Un piratage au groupe Banque populaire-Caisse d'Épargne ? Le vrai du faux
Suite à une alerte sur les réseaux sociaux pointant un problème technique, les clients des 27 banques du groupe Banque populaire-Caisse d'Épargne ont craint que des pirates n'aient trouvé le moyen de pirater leurs mots de passe. Voici ce qu'il en est.
Un vent de frayeur a soufflé ce week-end sur les réseaux sociaux, après une alerte sur un potentiel piratage du groupe Banque populaire-Caisse d'Épargne (BPCE) ! Pour rappel, ce dernier compte pas moins de 27 établissements bancaires en France, rassemblant un total de 35 millions de clients et plus de 100 000 collaborateurs. Aussi, quand un internaute a averti d'un problème avec les pages de connexion des établissements du groupe, qui pourraient avoir été compromises, les clients ont craint que des pirates n'aient trouvé le moyen de pirater leurs mots de passe. Finalement, il semblerait qu'aucune donnée n'ait été compromise. Fausse alerte !
Le crédit coopératif est compromis aussi
— aeris (@aeris_v2) October 17, 2025
Piratage BPCE : une simple erreur administrative
L'alerte, relayée par de nombreux internautes, a été émise pour un internaute du nom d'aeris, qui prévenait les clients des banques appartenant au groupe BPCE de ne surtout pas se connecter à leur compte. Selon lui, il était possible que les pages de connexion des établissements bancaires du groupe aient été compromises et affichent à la page des pages de phishing. Pour faire simple, des pirates auraient trouvé le moyen de subtiliser les identifiants et mots de passe bancaires des clients en passant directement par le site officiel de la banque visée.
Cette faille de sécurité ne reposerait toutefois pas sur une faille de sécurité du site en question, mais d'une erreur administrative dans la gestion des liens techniques et des infrastructures cloud. Pour faire simple, la BPCE utilisait un sous-domaine officiel – lié à son domaine bancaire – pour rediriger vers une infrastructure tierce – via un service cloud, ici Amazon Web Services (AWS) – pour des fonctions non critiques, comme le suivi d'audience. Ce service, hébergé sur AWS, a cependant été fermé, mais le raccourci DNS – le sous-domaine – restait actif et pointait toujours vers l'ancienne infrastructure. Résultat : le sous-domaine BPCE pointait vers une IP désormais utilisée par quelqu'un d'autre. Et ce "quelqu'un d'autre" pouvait être aussi bien un service légitime qu'un acteur malveillant.
Update sur la BPCE : vous pouvez reprendre une activité normale
— aeris (@aeris_v2) October 18, 2025
Le trafic est légitime mais provient dun truc qui naurait jamais du arriver là.
Le trafic nest pas normal mais ne conduit pas à une faille.
Pas de compromission.
La BPCE a depuis confirmé qu'il n'y avait eu aucune intrusion, et aeris a supprimé son message initial. Celui-ci a finalement indiqué qu'il n'y avait pas de raison de paniquer : en réalité, "le trafic est 'légitime" mais provient d'un truc qui n'aurait jamais dû arriver là". Il ajoute que "le trafic n'est pas normal, mais ne conduit pas à une faille". Il y avait donc bien une erreur de fonctionnement entraînant un possible risque, mais elle n'a heureusement pas été exploitée par des pirates. Fausse alerte donc !