DERNIÈRE MINUTE : Le mot "Glitch" fait le plus gros du travail dans la banque britannique aujourd'hui Ce matin, les clients de Lloyds, Halifax et Bank of Scotland ont ouvert leurs applications bancaires et se sont retrouvés face à la vie financière complète de parfaits inconnus. Historiques de transactions. Numéros de compte. Codes de tri. Numéros de sécurité sociale. Paiements d'allocations DWP. Salaires anglais apparaissant sur des comptes écossais. Des notes de bar à Newcastle apparaissant au Pays de Galles. Un client de Bank of Scotland a parcouru les détails complets de six personnes différentes en vingt minutes, chaque actualisation servant l'identité financière d'un nouvel inconnu comme une machine à sous de données personnelles. Les banques ont qualifié cela de "glitch technique" et ont dit aux clients de ne pas s'inquiéter. La réponse officielle d'Halifax sur X était de suggérer de se déconnecter et de se reconnecter. Lloyds a demandé aux utilisateurs de "faire preuve de patience". Bank of Scotland a déclaré qu'ils "enquêtaient". Laissez-moi traduire cela du euphémisme institutionnel en langage clair. Un groupe bancaire servant plus de 26 millions de clients a connu une défaillance de backend qui a servi des données financières authentifiées, y compris des numéros d'identité délivrés par le gouvernement, à des sessions aléatoires. Dans toute juridiction avec une application efficace de la protection des données, ce n'est pas un glitch. C'est un événement d'exposition de données à signaler en vertu du RGPD britannique. Le Bureau du Commissaire à l'Information exige une notification dans les 72 heures suivant toute violation impliquant des données personnelles qui pose un risque aux droits des individus. Les numéros de sécurité sociale sont la clé de voûte de la fraude d'identité en Grande-Bretagne. Ils déverrouillent les dossiers fiscaux, les demandes d'allocations, les demandes de crédit et l'accès aux retraites. Chaque numéro de NI qui est apparu sur l'écran d'un inconnu ce matin est désormais un identifiant compromis, peu importe si le bug d'affichage a été "rapidement résolu". Le précédent est instructif. En avril 2018, TSB a subi une défaillance similaire lors d'une migration informatique de la même infrastructure parentale. Les systèmes de Lloyds Banking Group. Les clients pouvaient voir les comptes d'autres personnes, accéder à des fonds qui n'étaient pas les leurs, et étaient bloqués pendant des mois. La FCA et la PRA ont infligé une amende de 48,65 millions de livres à TSB. Plus de 225 000 plaintes ont été déposées. 32,7 millions de livres en réparations ont été versés. Le PDG a été contraint de partir. Et cette défaillance a eu lieu lors d'une migration planifiée avec des paramètres de risque connus. L'incident de ce matin chez Lloyds Banking Group n'était pas une migration planifiée. C'était une défaillance spontanée dans les systèmes de production qui a distribué aléatoirement des identités financières en direct à des sessions authentifiées mais non liées. Le fait que cela ait été bref ne réduit pas la gravité. Cela l'augmente. Une migration planifiée qui échoue révèle une mauvaise exécution. Un système de production qui commence spontanément à servir des données client aléatoires à des sessions aléatoires révèle quelque chose sur l'architecture sous-jacente que rien de "rapidement résolu" ne peut adresser. Chaque client qui a vu le numéro de NI d'un inconnu ce matin a reçu la preuve que la promesse de vérification qui sous-tend la banque numérique, la promesse que l'authentification équivaut à l'isolement, a échoué silencieusement et complètement. Les banques disent que votre compte est en sécurité. Ce qu'elles veulent dire, c'est que l'erreur d'affichage a été corrigée. Ce ne sont pas les mêmes déclarations. La question n'est pas de savoir si cela a été corrigé. La question est de savoir si quelqu'un a pris des captures d'écran pendant ces vingt minutes. Et si l'ICO et la FCA traiteront cela pour ce qu'il est.