Radié de sa banque pour avoir dénoncé une appli beaucoup trop intrusive

cic-big-brotherC’est l’histoire d’une application bancaire intrusive qui vaut à l’un de ses utilisateurs quelques ennuis avec sa banque. Fin mai, ce spécialiste en sécurité informatique autodidacte, Gwen, alias @Sorcier_FXK sur Twitter, jette un œil à la mise à jour que lui demande son application portable du CIC. Cet habitant de la région nantaise explique :

« Je ne fais pas confiance aveuglément en matière de sécurité. Quand Google PlayStore m’a demandé de nouveaux droits, j’ai comparé avec ceux dont elle disposait jusqu’à présent. »

Mauvaise surprise : l’appli est gourmande en données personnelles. En plus d’un accès au GPS en mode fin (précision minimale à 5 mètres), d’un accès en lecture et écriture aux contacts, aux appareils photos et aux fichiers, photos et tous médias contenus dans le téléphone, l’application du CIC demande l’accès en lecture et écriture à tous les comptes enregistrés dans le téléphone.

Gwen s’étrangle :

« C’est-à-dire tous vos comptes e-mail, Youtube, Facebook, Twitter etc. Ce sont des droits en lecture et en écriture qui pourraient permettre de lire n’importe lequel de vos e-mails à caractère privé et professionnel mais également de publier du contenu sur n’importe lequel de vos comptes enregistrés dans votre smartphone. »

« Agacé », Gwen abandonne la procédure d’installation « de ces modifications hautement intrusives ». Il se justifie :

« Elles nuisent à ma vie privée mais aussi professionnelle car elles détruisent ma neutralité professionnelle. Si je vends une prestation à une banque concurrente, ma banque pourrait suivre les échanges avec mon client et obtenir des informations très sensibles à mon insu. »

Radié de sa banque

Après trois semaine de réflexion, il contacte son agence le 10 juin pour obtenir des informations. Sa nouvelle conseillère, par ailleurs directrice de l’agence, refuse de répondre à ses questions. L’échange est, aux dires de Gwen, on ne peut plus agressif. Il se rappelle :

« Elle est partie au quart de tour en disant qu’elle n’avait pas à se justifier et que je n’avais pas de questions à poser. Elle hurlait tellement que mon téléphone saturait. »

Ulcéré, Gwen fait connaître son mécontentement sur Twitter, où son compte de veille professionnelle compte plus de 1 100 abonnés, et « apostrophe le compte du CIC ». Sans résultat. Déçu, il décide de changer d’établissement et prend rendez-vous avec une autre banque la semaine suivante.

En épluchant ses comptes le lendemain, il constate une saisie de 100 euros. Empêché de travailler par de graves ennuis de santé, Gwen vit chichement du RSA. Avec 454 euros par mois, son compte est souvent dans le rouge. Il explique :

« J’ai eu un découvert et la banque m’a mis l’amende maximale alors que mon conseiller précédent était bien plus compréhensif du fait de ma situation de santé. »

Un appel à son agence lui confirme la décision de la banque. Samedi 13 juin, la série noire continue. Gwen reçoit un courrier avec accusé de réception, l’informant que sa banque « n’a plus convenance à maintenir ses relations » avec lui. Son compte est radié, ses fonds gelés et sa carte bleue bloquée.

sorcier-cic

Gwen suppose :

« Je pense que le community manager du Crédit industriel et commercial a fait remonter mes questions sur Twitter et que cela a engendré cette radiation, mais on ne renvoie pas un client comme ça ! »

Si Gwen envisage à présent de porter l’affaire devant la justice, celle-ci fait déjà grand bruit sur les réseaux, en grande partie après un post du bien connu blogueur Korben. La CIC inaugure ainsi la semaine par un « bad buzz » dans les formes de l’art.

Contexte guère favorable

Réagissant aux nombreux commentaires, Gwen se défend d’accuser le CIC de vol des données.

« Je pense que leur appli est mal développée et qu’elle demande des droits d’accès abusifs », précise-t-il.

D’après ses constatations, l’application Android du CIC n’est pas différente de celles proposées par ses concurrents. Il s’alarme :

« Ces informations ne sont pas cachées et je connais la portée de ces autorisations mais qu’en est-il des utilisateurs et utilisatrices pour qui tout cela est complétement obscur ? Il y a peu de temps, nos représentants politiques ont bradé nos vie privées en votant un projet de loi qui a fait honte à toute notre nation. Imaginons qu’une requête soit faite au CIC de la part d’un service de renseignement de communiquer sur un de ses clients. Une telle application pourrait servir de cheval de Troie. Certains pourraient me taxer de “ parano ” et je leurs répondrais que je suis ingénieur en sécurité informatique, c’est mon travail que d’analyser, d’envisager le pire, de cloisonner, de surveiller dans le temps et m’assurer plutôt trois fois qu’une que les choses soient correctement sous contrôle et sécurisées. Cette application est donc loin d’être un “petit problème”. »

Réponse du CIC

Le 13 juin au soir, le community manager du CIC a adressé un tweet lui demandant ses contacts. A l’heure où nous publions cet article, Gwen n’a plus eu de nouvelles du CIC, qui a fini par répondre [PDF] à nos questions.

Le CIC rappelle que « chaque utilisateur peut décider en toute connaissance de cause, de télécharger ou non l’application ». Selon la banque :

« Ces autorisations sont liées aux fonctionnalités même de l’application. L’accès à la géolocalisation du téléphone est justifié par les fonctions d’indication des distributeurs les plus proches. L’accès aux contacts du téléphone facilite quant à lui le partage de RIB. »

Le CIC affirme également que « aujourd’hui, la majorité des applications Android réclame ce type de permissions pour un fonctionnement. Dès que le système d’exploitation Android le permettra, le CIC étudiera une gestion des permissions au cas par cas. »

Enfin :

« La banque dément fermement toute relation de cause à effet entre la situation personnelle de cet internaute et les remarques que celui-ci a faites sur les réseaux sociaux. Le secret bancaire ne nous permettant pas d’évoquer le détail de ce dossier, nous indiquons juste qu’il lui a été proposé de faire appel à notre médiateur qui examinera son dossier avec toute l’attention nécessaire. »

Source : http://rue89.nouvelobs.com/2015/06/15/radie-banque-avoir-denonce-appli-intrusive-259779

Publicités

Un commentaire ?

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s