite aucune identification supplémentaire.

4eme étape :
Détournement de fond avec réception de l'OTP sur la ligne détournée.
Etape très simple, les virements protégés par un code envoyé par SMS ne le sont plus, la double authentification est cassée.

[Ulrich]

Pour Webatou, le mot de passe est obtenu assez simplement mais il faut une étape supplémentaire : aller sur le site Free et demander le changement d'adresse mail, puis réinitialiser le mot de passe. Comme je l'avais indiqué hier

[debout]

) Peut etre, mais il na 'a pas vocation non plus a être utilise non codé dans un SEPA, bien au contraire si on en croit ca: http://sepafrance-temp.fr/bds/data/esmb ... SEPA_2.pdf
2) Chez les concurrents aucun identifiant n’apparait sur un relevé de compte bancaire
3) Une série de chiffre n'a jamais permis d'identifier un contrat facilement au premier coup d’œil sur un relevé de compte si on en a plusieurs. Enfin tu peux toujours essayer d'utiliser ton identifiant bancaire pour modifier quoi que se soit sur ton compte bancaire par téléphone ... tu n'est pas prêt d'y arriver sans certain éléments très précis et très privé (chose que Free Mobile ne fait pas)

1) un identifiant n'est pas une donnée sensible. Il n'y a pas de raison qu'il soit modifié pour apparaître dans un SEPA.
2) J'ai actuellement des prélévements de plusieurs contrats chez le mêmeopérateur mobile (pas Free) ur mon compte bancaire; hormis en regradant la somme prélevée impossible de savoir à quel contrat le prélèvement fait référence
3) La sréie de chiifre permet d'identifier dans la mseure ou c'est son identifiant.

Encore une fois la sécurité d'accès au site web d'une banque est bien plus faible :
- identifiant en clair sur les relevés de comptes
- mot de passe limité à en général 4 ou 6 chiffres
Bien sur il sont introduit le les 3 essais...mais bon ça reste un peu limité

Bref si c'est toi qui a monté le site de Free Mobile (vu que tu semble en avoir pas mal de monté) ..

Nom ce n'est pas moi. Je n'ai aucun lien avec Free. J en fais que rétablir un semblant de vérité face à des procès d'intention colporter par certains qui manifestement n'y connaissent rien.

[jimmy_36]

Encore une fois la sécurité d'accès au site web d'une banque est bien plus faible :

Attention c'est assez faux ce que vous dites.
Car toutes les opérations sensibles sont protégées par un OTP.
Protection basée sur un code envoyé par SMS.

Et c'est bien l'objet de ce topic.
Le fait de pouvoir détourner le numéro de téléphone facilement après un simple phising est le centre de la discussion.

[webatou]

Pour Webatou, le mot de passe est obtenu assez simplement

Oui mais comment !?

Non parce que le pishing par exemple, je veux bien mais ça commence à faire un faisceau d'erreurs de sécurité assez important.
Il faut l'identifiant trouvé dans une poubelle, l'adresse mail de la cible, une cible justement réceptive et un peu de chance.
Ce serait plus rapide de pirater un compte mail qui n'est pas doublement protégé...

[Ulrich]

Non, non, c'est très simple. Je te l'explique en MP

[jimmy_36]

Ce n'est pas très grave ça, même dans les mains d'un pirate un couple id/mot de passe ne devrait pas fragiliser la sécurité du système.
C'est bien le but de la double authentification : rester à l'abris de la perte d'un des composants.

Or ici ce n'est plus le cas : le process de changement de sim casse la protection, car il ne réclame qu'une simple authentification.

[webatou]

Sauf lors de la création du mot de passe, je ne connais pas beaucoup d'opérateurs qui utilisent la double authentification par SMS.

[jimmy_36]

La création ou la modification de mot de passe, suppose l’existence d'un vecteur sûr , comme une messagerie ou une question secrète.

La compromission d'une messagerie ne rend pas faillible une double authentification bancaire.

[Freedor]

Sauf lors de la création du mot de passe, je ne connais pas beaucoup d'opérateurs qui utilisent la double authentification par SMS.

Free mobile l'utilise pour l'obtention d'une nouvelle carte SIM depuis une borne, sauf si la SIM a été déclarée perdue ou volée.

