Category Archives: entreparticuliers.com

Mise au point d’Entreparticuliers.com

Mise au point d’Entreparticuliers.com en réponse aux actes malveillants et à la campagne de déstabilisation dont elle est victime à lire ici.

Entreparticuliers.com rappelle qu’à la suite de la parution, sur différents médias, blogs et forums, d’informations fausses et mensongères relatives à la sécurité du site de la société, une plainte a été déposée, le 7 avril 2008, auprès du Parquet du Tribunal de Grande Instance de Nanterre, pour faux, usage de faux, atteinte volontaire aux données d’un système informatisé, complicité et association de malfaiteurs informatiques.

Entreparticuliers.com indique que la Brigade d’Enquête sur les Fraudes aux Technologies de l’information (BEFTI) a été saisie le jour même du dépôt de la plainte. L’enquête permettra de découvrir l’ensemble des actes malveillants dirigés contre Entreparticuliers.com et les personnes qui en sont les auteurs.

En conséquence, toute information susceptible de faire avancer l’enquête doit être transmise à la société ou directement aux services de police compétents.

Entreparticuliers.com veillera également à ce que la responsabilité des auteurs de toute diffusion d’information erronée ou mensongère, qui aurait pour but ou conséquence de déstabiliser la société ou son activité commerciale ou son cours de bourse, soit systématiquement recherchée ; et ceci afin de protéger les intérêts de la société et de ses actionnaires.

Enfin, la société Entreparticuliers.com souhaite assurer, une fois encore, à l’ensemble de ses clients que, contrairement à ce qui a pu être évoqué de façon mensongère et préjudiciable, son site Internet ne subit aucune défaillance de sécurité. Le système de protection du site, objet d’investissements conséquents, évolue ainsi en fonction des progrès notables réalisés en matière de sécurité informatique.

BEFTI :  Cette brigade, montée en 1994, fédère une vingtaine d’intervenants de police. Son territoire est Paris et la petite couronne. Dans la majorité des cas, ces enquêteurs interviennent sur des cas de contrefaçon, (MP3, logiciels sans licence ou “craqués” etc…)

Que dois je faire des numéros de Carte Bleue ?

carte de crédit

Que faire des numéros de carte bleue ? C’est la question que doit se poser tout e-commerçant.

Daniel a déjà publié un long billet sur ce sujet. La solution la plus simple reste de déporter ce problème sur le site d’un prestataire de paiement. Par contre si on choisit de traiter soi même ces numéros il faut s’assurer de la sécurité au travers d’audits réguliers obligatoires.

Mes derniers déboires m’ont mis le nez sur des problèmes que je ne soupçonnais même pas.

L’article de 01Net affirme

Une attitude un peu légère quand on sait que les responsables de la société risquent une peine de 5 ans d’emprisonnement et 300 000 euros d’amende pour ne pas avoir pris toutes les précautions afin de protéger les données de leurs clients. C’est le tarif prévu par l’article 34 de la Loi informatique et libertés.

Vu que le texte de loi est illisible (pour moi en tout cas), je ferais confiance à 01NET

Je suis aussi tombé sur un texte de la CNIL : Délibération n° 03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance

La présente recommandation a pour objet, (…), de préciser les garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents au numéro de carte bancaire.

  • La collecte et la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) dans le respect de finalités déterminées et légitimes ;
  • Le traitement automatisé du numéro de carte bancaire doit faire l’objet d’une déclaration à la CNIL décrivant avec précision la finalité poursuivie, dans les conditions prévues à l’article 16 de la loi du 6 janvier 1978. Le manquement à cette obligation est constitutif d’une infraction pénale (article 226-17 du Code pénal) ;
  • La finalité première de l’utilisation d’un numéro de carte bancaire est la réalisation d’une transaction, qu’elle soit ponctuelle ou à exécutions successives, c’est à dire le complet paiement d’un prix en contrepartie de la délivrance d’un bien ou la prestation d’un service.

Sur la sécurité des traitements

La Commission observe que les pratiques liées à la collecte du numéro de carte bancaire entraînent la multiplication de bases de données pouvant faire l’objet d’une réutilisation frauduleuse, en particulier lorsque ces bases de données sont accessibles sur internet.

