MàJ du 21 septembre. La Banque de France a officiellement réagi ce matin et confirme notre enquête. « Il n'y a jamais eu d'intrusion dans le système informatique de la Banque de France, mais dans celui du centre d'appel hébergé chez un prestataire qui réceptionne les appels du public et les transmet vers les agents de la banque pour traitement », a ainsi affirmé la BdF à l'AFP.
« Ce centre d'appels ne donne aucun accès aux données relatives au surendettement. Il permet aux particuliers d'obtenir des réponses sur toutes les questions qui peuvent se poser sur le droit au compte et le surendettement » a rajouté le porte-parole de la BdF.
Nous avons contacté cette dernière afin d'en savoir plus, notamment sur certains points techniques encore troubles. Nous devrions avoir une réponse sous peu.
Exclusif. (article du 20 septembre) Cela paraît irréel, digne d'un 1er avril : selon l'AFP, la Banque de France aurait vu son système informatique piraté en 2008 par une personne ayant tout simplement téléphoné via Skype. Pire encore, ce pirate sanguinaire aurait utilisé le fameux mot de passe 123456, bloquant à son insu durant deux jours complets le système. Selon notre enquête, plusieurs nuances sont à apporter à cette histoire.
Un système informatique piraté par téléphone via Skype : vraiment ?
Mercredi dernier, Ouest-France dévoile la nouvelle via un titre pour le moins évocateur : « Il pirate des numéros de téléphone et bloque la Banque de France ». Notre confrère raconte ainsi qu'il y a deux ans, en 2010, un homme résidant à Fougères en Ille-et-Vilaine (Bretagne) a cherché sur des forums une technique permettant de trouver l'équivalent gratuit de numéros normalement surtaxés. Testant certains de ces numéros via Skype, il tombe par hasard sur celui du siège de la Banque de France. Une voix automatique lui demande alors un code à six chiffres, sans lui préciser pour quelle raison. Ni une ni deux, notre homme tente le légendaire 123456.
Sans le savoir, ce Fougerais a en fait bloqué durant deux jours le service du surendettement de la Banque de France. S'ensuivra alors une plainte de cette dernière. Deux ans plus tard, la brigade d'enquêtes sur les fraudes aux technologies de l'information retrouve l'utilisateur de Skype et se rend compte qu'il n'a rien d'un terroriste. « Un enfant de dix ans aurait été capable de pirater le site de la Banque de France » explique à Ouest-France Hélène Landic-Baron, l'avocate du soi-disant pirate. « Il n’a jamais voulu bloquer le système » rajoute-t-elle.
Au final, l'homme a été relaxé par le tribunal correctionnel de Rennes et s'en sort donc sans dommage. Voici l'histoire racontée par Ouest-France.
Le lendemain (jeudi), l'AFP rajoute plusieurs précisions tout en introduisant une erreur importante. L'Agence France Presse indique ainsi que l'individu a piraté le système informatique de la Banque de France, avant de préciser par la suite qu'il s'agissait du service surendettement de la Banque de France. Ces informations, notamment la première, ont été reprises par de nombreux journaux francophones.
Pirater un système informatique en appelant simplement un numéro via Skype est toutefois très surprenant. Nous avons ainsi interrogé à la fois l'avocate du « pirate » et des personnes proches du dossier afin d'en savoir plus.
Ce qu'il s'est réellement passé
En 2008, l'internaute en question a bien utilisé Skype pour composer des numéros gratuits amenant vers des services normalement payants nous a confirmé Maître Hélène Landic-Baron, avocate de la ville de Fougères. Lors de ses différents tests, il est finalement tombé sur un numéro réservé aux techniciens d'un prestataire de la Banque de France, prestataire gérant les appels du public vers la Banque. Ce numéro lui a effectivement demandé un code à six chiffres, sans en préciser la raison. L'homme tapa alors 123456, et rien ne se passa de son côté. Ce Fougerais vaqua ensuite à ses occupations.
Concrètement, aucun numéro ni système informatique ni site n'ont été piratés, aucune donnée n'a été récupérée ou modifiée, et le système de la Banque de France n'a pas été bloqué durant deux jours, informations qui nous ont été confirmées par l'avocate de l'utilisateur de Skype et par nos autres sources.
En réalité, taper 123456 a lancé une alerte auprès du prestataire, qui a alors cherché à savoir quelles étaient les raisons de ladite alerte. Le service Satelis, dédié à donner des renseignements auprès du public pour tout ce qui concerne le surendettement, les assurances, les mutuelles, les produits d'épargnes, etc. a ainsi été arrêté durant 48h par précaution. Ce point reste toutefois à confirmer.
Une enquête internationale jusqu'au Luxembourg
Suite à cet évènement, une plainte a été déposée et une investigation a été lancée. La brigade d'enquêtes sur les fraudes aux technologies de l'information s'est ainsi rendu jusqu'au Luxembourg, lieu de résidence du logiciel Skype, ceci afin de pouvoir identifier la source du problème. Ce n'est cependant qu'en 2010 que notre homme a été retrouvé, pour finalement être relaxé deux longues années plus tard.
Le code 123456 était-il vraiment fonctionnel ? Selon l'avocate, même le code 654321 aurait fonctionné. Néanmoins, cela ne signifie pas pour autant qu'il s'agit des bons codes permettant de manipuler la plateforme. Aucune de nos sources n'avait toutefois les compétences techniques requises pour répondre à nos interrogations à ce sujet. En recoupant plusieurs remarques de nos différentes sources, nous pouvons toutefois penser que c'est justement l'erreur de code qui a déclenché l'alerte. Il ne s'agit néanmoins que d'une théorie, qui sera validée ou non dans les jours à venir.
Jusqu'à cinq ans de prison
D'après l'avocate de l'internaute Breton, son client était potentiellement sous le coup des articles du code pénal 323-1 et 323-2. Le premier punit de deux ans d'emprisonnement et de 30 000 euros d'amende « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données ». Le second punit de cinq ans d'emprisonnement et 75 000 € d'amende « le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données ». Le cumul des peines n'existant pas en France, il risquait donc jusqu'à cinq ans de prison et 75 000 € d'amende pour son acte. Le parquet n'est toutefois pas allé si loin.
Ayant réalisé son action totalement par hasard, à son insu, et sans intention de nuire, notre homme a donc été relaxé. Le parquet avait requis 70 heures de travail d'intérêt général (TIG), ce qui n'a même pas été suivi par le tribunal correctionnel de Rennes. Plus étonnant, et preuve de la faible importance de l'affaire, Maître Hélène Landic-Baron nous a affirmé que la Banque de France n'a demandé que 1000 € de préjudice.
À l'heure actuelle, la Banque de France n'a toujours pas réagi officiellement à cette nouvelle. Cela ne saurait tarder selon nos informations.