[jimmy_36]

Il faudrait commencer par lire le fil de discussion Freedor, car c'est bien l'origine du problème depuis le début.

[boulete]

l'on s’éloigne du problème de ceci22

qui est plus une non gestion de celui ci par le SC, malgré qu'il en soit en partie responsable(suivant les dires de l’intéressé)
et l'absence de suivi des recommandations de l'organisme SEPA
- codage du RUM
- neutralisation du RIB sur l'espace client

edit
il me semble que depuis la fin d'année,
il ne peut plus être délivré de SIM en remplacement sur les bornes, sans avoir reçu un SMS code sur l'ancienne
pour justement lutter contre les vols et la fraude

[Ulrich]

Et on peut ajouter que ceci22 a contacté le service client qui a reconnu qu'il y avait beaucoup de changements d'adresse mail en peu de temps mais qui ne veut pas bloquer l'ensemble des lignes rattachées le temps que le client réel prouve son identité.

[boulete]

ce topic a pour thème
Fraude sur mon compte Free Mobile (sous entendu compte Free Mobile de ceci22)

pour les bornes il existe un topic dédié

[sisi37]

Oui bien sûr c'est de la simple authentification c'est bien ce que je dis.
Un process en simple authentification ouvre la brèche sur le process bancaire en double authentification.

C'est exactement pareil chez les concurrents, sauf qu'au lieu que se soit sur une borne, c'est via internet

Seule différence a la borne tu a ta SIM en 3 minutes par internet chez les autres c'est 3 jours dans une boite au lettre a une adresse qui aura été modifier sur le compte piraté (et le facteur viendra pas vérifier ta carte d'identité non plus)

Ok. On sait que l'obtention de l'identifiant peut se faire "facilement". Mais le mot de passe, il est obtenu comment ?

Après piratage du compte comme cela est arrivé a l'auteur de ce topic, mais pas directement sur la borne

Désolé de citer ce message assez ancien au vu de la vie du topic, mais je voulais répondre.
Chez Orange, par exemple, après modification des coordonnées par Internet, un SMS est envoyé pour indiquer le changement de coordonnées.
Il reste justement 3 jours pour réagir et appeler le service clients.

[Francois38]

Chez Free Mobile cela semble être fait par mail si on en croit le 1er post de ce topic, mais trop tard car cela indique apparemment juste que la SIM a été désactivè pour son remplacement.

Et surtout si on en croit toujours ce premier post, Free Mobile refuse de faire quoi que ce soit tant que le vrai titulaire de la ligne n'a pas prouver en RAR que c’était bien lui le titulaire, le comble alors qu'un pirate évidement non titulaire de la ligne a pu modifier lui la plupart des infos du compte sans qu'on lui demande de prouver réellement son identité

[jimmy_36]

Ce qui m'étonne dans le cas précis de ceci22 est que ce piratage n'a servit finalement qu'a souscrire un ou des abonnements.
Ce qui écarte l'hypothèse d'un piratage d'un réseau professionnel.
Ici c'est un pied nickelé, qui s'abonne et fait prélever l'abonnement sur le compte de la victime.
Probablement un mot de passe volé de manière opportuniste , ce qui a ouvert la boite de pandore.
Un pirate pro aurait pillé le compte avant de disparaître sans laisser de trace.

[mathieu82]

ON est bien d'accord.

Je suis pirate, un vrai, je vous vide votre compte jusqu'à clôture et envoi des fonds sur un compte puis un autre... puis un tour à l'étranger ou retrait en espèces...

Je suis novice, je pirate et change votre carte sim pour la mettre dans mon téléphone, téléphoner sans compter et si vous déposez plainte, me faire chopper direct car c'est localisable par la justice, et surtout tous mes appels vont me confondre.

Bref, je ne comprends pas bien la finalité puisque c'est le mode novice qui est décrit ici...

[boulete]

est d’après vous, pourquoi l'organisme SEPA préconise t'il le codage de la R.U.M du R.I.B de l' I.B.A.N, etc .....
ne serait ce t'il pas pour éviter ce type de fraude

http://sepafrance-temp.fr/bds/data/esmb ... SEPA_2.pdf

de plus il existe dans quasiment tout les établissements bancaires pour tout ce qui est prélèvement/virement un système de liste blanche
à voir avec votre conseillé