La Commission considère en conséquence que les responsables de traitements devraient prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l’intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés.

(…) elle recommande que :

  • les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l’état de l’art et à la réglementation applicable ;
  • les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients ;
  • s’agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s’assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l’écran des salariés habilités (…)
  • dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée ; (…)

  Sur la durée de conservation

  • la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles l’information est exigée. Cette durée doit faire l’objet d’une déclaration à la Commission. Le fait de conserver cette information au delà de la durée prévue dans la déclaration est constitutif d’une infraction pénale (article 226-20 du Code pénal) ;
  • toute conservation du numéro de carte bancaire d’un client suppose que des mises à jour régulières soient effectuées afin de supprimer les numéros de cartes bancaires périmés.

La Commission estime en conséquence que les responsables de traitements devraient promouvoir, pour le commerce électronique, l’utilisation de moyens de paiement électronique sécurisés alternatifs garantissant l’anonymat des paiements réalisés par leurs clients.

Allez, je résume :

  • On doit se déclarer à la CNIL,
  • On doit avoir une sécurité dans l’état de l’art,
  • On ne conserve pas le cryptogramme,
  • On empêche l’affichage du numéro complet aux salariés de l’entreprise,
  • On crypte de manière irréversible le numéro lorsqu’il a été utilisé,
  • On ne conserve pas les numéros quand l’achat est terminé ou quand la date d’expiration est passée,
  • On garantit l’anonymat des paiements.

Il faut quand même garder à l’esprit que c’est une recommandation avec des rappels à la loi. Ce n’est pas une loi…

Source de l’illustration

Histoire d’un billet et de ses conséquences facheuses

Il y a un peu plus de deux semaines j’ai publié un billet à propos d’une faille sur le site Entreparticuliers.com. Cette faille permettait de récupérer les numéros de carte bleue des clients de la société. J’ai trouvé le lien sur le cache d’un site sur Yahoo (le billet divulguant le lien a été rapidement mis hors ligne), le cache de Yahoo a gardé l’info pendant quelques jours.

Pour l’illustrer j’ai mis une copie d’écran en floutant les numéros.

Mon objectif était double :

  • Prévenir les clients pour qu’ils surveillent leur relevé de CB dans les prochains mois
  • Prévenir Entreparticuliers pour qu’ils corrigent la faille.

Ne voyant rien venir, au bout de quelques jours j’ai prévenu Anne-Sophie Stamane de QueChoisir qui devait rencontrer le PDG d’Entreparticuliers le lendemain, j’ai aussi prévenu Entreparticuliers via leur formulaire de contact et avec un mail direct au pdg (sans réponse).

J’ai vérifié chaque jour le site pour voir si la faille était toujours présente. Au bout de deux semaines un communiqué assez dur d’Entreparticuliers a été publié :

(Levallois, le 4 avril 2008) Entreparticuliers.com informe qu’une plainte contre X sera déposée le lundi 7 avril dans la matinée, auprès du Tribunal de Grande Instance de Nanterre (92). Cette plainte portera sur les qualifications de faux et usages de faux, atteinte volontaire aux données d’un système informatisé, complicité et association de malfaiteurs informatiques et tout autre qualification identifiée par le parquet.

Entreparticuliers.com a fait le choix de ne pas systématiquement répondre aux attaques qui lui sont opposées. Toutefois, le site www.entreparticuliers.com faisant l’objet, depuis quelques semaines, d’une attaque massive et semblant concertée, de plusieurs sites bloggeurs, la société a souhaité faire cesser ces agissements et apporter certaines précisions.

La campagne de dénigrement, relayée et entretenue actuellement sur le Web par des internautes malveillants, au travers de prétendues captures d’écran, se fonde sur la production de faux grossiers et sur la communication de fausses informations gravement mensongères. La diffusion de ces fausses informations, dans un objectif délibéré de déstabilisation commerciale de la société, laisse croire qu’Entreparticuliers.com dévoilerait les données bancaires de ses clients et serait défaillante quant à la capacité d’en assurer la protection et la confidentialité.

Entreparticuliers.com rappelle que les flux de données échangés sur son site Internet lors de transactions commerciales sont confidentiels et protégés, le système d’information du site www.entreparticuliers.com étant parfaitement sécurisé, conformément à la norme.

