Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Mieux vaut être riche, bien portant et ne pas poser de questions, pour être client au CIC

Image by Korben Difficile d'échapper ces derniers jours à la polémique qui oppose le CIC à Sorcier_FXK. Ce dernier avait interrogé sa conseillère, accessoirement directrice de l'agence du CIC de Turballe, sur le changement de politique dans les droits d'accès de l'application smartphone de la banque.

Image by Korben

Difficile d'échapper ces derniers jours à la polémique qui oppose le CIC à Sorcier_FXK. Ce dernier avait interrogé sa conseillère, accessoirement directrice de l'agence du CIC de Turballe, sur le changement de politique dans les droits d'accès de l'application smartphone de la banque. Initialement limités au GPS en mode fin (précision minimale à 5 mètres), à l'accès en lecture et écriture aux contact, à  l'accès aux appareils photos et aux  fichiers, photos et tous médias, l'application demandait désormais l'accès à tous les comptes utilisateur. C'est à dire, aux comptes mails, Youtube, Facebook, Twitter, etc. Visiblement, la conseillère n'a pas beaucoup apprécié ces questions. Selon Sorcier_FXK, expert en sécurité informatique, Mme M. M. s'est emportée au téléphone. Dans la foulée, la banque facturait 100 euros sur le compte pour sanctionner un découvert de 55,39 euros. Pour quelqu'un qui vit - ce que n'ignore évidement pas la banque - avec 454 euros par mois, une telle somme est exorbitante. Suit une lettre recommandée annonçant que la banque n'a "plus convenance à poursuivre nos relations". Traduction : ton compte sera fermé et en attendant, tu ne peux plus utiliser tes moyens de paiement.

Sorcier_FXK n'a pas manqué d'informer ses followers sur Twitter de ses mésaventures avec le CIC. Le bad buzz était assuré, la côte d'amour des banques ayant dramatiquement chuté ces dernières années. La réponse du CIC à cette mauvaise publicité est un cas d'école.

Les monolithes traditionnels ne savent décidément pas gérer l'une des transformations induites par le réseau. Lors de l'arrivée du Net, certains consultant parlaient de "brick and mortar" pour évoquer les entreprises classiques. Les nouvelles s'émancipant des briques et du ciment pour investir le Net. Le CIC est en béton armé... Soit il n'est pas encore rodé à un monde où un particulier peut déclencher d'un tweet une vague d'articles dans la presse, soit il se contrefout de la mauvaise image véhiculée par ces papiers. En misant sur l'oubli qui saisit les mêmes internautes super-indignés, quelques jours plus tard.

Retour sur une gestion de crise façon CIC.

Lundi matin, 9 heures, Reflets passe un coup de fil à F. M. (voir ici), responsable des relations presse du CIC. Nous voulons obtenir la version des faits de la banque. Durant le week-end, le community manager de la banque avait réagi comme il le fait pour toute demande au CIC sur Twitter :

@Sorcier_FXK Bonjour, pourriez-vous nous envoyer vos nom et agence de rattachement sur lachainecic@cic.fr pour échanger sur cette situation?

— CIC - La Chaîne CIC (@cic) June 13, 2015

Rien de neuf sous le soleil, le CM du CIC fait cette réponse à tout bout de champ. Mais au siège, F. M. n'est pas au courant de l'histoire. Il découvre avec nous et promet de se renseigner, puis de nous rappeler. Non sans nous indiquer que la clôture d'un compte n'est généralement pas une décision prise à la légère et dans l'urgence, qu'en tout étant de cause il est proposé au client de prendre contact avec le médiateur régional puis, si nécessaire, national.

Dans le courrier recommandé reçu par Sorcier_FXK, il n'est pourtant pas fait mention de la possibilité de faire appel au médiateur.

F. M. ne nous a jamais rappelés, jugeant sans doute que Reflets.info dont il n'avait probablement jamais entendu parler, ne fait pas partie des médias importants.

En revanche, le CIC, et donc très probablement F. M. (le document n'est pas signé), a publié lundi un communiqué de presse sous la forme d'un très joli PDF. L'affaire commençait à se voir méchamment sur les réseaux sociaux, l'ami Korben ayant publié un article sur le sujet.

Communiqué en béton

Passons en revue si vous le voulez bien, ce communiqué de presse.

