Technologies

Lloyds : un bug dans l'API embrouille les comptes

Une agence Lloyds Bank. Dans sa réponse aux questions de la Chambre des communes britannique, le groupe bancaire explique le grave dysfonctionnement du 12 mars par une mise à jour logicielle défectueuse. (Photo : Lloyds)

Le groupe bancaire Lloyds a été contraint de s'expliquer sur le bug qui a permis à près de 450 000 clients d'accéder à des données financières d'autres personnes. En cause : la mise à jour non maîtrisée d'une API.

PublicitéC'est un bug pour le moins embarrassant qu'a été contraint de confesser le groupe Lloyds Banking aux régulateurs du Royaume-Uni. Suite aux incidents survenus le 12 mars, permettant à des clients de Lloyds, Halifax et Bank of Scotland d'accéder à des données d'autres titulaires de comptes, le groupe bancaire à la tête des trois établissements a expliqué, dans une lettre au comité du Trésor de la Chambre des communes britannique, que cet invraisemblable imbroglio résultait d'une mise à jour nocturne défectueuse. Un bug qui a permis à quelque 448 000 clients de voir brièvement les transactions d'autres personnes depuis leur application mobile (le site Internet n'étant, lui, pas affecté).

Selon Jasjyot Singh, directeur général relation clients de Lloys Banking, l'incident provient d'une mise à jour déployée dans la nuit du 11 au 12 mars, introduisant un bug dans l'API gérant les données de transaction sur les apps mobiles. « Le défaut résidait dans la conception du code utilisé pour mettre à jour l'interface de programmation (API) de l'application. Nous analysons actuellement les raisons pour lesquelles ce défaut n'a pas été détecté par nos processus de conception, d'assurance qualité et de test », écrit Jasjyot Singh, dans sa lettre répondant aux interrogations lancées par la Chambre des communes suite à l'incident de mi-mars.

Indemnités au titre d'un geste commercial

Entre 3h28 du matin et 8h08, le 12 mars dernier, des utilisateurs de l'application mobile ont pu visualiser les montants des avoirs d'autres clients, ainsi que les dates et références de leurs transactions. Lloyds estime que jusqu'à 447 936 clients ont pu ainsi être exposés aux historiques de transactions d'autres personnes, tandis que jusqu'à 114 182 ont pu voir des informations de paiement plus détaillées, en cliquant pour obtenir des détails sur une transaction en particulier. « Dans certains cas, les informations transactionnelles visibles pouvaient concerner des personnes qui ne sont pas clientes de Lloyds Banking Group, par exemple lorsqu'un paiement a été effectué depuis le compte d'un client de Lloyds Banking Group vers un titulaire de compte dans une autre banque », précise l'établissement. Le bug n'a toutefois affecté 100% des clients, puisque, selon l'entreprise, 1,67 million de personnes se sont connectées à leur app mobile pendant la durée de l'incident.

À ce jour, Lloyds a versé un peu plus de 139 000 £ (soit plus de 160 000 €) à environ 3 625 clients à titre de geste commercial pour le désagrément et les inconvénients subis, et non à titre d'indemnisation d'éventuelles pertes, l'établissement assurant que le bug n'a pas permis à des utilisateurs d'effectuer des transactions illicites. « Nous n'avons relevé aucune preuve de fraude liée à cet incident, mais nous continuerons à suivre la situation de près », assure la banque, les données récoltées suite à cette suite pouvant servir potentiellement à monter des arnaques ou de moyen de pression sur les clients concernés.