Linxea Assurance Vie : vos avis sur Linxea Assurance Vie ?

@Zeb

Oui c’est bien ce que tout le monde imagine actuellement : Le front-end de Linxea, faisant face à Internet a été impacté par une cyber-attaque, dans ce cas un rançongiciel, a priori sans fuite de données. Ce n’est donc "que" le portail relation client qui est touché, les contrat d’assurances eux même (et les fonds) étant hébergés chez les assureurs, donc Spirica, Suravenir, et autres.

Toutefois, au bout d’une bonne semaine, Linxea n’a pas pu repartir ce qui indique pour moi  :
- soit une absence de stratégie d’analyse de risque et du DRP (Disaster Recovery Plan) conséquent, pour ce service accès client pourtant critique pour un courtier en ligne : on parle tout de même ici de 100000 clients, avec environ 2,5-3 Milliards d’euros sous gestion,
- soit un DRP mais non implémenté ou non testé, c’est pareil
- soit une prise de risque (calculée) de Linxea qui a jugé que ce service à la clientèle n’avait pas besoin d’un RTO (Return Time to Operation) rapide
- soit un manque de moyens , bien que pour une PME de 50 personnes, 12 millions de CA (année 2022 chiffres pappers), 500k€ de resultats annuels , je pense qu’il y avait tout de même de quoi faire quelques investissements sur ces sujets
- soit un manque de volonté
- soit de l’incompétence
- …/…
- un mix de tout cela

Je n’aime aucune des hypothèses ci-dessus, et si je suis un peu en colère (cela se lit ?) c’est pour les raisons suivantes :

Le plus gros risque de passer par un courtier, ce n’est pas la pérennité de nos fonds en AV, car se sont les assureurs, professionnels eux, qui supportent ce risque et le gèrent avec leurs organisations, process et infrastructures sans communes mesures avec un courtier.

Le plus gros risque, c’est bien la sécurité des données personnelles confiées au courtier.
Il faut se rappeler ce que l’on a confié à Linxea pour ouvrir un dossier, informations qui transitent et sont probablement stockées sur le serveur front-end :
- Coordonnées complètes du souscripteur , y inclus mail et téléphone
- Coordonnées des bénéficiaires
- La situation patrimoniale du souscripteur
- Justificatif de domicile
- Pièces identité
- RIB

Si l’attaque s’était conclue par une fuite de données; avec ce qui est disponible dans les documents listés ci-dessus, mais quel carnage pour les 100000 clients !

A noter que ce risque n’est pas encore complètement écarté pour cette fois, et qu’il pourrait revenir demain au vu du niveau de Linxea durant le traitement de cette crise :

Donc la sécurité des données personnelles, et le risque conséquent de fuite d’information c’est LA responsabilité de Linxea.

Linxea est très certainement conscient de ce gros boulet qui est passé juste à côté. Ils ont fait le choix d’une communication délibéremment mensongère pour se faire oublier et minimiser leurs manquements sur leur responsabilité :
- insistance sur la sécurisation des fonds, ce qui est inutile, car tout le monde sait que ce sont les assureurs qui gèrent
- mensonge délibéré sur la nature de l’incident, ne parlant que d’incident technique, donc "sans risque"
- certitude très rapide sur l’absence de fuite de données (ouah les experts) , tout en étant incapable de restaurer des données au bout de une semaine … (ouah les même experts …) ni de donner de dates de retour au service (ouah les mêmes experts …)

En conclusion pour une telle société, ce comportement mensonger et immature me laisse penser qu’ils ne se corrigeront pas, et qu’ils ne s’en remettront peut-être pas.

Donc vraiment dommage, vraiment dommage, j’aimais bien les contrats distribués par Linxea, mais ma conclusion est de les quitter.
Je m’attelle déjà à cette première tâche.

Je trouverai bien ensuite un autre courtier, tout en sachant que le risque de retomber sur pareil ou pire existe.

Oui c’est bien axido qui a été attaqué. Cyberattaque : Axido confirme le chiffrement partiel d’un environnement de production | LeMagIT

De mon côté, j’ai souscrit aux assurances Linxea Avenir avec Suravenur et Linxea Spirit avec Spirica avant 2019.
J’ai accès à mes comptes via les plateformes des 2 assureurs et changés le mot de passe.
J’ai toujours trouvé l’intermédiaire via le site Linxea très gadget vu que je ne fais pas de virement mensuel. Juste utile pour avoir une vue agrégée des fonds.

Il faudra être prévoyant pour les campagnes de fishing incluant linxea sur les prochaines années.
Qui sait ce qu’ils pourront faire avec nos données personnelles.

Je n’ai pour l’instant pas été notifié avec Have I Been Pwned: Check if your email has been compromised in a data breach

Dernière modification par FunnyDjo (23/06/2024 10h49)

quinou a écrit :

Bonjour, nous avons 4 AV chez linxea ; 2 Avenir de 2 ans, 1 spirit2 de 2 ans et 1 spirit2 de 2 mois. Aucun accès possible sur les sites assureurs. Ma compagne a reçu un mail et un texto de mot de passe temporaire pour le spirit récemment ouvert mais impossible de créer le nouveau mot de passe : "nouveau mot de passe incorrect" (bien que les règles de constitution soient respectées)

Au vu des sommes engagées c’est vraiment inquiétant ! Mon mail au service client reste sans réponse

Personnellement, j’accède à mes AV via les sites des assureurs.
Les liens sont accessibles sur l’espace client de Linxea.
Attention toutefois, les identifiants ne sont pas les mêmes et ont été envoyés par mail à l’inscription.

Leur site est à nouveau visible. Autant pour moi.

Batma a écrit :

Leur site est à nouveau visible. Autant pour moi.

Heu non,

Depuis le site principal, en cliquant sur le bouton "espace client", on obtient encore le message "L’accès à l’Espace client revient bientôt….En attendant, toutes les opérations sont accessibles à partir des espaces assureurs."

En accès direct sur le le lien https://espaceclient.linxea.com on obtient toujours un message d’erreur

PascalD a écrit :

Linxea a été victime d’un ransomware, comme cela a été confirmé par l’entreprise.

Pouvez vous indiquer quelle communication Linxea reconnait cet état de fait ?

Pour l’instant les communications reçues par les clients ont évoqué seulement un incident technique chez leur sous-traitant, ce qui motive toutes mes remarques sur leur immaturité et manque de sérieux …

Pensez vous qu’il soit raisonnable de fermer le compte bancaire lié à linxea sachant que le RIB est surement connu des pirates ?

kihv a écrit :

Les attaquants sont nécessairement organisés et spécialisés :
les premiers trouvent des accès, puis revendent les accès à d’autres qui les exploitent le plus discrètement possible.

Et non justement… c’est ce qui fait la "popularité" des attaques par ransomware.
Une simple ouverture de pièce jointe dans un mail et c’est parti pour la galère ! Pas besoin d’avoir compromis des accès, c’est presque à la portée de tous… il suffit de trouver une cible pas super bien protégée.

Dans mon précédent emploi (responsable équipe IT dans une grande banque au luxembourg), nous avons été victime d’une attaque ransomware dont l’origine était la pièce jointe d’un mail et un employé qui l’avait ouverte (malgré les efforts continus dans la sensibilisation du personnel sur ces points). Le ransomware s’est très vite propagé sur les fileservers, causant pas mal de dégâts.

Heureusement pour nous :
- nous avions une infrastructure d’accès à internet virtualisée et totalement séparée de l’infrastructure de production, où se trouvent les données et les applications métier.
- nous avions un DRP fonctionnel et testé régulièrement.
- les bonnes actions ont été entreprises très rapidement (arrêt de toute l’infrastructure d’accès à internet et restore des images des machines virtuelles de la veille)

Il nous a tout de même fallu près d’une journée pour remettre d’aplomb cette infrastructure.
La situation aurait été beaucoup plus complexe à gérer si le ransomware s’était propagé sur le réseau interne…

Le fait que dans le cas présent, la victime soit un hébergeur n’est pas forcément synonyme de mécanismes d’attaque complexes.

bg57 a écrit :

investissor a écrit :

Ils ne peuvent pas faire grand chose avec votre rib, c’est presque une information publique.

Le problème c’est que si l’attaquant a récupéré le RIB il a aussi récupéré :
la copie de la carde d’identité,
L’état civil complet, l’adresse postale, l’adresse mail,
Le justificatif de domicile,
Le numéro de téléphone mobile (utilisé pour la signature du contrat …)
Plus toutes les autres informations utiles demandées pour une ouverture de compte.

Donc la situation est bien différente, et minimiser en disant "un RIB est une information presque publique" est vraiment très léger. On voit bien que la collection de document impliqués ouvre grand la porte à quantité de fraudes.

On est bien d’accord, et c’était le sens de mon message, je l’ai peut être mal exprimé : ce n’est pas le rib le problème, fermer son compte ne changera pas grand chose à l’affaire si tout le reste a fuité

Pour revenir sur quelques points soulevés par PascalD :

- Non seulement le paiement d’une rançon finance les terroristes et ne garantit pas de récupérer quoi que ce soit, mais il ne garantit pas non plus l’effacement ou la non-divulgation des données : les pourritures aiment bien pratiquer la « double extorsion », c’est-à-dire réclamer une deuxième rançon en menaçant de divulguer les données qui étaient supposément effacées suite au paiement de la première rançon (c’est par exemple le cas dans l’énorme fuite de données Change Healthcare aux U.S.A.).

- Le fait que les informations présentes chez LINXEA ne soient pas considérées comme « RGPD sensibles » contrairement à une analyse de sang me fait rire… jaune. Je ne vais pas embêter les gens ici avec mon état de santé, mais disons que si je me retrouve accusé de malversations ou pire à cause des documents ayant probablement fuité (via usurpation d’identité), cela risque de se passer très très mal pour moi et pour les proches qui ont besoin de moi.

- Je ne suis pour l’instant pas très effrayé, à titre personnel, par le phishing tel qu’il est pratiqué actuellement (je le suis pour beaucoup d’autres, personnes âgées notamment), en revanche je me pose la question très concrète : si les pourritures ouvrent un compte au nom d’un client LINXEA en falsifiant l’adresse, quel est le risque qu’ils puissent effectuer un rachat directement auprès de l’assureur en envoyant leur RIB dans lequel ils auraient falsifié l’adresse pour y mettre celle du client (à supposer que l’assureur vérifie l’adresse présente sur le RIB) ?

À mon sens, l’erreur fondamentale est d’avoir laissé les institutions financières s’installer sur un réseau bien trop ouvert, Internet. Le monde actuel n’a plus rien à voir avec les années 1980.

Est ce que vous voyez un risque à me connecter a mon assurance vie "linxea spirit" , hébergée chez Sylvea ?

globtrot a écrit :

Les pirates arrivent-ils aujourd’hui à les déchiffrer (hors mots de passe triviaux bien sûr) ?

Réponse de normand…ca dépends !

Tout dépends de comment sont stockés les mots de passe et de la complexité de ceux-ci ( et ce même si ils sont chiffrés et non-triviaux)

Si le sous-entendu de votre question est "y a t’il un risque que mon mot de passe sur linxea soit compromis" la réponse est oui, et par précaution, il vaut mieux le considérer comme tel et le changer(ainsi qu’a tout autres endroits si vous réutilisez le même mot de passe)