Le CIC a récemment été interpellé par un internaute sur les autorisations demandées lors de l’installation de son application sur  mobile Android. Cela  a suscité diverses réactions sur la toile. Le CIC tient à préciser les points suivants : _- Le recours à ces autorisations est, comme à chaque évolution, mis en lumière et expliqué sur la page d’installation du Google Play Store et sur son site internet CIC.fr.__ Chaque utilisateur peut donc décider, en toute connaissance de cause, de télécharger ou non l’application._

Comme le dit la chanson à propos de Jacques II de Chabannes de La Palice, "Un quart d'heure avant sa mort, il était encore en vie"... Effectivement, chacun est encore libre de télécharger et d'installer, ou pas, une application. Mais peut-on questionner l'étendue des droits d'accès demandés par l'application ?

- Ces autorisations sont liées aux fonctionnalités même de l’application. A titre d’exemple, l’accès à la géolocalisation du téléphone est justifié par les fonctions d’indication des distributeurs les plus proches. L’accès aux contacts du téléphone facilite quant à lui le partage de RIB.

En effet. Ces droits concernent cependant la précédente version de l'application. La question de @Sorcier_FXK portait sur l'accès aux comptes utilisateur demandés par la nouvelle version. Sur ce point, étrangement, le CIC n'apporte aucune explication, ni dans son communiqué, ni sur cette page. Secret défense, sans doute, comme nous le verrons plus loin.

- Aujourd’hui, la majorité des applications Android réclame ce type de permissions pour un fonctionnement optimal. Ainsi, l’ensemble des applications bancaires de la place le font.

Si tout le monde le fait, il n'y a pas de raison d'avoir une approche différente, plus respectueuse de la vie privée des clients. Encore une lapalissade.

Dès que le système d’exploitation Android le permettra, le CIC étudiera une gestion des permissions au cas par cas.

#SpaMaFaute, c'est le vilain Google qui développe avec ses pieds. Comme chez Reflets, nous sommes plutôt adeptes du droit de suite, nous ne manquerons pas de nous rappeler au bon souvenir du CIC à l'automne.

Par ailleurs, l’internaute en question se plaint d’une résiliation abusive de ses comptes, affirmant que c’est parce qu’il a critiqué l’application sur Twitter que le CIC aurait mis fin à la relation commerciale avec lui.

Le CIC dément fermement toute relation de cause à effet entre la situation personnelle de cet internaute et les remarques que celui-ci a faites sur les réseaux sociaux.

Ah. On va donc savoir ce qui a motivé cette décision qui, selon F.M.  n'est généralement pas prise à la légère et dans l'urgence...

Le secret bancaire ne nous permettant pas d’évoquer le détail de ce dossier, nous indiquons juste qu’il lui a été proposé de faire appel à notre médiateur qui examinera son dossier avec toute l’attention nécessaire.

Pas de chance... Nous ne saurons pas. Car voyez-vous, le CIC utilise la technique dite du "chat perché". Un peu comme Bernard Cazeneuve et ses conseillers lorsqu'on leur pose des questions gênantes sur les boites noires et autres algorithmes de la Loi sur le Renseignement : secret défense. Circulez...

Il y a juste un petit hic.

Le secret bancaire invoqué ici ressemble un peu à une bonne excuse pour ne pas s'étendre et clore unilatéralement la polémique, façon François Hollande avec Manuel Valls et ses voyages footbalistiques. Le secret bancaire interdit à un banquier de fournir à une personne privée des renseignements sur la situation du compte d'un de ses clients ou sur toute opération effectuée sur ce compte. Mais sans doute pas à une banque d'expliquer sommairement pourquoi elle décide de fermer le compte d'un de ses clients.

Le fait que le détenteur du compte ait de très faibles revenus n'entre pas en compte, selon F. M.. Pas plus que les questions sur l'application du CIC, indique le communiqué de la banque. On se perd donc en conjectures...

Toujours aussi intrigués par cette affaire de la banque qui fournit à ses clients des outils bancaires dans un monde qui bouge, nous avons repris notre combiné téléphonique. F. M. était sur répondeur et nos messages l'ont laissé froid. La directrice de l'agence de Turballe devait nous rappeler mais ne l'a pas fait. Le CIC, une banque à votre écoute et qui répond à vos questions... De son côté, @sorcier_FXK n'a pas eu de nouvelles à part le numéro du médiateur.

Nous avons par ailleurs interrogé la CNIL sur l'existence d'une déclaration du CIC concernant cette application et son contenu. Mais comme à son habitude, la CNIL n'a pas été en mesure de répondre à notre demande avant publication de cet article. Nous ne manquerons pas de vous informer, ami lecteur, si la CNIL se réveillait.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée