La mise en prelèvement sans accord du détenteur du compte est un fait : Ca existe.

Je comprend même pas qu'on discute de sa possibilité ou non. Personne n'est capable de vérifier un RIB ! Même pas une banque ! D'ou les arnaques au faux rib, et au faux bénéficiaires !

Pour la plupart des arnaques bancaires qui valent un peu le coup, il y a un employé galeux dans la banque.

parfois c'est un banquier se rêvant gangster :
https://www.leparisien.fr/faits-divers/pauvre-idiot-ou-directeur-voyou-le-banquier-de-la-milleis-confronte-a-son-complice-braqueur-22-10-2024-KE5TI3634JGBRJCQRZVDPJNUOQ.php

(oui, ces propos viennent de la même personne  )

Périodes différentes, aujourd'hui les banques sont (normalement) plus aguerries.
Changez le système bancaire sinon, au lieu de vous plaindre? Les fuites de données (et d'IBAN) n'arrêteront pas, leur falsification on plus ; c'est pas que depuis l'an 2000 que les tribunaux regorgent de cas de particuliers usurpés.



Quant à la fuite, pour moi elle a tout d'une brebis galeuse qui en veut forcément à la direction de free (ancien employé) :

Très sincèrement je trouve que toutes les raisons sont à l'écarlate pour réaliser que ce n'est pas l'oeuvre d'un piratage conventionnel (groupe de pirates chevronnés), mais l'oeuvre d'un individu, ancien salarié free ou aidé par d'anciens salariés.. pour moi elle ne peut avoir qu'été récupérée de l'intérieur :

1. free a un SI ancien, mais 100% interne : c'est géré par leurs propres ingés, leur propres personnel. En plus d'économies par rapport à la prestation, cela leur permet de changer les curseurs à leur convenance, sans avoir à supporter les tergiversions d'un sous traitant. Ce suivi "de bout en bout" leur est d'un avantage précieux en termes de cyber. Je doute clairement qu'il s'agisse d'une intrusion de pirates.

2. L'ambiance chez free peut être déléîtère selon les services : la boite est connue dans son métier pour ne pas être aussi cool qu'elle le prétend ; suffit de voir quelques extraits dans le fameux magazine SOciety de l'été 2016, mais pas uniquement : "La voix d'un pirate" de deux écrivains français relate certains passages, assez inattendus dans le mauvais sens du terme. Il ne donne pas envie au lecteur d'y travailler.

3. La vengeance personnelle : au vu de l'énormité de la fuite : vous pensez que le SI n'aurait pas remarqué la chose, si ça venait de l'extérieur? C'est un peu trop gros pour être vrai : d'un coup toute la BDD apparait sur la planète, mais pas chez les tech free mais bien en public : soit elle tournait depuis quelques jours/semaines/mois et quelqu'un a voulu jouer un gros coup, soit un salarié se sachant sur la touche a décidé de frapper fort, quitte à tout perdre.

4. Pourquoi pas un gros groupe de hackers? Parce que ça coute cher à l'entreprise, et ça se sait très vite : les groupes de pirates internationnaux publient effectivement des messages sur internet (non mais..), mais pas sur le premier forum de fuites en ligne, mais sur le darknet, via des sites beaucoup moins accessibles, et surtout : leur cible est plongée parmi des dizaines d'autres, dont un extrait est consultable sur le site des pirates, et non un forum. Un groupe de hackers qui aurait fait un tel coup, n'aurait pas hésité à l'afficher publiquement et activement, sur les écrans de l'entreprise, ou en envoyant un courriel à ses dirigeants comme avertissement.

5. suite de la précédente, l'argent : quand les multinationales subissent un piratage ou une fuite de données, ils savent que c'est de l'ordre de plusieurs millions d'euros en termes de coût et de conséquences. Ici, rien : c'est quelques dizaines de milliers d'euros tout au plus, via un simple forum en ligne avec abo VIP, qu'un gosse de douze ans est en capacité de réaliser. Et Free ne veut pas céder au chantage d'un gosse immature qui veut se faire du fric facile en volant une entreprise.

6. Tout indique que le "pirate" fait cavalier seul, ou que d'éventuels complices ne veulent pas l'accompagner mordre la poussière : sa seule précaution est de publier anonymement sur un forum et de passer par un escrow ; c'est en plein dans le piratage opportuniste, rien n'a été préparé en amon, contrairement au gros groupes pirates qui savent qu'ils vont pirater de grandes boites européennes ou américaines.

7. Pourquoi un ancien salarié ou quelqu'un qui voudrait se venger? Parce qu'il est beaucoup plus facile de préparer un tel "coup" en interne via des précautions et en connaissant un minimum le groupe, ses habitudes, ses règles, son rouages internes, qu'un hacker qui passait par là ; l'esprit de vengeance se matérialise en deux choses simples : la diffusion de la BDD en un extrait non modifié (qui comporte pour la freebox les fameux IBAN), mais surtout : le passage d'un extrait FM sans IBAN au suivant qui les contient, et dans un second temps, d'un premier chiffre demandé, avant un passage aux enchères ; on nage en pleine vengeance.

Je pense qu'il voulait dire qu'une personne lambda ayant en sa possession un iban ne peut pas mettre en place un mandat de prélèvement auprès d'une banque.

Si il le peu. Et depuis tout pays UE. Une fausse boite bidon peut ouvrir un stripe..

Tout ça pour 175000 euros. C'est assez maigre au fond. Même pas le prix d'une maison dans une grande partie du pays.

Si c'est un russe c'est un pactole 1 euro = 105 roubles

Si c'est un russe c'est un pactole 1 euro = 105 roubles

Les russes ne sont majoritaire sur le cyber espace, même si ils font parler d'eux.

Bien malin est celui qui peut savoir d'ou ça vient...

Je pense qu'il voulait dire qu'une personne lambda ayant en sa possession un iban ne peut pas mettre en place un mandat de prélèvement auprès d'une banque. Par contre le lambda peut très bien souscrire un service chez une entreprise et donner l'IBAN volé au lieu du sien.

D'ailleurs, j'ai remarqué qu'iI y a plusieurs niveaux de sécurité chez les créanciers pour la mise en place des prélèvements. Je les classerai de la manière suivante :
> Niveau 0/5 : aucune vérification particulière
> Niveau 0,2/5 : signature d'un mandat papier/pdf
> Niveau 0,5/5 : correspondance du nom du client/nom sur le RIB demandée
> Niveau 4/5 : signature du mandat de prélèvement par authentification classique (appel, SMS...)
> Niveau 5/5 : authentification par émission d'un virement à 0€ de la part du créancier. Le client récupère ainsi un code d'authentification sur son relevé d'opération bancaire.

Si on imposait un minimum de sécurité pour la mise en place des mandats (comme pour les paiements CB en ligne), on réduirait fortement les risques de ce type de fraude...