La Faille Informatique de Lloyds a Expose les Donnees de Pres d'un Demi-Million de Clients, et les Indemnisations Font Sourire Jaune

Quatre Heures de Chaos Total

Si vous avez utilise Lloyds le matin du 12 mars et que vous aviez envie de jeter un oeil aux finances de quelqu'un d'autre, vous etiez brievement servi. Un defaut logiciel introduit lors d'une mise a jour informatique nocturne a brise l'isolation des comptes dans l'application mobile de la banque, ce qui signifie que les clients pouvaient accidentellement consulter les donnees de transaction d'autres personnes. La faille a dure de 03h28 a 08h08 GMT, une fenetre d'environ quatre heures et quarante minutes qui est depuis devenue un sacre casse-tete pour le plus grand groupe bancaire de detail du Royaume-Uni.

Dans une lettre au Comite de selection du Tresor, Lloyds a confirme que jusqu'a 447 936 clients etaient potentiellement touches. Parmi eux, 114 182 ont effectivement clique pour consulter les transactions d'autres personnes, voyant potentiellement des informations sensibles, dont des numeros d'assurance nationale. Ce n'est pas un incident mineur. C'est une atteinte alarmante a la confidentialite, pour reprendre les mots de la presidente du comite, Dame Meg Hillier.

Que s'est-il Vraiment Passe ?

La cause profonde etait une faille dans l'API. Lorsque deux utilisateurs accedaient a la meme fonction a quelques fractions de seconde d'intervalle, le systeme se retrouvait essentiellement perdu quant a savoir a qui appartenaient les donnees. L'isolation des comptes s'est effondree, et soudainement votre transaction du mardi matin pour un cafe se retrouvait dans la lecture du soir de quelqu'un d'autre.

Durant la fenetre de l'incident, 1,67 million des 21,5 millions d'utilisateurs de l'application mobile de Lloyds se sont connectes. Seuls les comptes courants etaient affectes, et la banque insiste sur le fait qu'aucun solde n'a ete compromis et qu'aucun client n'a subi de perte financiere. Ce sont de maigres consolations, meme si l'on peut supposer que les quelque 114 000 personnes dont le numero d'assurance nationale etait visible pourraient definir la notion de "perte" de maniere un peu plus large.

L'Indemnisation Qui Couvre a Peine une Tournee

C'est la que les choses deviennent vraiment surprenantes. Lloyds a verse 139 000 livres sterling en paiements de bonne volonte, reparties entre seulement 3 625 clients. Pour ceux qui cherchent une calculette, cela revient a environ 38,34 livres sterling par personne.

Trente-huit livres. Pour avoir eu ses donnees financieres personnelles et son numero d'assurance nationale exposes a des inconnus. On pourrait dire que ca couvre a peine le stress emotionnel lie a la decouverte que votre banque ne sait pas maintenir ses API en ordre, sans parler du temps passe a s'inquieter de la fraude a l'identite. Reste a voir si Lloyds considere cette affaire classee avec des paiements aussi modestes, mais il est prudent de dire que l'image renvoyee n'est pas formidable.

Les Regulateurs Rodent

La Financial Conduct Authority a confirme qu'elle s'engage activement avec Lloyds Banking Group sur cet incident. Pendant ce temps, l'Information Commissioner's Office fait des enquetes, bien que Lloyds ait au moins notifie l'ICO dans le delai requis de 72 heures. Remplir rapidement les formulaires n'efface pas la faille, mais cela suggere que quelqu'un dans le service conformite etait attentif, meme si l'API ne l'etait pas.

Le Comite de selection du Tresor ne laisse pas non plus cette affaire s'eteindre silencieusement. Dame Meg Hillier a exige des rapports de suivi a un mois et a six mois de la banque, garantissant que ce sujet reste a l'ordre du jour bien avant l'automne.

La Vue d'Ensemble

Lloyds Banking Group sert environ 26 millions de clients a travers ses differentes marques. A cette echelle, un defaut logiciel n'affecte pas seulement une poignee de comptes. Il se propage de maniere spectaculaire. Le fait qu'une seule modification nocturne ait pu compromettre l'isolation des comptes pour des centaines de milliers d'utilisateurs souleve de serieuses questions sur les protocoles de test et les mesures de protection lors des deploiements.

Jasjyot Singh, directeur des relations consommateurs de Lloyds, a redige la lettre d'excuses au comite. Les excuses sont les bienvenues, mais les clients observeront attentivement si des changements significatifs suivent ou si cela devient un autre cas de banking "desole-pas-desole".

Pour l'instant, si vous etiez concerne, gardez un oeil sur vos comptes et demandez-vous si 38,34 livres sterling vous semble etre une reconnaissance adequate du fait que votre banque a brievement transforme vos donnees financieres en loterie.

Lire l'article original sur la source.