Mar 28th 2008 04:00 pm Entreparticuliers.com ne corrige pas ses failles de sécurité

Ca fait presque une semaine que j’ai accès à des numéros de CB sur le site entreparticuliers.com. Je n’ai eu aucun retour de leur part. Cet article étant le plus vu sur ce blog cet année, je doute qu’aucun salarié ou administrateur de ce site immobilier n’ait eu d’écho.
Une société pure player avec une capitalisation boursière de plus de 60 millions d’euros ne peut ignorer ce genre d’information pendant une semaine.
Posted by Arnaud Jeulin / Revue du web and entreparticuliers.com
fx on 28 Mar 2008 at 16:30 #
c’est l’hallu ce truc là… n’ont ils pas l’obligation d’utiliser un serveur sécurisé ?
je comprends pas comment on peut encore stocker des numéros de CB sur son propre serveur
Aymeric Jacquet on 28 Mar 2008 at 17:40 #
Hmmmm.
Google bombing ?
Arnaud Jeulin on 28 Mar 2008 at 17:45 #
J’ai envoyé un mail au pdg, on verra s’il répond.
Dire qu’il n’y a pas si longtemps j’ai failli passer une annonce sur ce site…
Aymeric Jacquet on 28 Mar 2008 at 17:47 #
Fais gaffe qu’il ne réponde pas par voie juridique, il parait que c’est à la mode ces derniers temps.
Arnaud Jeulin on 28 Mar 2008 at 18:16 #
Il n’y a rien d’insultant de diffamant, pas d’intention de nuire et je ne donne aucun lien. Je publie une copie d’écran de ce que j’ai vu en suivant un lien sur un site.
En plus j’ai prévenu avec un mail et leur formulaire de contact.
ant on 28 Mar 2008 at 18:29 #
@ arnaud Jeulin Publie le lien du site ou tu l as trouvé , ca va peut etre les faire bouger
en plus si toi t as vu ce lien , d’autres ont pu le voir aussi, ou peuvent y avoir acces, etc……
il y a deja peut etre eu des problemes avec certaines cartes bleues.
t as contacté le groupent des cartes bancaires?
DGCCRF
167-177 avenue Joliot-Curie
92013 NANTERRE Cedex
UFC que choisir
Anne-Sophie Stamane
233 boulevard voltaire
75011 paris
Groupement cartes bancaires
Madame WOUAQUET
Washington Plaza
75408 Paris cedex 08
AMF (Autorité des marchés financiers)
17 place de la bourse
75082 Paris cedex 02
Arnaud Jeulin on 28 Mar 2008 at 18:35 #
Que choisir est au courant.
La page qui donnait le lien n’existe plus, de toute façon je ne souhaite pas que ce soit trop diffusé. Il faut se mettre à la place de ceux qui ont leur numéro en clair sur entreparticuliers.com.
Sébastien on 28 Mar 2008 at 18:41 #
Y’a un peu plus de deux mois, une faille permettait de modifier toutes les annonces et a été modifié en quelques jours. Je mets pas le lien on sait jamais :)
ibob on 28 Mar 2008 at 19:17 #
@Seb: en faisant un petit tour sur le site en question il y a 5 minutes, je viens de trouver un moyen de modifier les annonces en 2 clics, d’avoir les coordonnées du vendeur, email, facture, etc (mais pas la cb) …
Une vrai passoire ce site!
Vu comment le site est fait je pense que c’est un vrai gros chantier pour remettre les données en sécurité et que cela ne se fera pas en un jour ou même une semaine. On comprend bien qu’ils ne communiquent pas trop la dessus en attendant la correction.
C’est peut être même parce qu’ils sont cotés en bourse qu’ils ne peuvent pas faire ce qu’il faudrait : couper le site , s’excuser, corriger et remettre en ligne. On imagine la tronche du cours de l’action.
Au menu des erreurs à ne pas commettre :
– Passer des variables en post en pensant les rendre invisibles
– Authentification en javascript!
– Clic droit désactivé sur les pages publiques pour qu’on ne puisse pas lire la source des pages (mdr)
– Même pas de mot de passe pour modifier les annonces! On demande seulement le nom.
Bref, pas une once de sécurité la dedans, la moindre appli web open source est 1000 fois plus sécure.
PS1: Ils recrutent un developpeur : http://www.entreparticuliers.com/partenariats/devWeb.asp
Je rajouterais bien ‘rudiments de sécurité Web’ dans le profil
PS2: Un petit barbec ce week-end?
PS3: Je vend un base de données email de + de 20 000 vendeurs de bien immobilier, faire offre à dauran qui fera suivre – Non je déconne
ant on 28 Mar 2008 at 19:46 #
@ Arnaud Jeulin,
peut tu stp ajouter d’autres impr ecran en flouttant, puisque nous on peut pas voir tout et seulement un apercu.
tu peux pas floutter legerement l’url en laissant apparaitre le debut avec le nom du site , comme tu as fait pour les numeros ?
Arnaud Jeulin on 31 Mar 2008 at 12:26 #
Flouter l’url ? c’est une url du genre http://www.entreparticuliers.com/blablablabla :)
Je peux mettre d’autres copies d’écran mais ça va être un peu lourd à lire.
Sinon la faille est toujours là et je n’ai pas de réponse à mes messages.
phil on 31 Mar 2008 at 15:37 #
@arnaud jeulin,
pour les impr ecran , je trouve que ca vaut le coup d’oeil, tu peux en montrer d’autres. ok pour l’url, Mais peux tu montrer en copie ecran le debut de l’adresse et masquer le blablabla stp .
Des numéros de CB librement accessible sur un site d’annonces immobilières | ToCoda.Fr on 31 Mar 2008 at 19:42 #
[...] Avec une simple requête sur Google il est possible d’accéder aux numéros ainsi que la date d’expiration et le crypto visuel derrière la carte, en bref toutes les infos nécessaires à l’achat en ligne. On peut voir sur le blog de Dauran une copie d’écran très explicite… Déjà que les méthodes commerciales de ce site ne sont vraiment pas terribles, si en plus ils laissent une faille de sécurité aussi grande encore ouverte plus d’une semaine après sa découverte… [...]
ibob on 01 Apr 2008 at 9:16 #
le dossier s’alourdit:
http://www.journaldunet.com/ebusiness/internet/interview/080401-seloger-plainte-entreparticuliers-yakaz-gloobot.shtml
Extrait:
Pour être honnête, nous sommes en procès avec Enterparticuliers.com. Nous les avons assigné pour nous avoir volé notre base de données de petites annonces d’immobilier neuf. Ce pillage s’est produit en 2006 et nous avons décidé de porter plainte fin 2007. Nous leur réclamons 628.000 euros de dommages et intérêts. J’ai un certain nombre de réserves sur leurs pratiques commerciales…