Les informations privées relatives à près d’un million de clients de quatre grandes banques Norvégiennes étaient accessible depuis Internet. La faille existait depuis deux mois, et il a fallu qu’un jeune internaute de dix-sept ans contacte un journal local pour qu’elle soit supprimée. La technique utilisée (voir notre analyse ci-dessous) est très simple et n’exclue pas que certaines banques en ligne françaises y soient vulnérables.

L’analyse des Nouvelles

La faille est simple : il suffisait à n’importe quel client de la banque en ligne de se connecter à son compte et de récupérer l’adresse complète de la page vers laquelle il est alors dirigé. Celle-ci est bien sûr masquée, mais il suffit de modifier une option publique du navigateur afin de la connaître. L’adresse complète contient le numéro du compte actuel. Il suffit de la recopier et de mettre un nouveau numéro de compte pour se retrouver directement sur la page d’accueil privée d’un autre client.

Aucune transaction ne peut alors être réalisée, mais tout l’historique des transactions est visible.