LCL : des utilisateurs ont pu accéder aux comptes d’autres clients après un bug technique
© REUTERS / CLODAGH KILCOYNE
A la suite d'une mise à jour, l'application mobile de la banque française LCL a fait l'objet d'un problème technique. Résultat, des clients ont pu consulter les comptes d'autres utilisateurs le temps d'une heure.
Le 23 février, l’application mobile de la banque française LCL, disponible sur les systèmes d'exploitation Android et iOS, a suscité une forte inquiétude chez ses utilisateurs. En cause : un problème technique qui a permis à une centaine de clients d’accéder aux comptes bancaires d’autres utilisateurs via l'application.
D’après LCL, 72 000 clients auraient utilisé l'application entre 17h40 et 18h40, soit une heure pendant laquelle le problème technique s’est manifesté. «Les premiers constats, confirmés par des tests aléatoires sur ces 72 000 clients, montrent que ce souci technique n’aurait concerné que quelques centaines d’entre eux», a expliqué la banque dans un communiqué rendu public sur Twitter par le journaliste de BFM Business, Erwan Morice, confirmant que «les personnes concernées par cet incident ont pu lire sur leur application des opérations d’un autre compte que le leur».
J’ai eu accès aux comptes de quelqu’un d’autre, une certaine Caroline
Sur internet, de nombreux clients ont exprimé leur surprise tout en manifestant leur mécontentement. « Je suis choqué […], j’ai eu accès aux comptes de quelqu’un d’autre, une certaine Caroline» a déploré l’une des clientes de la banque. Un autre s’est interrogé publiquement sur Twitter : «Plusieurs témoignages ce soir selon lesquels des clients LCL ont pu accéder aux comptes d'autres clients […] et émettre des ordres ?»
Je suis choquée. En me connectant sur mon app @LCL j’ai eu accès aux comptes de quelqu’un d’autre, une certaine Caroline, ses dépenses, tous ses comptes, son épargne avec les montants 😱😱😱 Euuuuh ça se passe comment niveau sécurité @LCL ???
— Alexia Toulmet (@atoulmet) February 23, 2021
La banque a rapidement réagi en expliquant que cet étrange croisement de données n’était pas lié à une attaque informatique mais à une mise à jour de l’application. LCL a néanmoins décidé de suspendre temporairement son application, le temps d'effectuer un diagnostic interne.
Comme le rapporte BFM Business, «la cause précise du bug a été identifiée tôt le 24 février et les travaux se poursuivent afin de disposer de la liste des clients qui ont été touchés par cet incident».
L’établissement bancaire précise que ce bug n’a pas révélé «l’identification nominative des détenteurs des données affichées » et que «chaque client ayant été concerné par cet incident sera contacté personnellement» par LCL.
L’accès à l’application est redevenu normal dans la nuit du 24 au 25 février.