De plus amples informations sur l’avancée de la procédure seront communiquées ultérieurement.

Faux et usage de faux ? Association de malfaiteur ? Diffusion de fausses informations dans un objectif délibéré de déstabilisation commerciale ?

A priori rien de faux puisque j’avais la faille sous les yeux. Il n’y a pas d’association de malfaiteur mais une info qui passe de blog en blog comme souvent (le site d’origine puis Embruns puis ici puis ailleurs). Et je n’ai aucun intérêt a déstabiliser Entreparticuliers.

Le communiqué est tombé avant le week end, j’ai donc décidé de tout mettre hors ligne pour passer 2 jours tranquille et ne pas avoir à modérer des commentaires ou suivre l’évolution de la situation.

Dans le week end j’envoie quand même la faille a un site de confiance : Zataz.com pour qu’il essaye de prévenir Entreparticuliers, ce que personne n’a encore réussi a faire.

Lundi peu après midi je constate que la faille n’est plus active, je reçois un mail de Damien Bancal de Zataz qu’il a réussi a prévenir Entreparticulier. Un article est publié 01Net (avec copie d’écran) et sur Zataz :

Le site de petites annonces immobilière a tardé à corriger une faille de sécurité, laissant la possibilité aux pirates de consulter son fichier clients. Aucune fraude n’aurait été décelée.

Reste a savoir ce que va devenir la plainte…

Quand on regarde l’enchaînement des évènements je me rends compte que j’ai fait quelques erreurs.

Si j’avais voulu réellement attaquer Entreparticuliers j’aurais du garder l’info, saisir un juge pour pouvoir faire constater par un huissier. Et après… en fait je ne sais pas vraiment ce qu’il faut faire ensuite. De toute façon ce n’était pas mon intention.

Ce que j’aurais du faire, c’est ce qu’a fait Damien Bancal : prévenir Entreparticuliers, attendre qu’ils corrigent la faille puis publier un billet. Amis blogueurs, j’espère que ça servira de leçon. On ne me reprendra plus à publier un billet vite fait avant le week end pour faire mon Zorro à deux balles.

Comme je ne pense quand même pas porter tous les tords, je ne comprends pas pourquoi je n’ai jamais eu de réponse à mes messages ou mails ? Pourquoi, avant de déclarer que l’info était un faux, ils ne se sont pas renseignés ?

L’expérience aura été malheureuse pour tout le monde. Entreparticuliers n’a pas été épargné dans les commentaires que j’ai lu ici et sur d’autres sites. Les blogueurs, moi en tête, publient trop vite sans réfléchir. Sur ce coup j’ai risqué la correctionnelle au propre comme au figuré.

PS : Voir le billet chez Daniel Broche qui complète parfaitement ce qui est écrit ci dessus.

PS-bis : Voir le billet d’Embruns qui explique sa position et donne un aperçu de la jurisprudence.

PS-der : J’éradiquerais les trolls sans aucune pitié, on parle de cette affaire et non des pratiques commerciales d’Entreparticuliers.com

Source des l’illustrations (1) (2)

Entreparticuliers.com ne corrige pas ses failles de sécurité

Ca fait presque une semaine que j’ai accès à des numéros de CB sur le site entreparticuliers.com. Je n’ai eu aucun retour de leur part. Cet article étant le plus vu sur ce blog cet année, je doute qu’aucun salarié ou administrateur de ce site immobilier n’ait eu d’écho.

Une société pure player avec une capitalisation boursière de plus de 60 millions d’euros ne peut ignorer ce genre d’information pendant une semaine.

Des numéros de CB en clair sur Entreparticuliers.com

Un lien se propage sur le web mettant en ligne les numéros de CB des clients de Entreparticuliers.com. Le lien étant sur le web, on peut considérer que tout le monde peut y avoir accès très simplement. Je suis tombé dessus avec une requête de base sur un moteur de recherche.

Un accès aussi simple est inquiétant et ne va pas aider les e-commerçant à rassurer leurs clients.

Si Entreparticuliers.com corrige la faille il restera à purger le cache des moteurs de recherche, et ça c’est pas gagné.

Entreparticuliers va devoir passer en communication de crise. Un cas intéressant à suivre de près.

Vu aussi sur Embrun