[ Pratiques douteuses, sans éthique voire illégales au CERT du Crédit Agricole ? ] - GuiGui's Show - Liens
vendredi 16 octobre 2015 à 11:44CERT = Computer Emergency Response Team
https://www.trusted-introducer.org/directory/teams/cert-credit-agricole.html
https://www.ca-cardsandpayments.com/actualites/credit-agricole-cards-payments-certifie-cert/
Coté sécu sur https://imirhil.fr/tls/#Serveurs%20personnels les www.ca-* ont le grade F. Ce qui est minable.
Copie de https://twitter.com/cyrilbruder/with_replies reprises sur
https://shaarli.guiguishow.info/?J2HFrQ :
«
Tiens, y'a-t-il des mauvaises pratiques sans éthique voire illégales au CERT du Crédit Agricole ?
« Le CERT @CreditAgricole facture des activités de CSIRT au groupe @CreditAgricole mais ne gère pas de sécurité IT, seulement de la fraude.
Le CERT @CreditAgricole pirate illégalement tout ce qui lui semble être une menace. Le CERT @CreditAgricole cache illégalement la compromission de plusieurs sites bancaires. Le CERT @CreditAgricole a envoyé en fermeture (takedown) pour phishing un site officiel d'@Orange via @lexsi en usurpant une identité.
Le CERT @CreditAgricole manipule des données carte bancaire mais n'est pas certifié PCI-DSS.
Site banquaire Préviséo Obsèque groupe @CreditAgricole piraté 2 ans (données de religion) caché délibérément par son CERT TERRORISME @CNIL La RSSI de Préviséo Obsèque a sauté suite au hacking durant 2 ans du site bancaire du @CreditAgricole.
Le CERT @CreditAgricole dissimule des fraudes internes en ne conservant les logs des proxy sortant que 6 mois. Le CERT @CreditAgricole conserve des logs 18 mois. Le CERT @CreditAgricole conserve des copies de logs durant plusieurs années. (script shell manuel sans purge automatique). Il faut respecter les durées de rétention des logs de la loi française même si elle est différente de celle de la @CNIL.
Le CERT @CreditAgricole stocke illégalement en clair les mots de passe des comptes bancaires clients. Il ne faut plus stocker les mots de passe des clients dans les logs et les retirer des anciens logs.
Le CERT @CreditAgricole fausse les réponses aux réquisitions judiciaires. Les réponses aux réquisitions judiciaires sont souvent partielles. Il faut mettre un identifiant de jointure dans les logs pour tracer chaque session pour les réquisitions judiciaires.
Le CERT @CreditAgricole enregistre, bloque et diffuse à des tiers illégalement des données personnelles BIC/IBANs. J'avoue avoir illégalement, sur ordre du CERT, transmis plus de 700 IBAN à 34 personnes (confrères) sur liste underground SIC(sic@lexsi.com) Si un pirate enregistre votre BIC/IBAN sur un compte @CreditAgricole, vous êtes blacklisté à vie, vous ne recevrez plus jamais de virements! Si quelqu'un affirme avoir été arnaqué avec votre BIC/IBAN, vous êtes blacklisté illégalement sans le savoir à vie au @CreditAgricole ! exemple de BIC/IBAN blacklisté illégalement sans en avoir informé les détenteurs des comptes (macro SPLUNK) : vous ne pourrez pas ajouter ces IBANs à vos comptes bancaires @CreditAgricole vous pouvez essayer ça marche pas !!
[NDLR : blacklist semble confirmée : https://twitter.com/_michigale_/status/654820098734100480, entre autres ]
ça fait des semaines que j'harcèle l'@ANSSI_FR mais jamais de réponse ... merci de retweeté un des tweets
»
(Permalink)
https://www.trusted-introducer.org/directory/teams/cert-credit-agricole.html
https://www.ca-cardsandpayments.com/actualites/credit-agricole-cards-payments-certifie-cert/
Coté sécu sur https://imirhil.fr/tls/#Serveurs%20personnels les www.ca-* ont le grade F. Ce qui est minable.
Copie de https://twitter.com/cyrilbruder/with_replies reprises sur
https://shaarli.guiguishow.info/?J2HFrQ :
«
Tiens, y'a-t-il des mauvaises pratiques sans éthique voire illégales au CERT du Crédit Agricole ?
« Le CERT @CreditAgricole facture des activités de CSIRT au groupe @CreditAgricole mais ne gère pas de sécurité IT, seulement de la fraude.
Le CERT @CreditAgricole pirate illégalement tout ce qui lui semble être une menace. Le CERT @CreditAgricole cache illégalement la compromission de plusieurs sites bancaires. Le CERT @CreditAgricole a envoyé en fermeture (takedown) pour phishing un site officiel d'@Orange via @lexsi en usurpant une identité.
Le CERT @CreditAgricole manipule des données carte bancaire mais n'est pas certifié PCI-DSS.
Site banquaire Préviséo Obsèque groupe @CreditAgricole piraté 2 ans (données de religion) caché délibérément par son CERT TERRORISME @CNIL La RSSI de Préviséo Obsèque a sauté suite au hacking durant 2 ans du site bancaire du @CreditAgricole.
Le CERT @CreditAgricole dissimule des fraudes internes en ne conservant les logs des proxy sortant que 6 mois. Le CERT @CreditAgricole conserve des logs 18 mois. Le CERT @CreditAgricole conserve des copies de logs durant plusieurs années. (script shell manuel sans purge automatique). Il faut respecter les durées de rétention des logs de la loi française même si elle est différente de celle de la @CNIL.
Le CERT @CreditAgricole stocke illégalement en clair les mots de passe des comptes bancaires clients. Il ne faut plus stocker les mots de passe des clients dans les logs et les retirer des anciens logs.
Le CERT @CreditAgricole fausse les réponses aux réquisitions judiciaires. Les réponses aux réquisitions judiciaires sont souvent partielles. Il faut mettre un identifiant de jointure dans les logs pour tracer chaque session pour les réquisitions judiciaires.
Le CERT @CreditAgricole enregistre, bloque et diffuse à des tiers illégalement des données personnelles BIC/IBANs. J'avoue avoir illégalement, sur ordre du CERT, transmis plus de 700 IBAN à 34 personnes (confrères) sur liste underground SIC(sic@lexsi.com) Si un pirate enregistre votre BIC/IBAN sur un compte @CreditAgricole, vous êtes blacklisté à vie, vous ne recevrez plus jamais de virements! Si quelqu'un affirme avoir été arnaqué avec votre BIC/IBAN, vous êtes blacklisté illégalement sans le savoir à vie au @CreditAgricole ! exemple de BIC/IBAN blacklisté illégalement sans en avoir informé les détenteurs des comptes (macro SPLUNK) : vous ne pourrez pas ajouter ces IBANs à vos comptes bancaires @CreditAgricole vous pouvez essayer ça marche pas !!
[NDLR : blacklist semble confirmée : https://twitter.com/_michigale_/status/654820098734100480, entre autres ]
ça fait des semaines que j'harcèle l'@ANSSI_FR mais jamais de réponse ... merci de retweeté un des tweets
»
(Permalink)