Webrankinfo et Google, l’amour vache

Webrankinfo dangereux pour les ordinateurs. Ce n’est pas moi qui le dit mais Google. Je savais que c’était risqué de s’inscrire sur l’annuaire de Webrankinfo, principalement à cause du risque de se faire passer devant par l’annuaire, mais je ne savais pas que ça pouvait me casser mon PC.

Quand on clique sur le lien on tombe sur l’écran suivant :

D’après Google, Webrankinfo (au moins les pages annuaire) est identifié comme un site susceptible d’installer des logiciels malveillants. On peut quand même y accéder mais à nos risques et périls.

Je doute qu’Olivier Duffez ait mis son site au service du côté obscur. Je pencherais donc pour une erreur de Google (mais Google ne peut pas se tromper, c’est pas possible) ou un nouveau piratage de Webrankinfo.

Que dois je faire des numéros de Carte Bleue ?

carte de crédit

Que faire des numéros de carte bleue ? C’est la question que doit se poser tout e-commerçant.

Daniel a déjà publié un long billet sur ce sujet. La solution la plus simple reste de déporter ce problème sur le site d’un prestataire de paiement. Par contre si on choisit de traiter soi même ces numéros il faut s’assurer de la sécurité au travers d’audits réguliers obligatoires.

Mes derniers déboires m’ont mis le nez sur des problèmes que je ne soupçonnais même pas.

L’article de 01Net affirme

Une attitude un peu légère quand on sait que les responsables de la société risquent une peine de 5 ans d’emprisonnement et 300 000 euros d’amende pour ne pas avoir pris toutes les précautions afin de protéger les données de leurs clients. C’est le tarif prévu par l’article 34 de la Loi informatique et libertés.

Vu que le texte de loi est illisible (pour moi en tout cas), je ferais confiance à 01NET

Je suis aussi tombé sur un texte de la CNIL : Délibération n° 03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance

La présente recommandation a pour objet, (…), de préciser les garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents au numéro de carte bancaire.

  • La collecte et la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) dans le respect de finalités déterminées et légitimes ;
  • Le traitement automatisé du numéro de carte bancaire doit faire l’objet d’une déclaration à la CNIL décrivant avec précision la finalité poursuivie, dans les conditions prévues à l’article 16 de la loi du 6 janvier 1978. Le manquement à cette obligation est constitutif d’une infraction pénale (article 226-17 du Code pénal) ;
  • La finalité première de l’utilisation d’un numéro de carte bancaire est la réalisation d’une transaction, qu’elle soit ponctuelle ou à exécutions successives, c’est à dire le complet paiement d’un prix en contrepartie de la délivrance d’un bien ou la prestation d’un service.

Sur la sécurité des traitements

La Commission observe que les pratiques liées à la collecte du numéro de carte bancaire entraînent la multiplication de bases de données pouvant faire l’objet d’une réutilisation frauduleuse, en particulier lorsque ces bases de données sont accessibles sur internet.

La Commission considère en conséquence que les responsables de traitements devraient prendre les mesures organisationnelles et techniques appropriées afin de préserver la sécurité, l’intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation, détournement, communication ou modification non autorisés.

(…) elle recommande que :

  • les responsables de traitements utilisent uniquement des systèmes de paiement en ligne sécurisés conformes à l’état de l’art et à la réglementation applicable ;
  • les responsables de traitements ne mémorisent pas les informations relatives au cryptogramme visuel (CVV2) de la carte bancaire de leurs clients ;
  • s’agissant des mesures organisationnelles propres aux responsables de traitement, ces derniers adoptent une politique de gestion stricte des habilitations de leur personnel ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée. Les responsables devraient s’assurer que les numéros de cartes bancaires apparaissent toujours de façon tronquée sur l’écran des salariés habilités (…)
  • dès lors que le numéro de carte bancaire est enregistré dans une base de donnée, les commerçants aient recours à des procédés techniques permettant de crypter de manière irréversible le numéro de la carte bancaire dès que la transaction a été réalisée ; (…)

  Sur la durée de conservation

  • la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doit s’effectuer (…) pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles l’information est exigée. Cette durée doit faire l’objet d’une déclaration à la Commission. Le fait de conserver cette information au delà de la durée prévue dans la déclaration est constitutif d’une infraction pénale (article 226-20 du Code pénal) ;
  • toute conservation du numéro de carte bancaire d’un client suppose que des mises à jour régulières soient effectuées afin de supprimer les numéros de cartes bancaires périmés.

La Commission estime en conséquence que les responsables de traitements devraient promouvoir, pour le commerce électronique, l’utilisation de moyens de paiement électronique sécurisés alternatifs garantissant l’anonymat des paiements réalisés par leurs clients.

Allez, je résume :

  • On doit se déclarer à la CNIL,
  • On doit avoir une sécurité dans l’état de l’art,
  • On ne conserve pas le cryptogramme,
  • On empêche l’affichage du numéro complet aux salariés de l’entreprise,
  • On crypte de manière irréversible le numéro lorsqu’il a été utilisé,
  • On ne conserve pas les numéros quand l’achat est terminé ou quand la date d’expiration est passée,
  • On garantit l’anonymat des paiements.

Il faut quand même garder à l’esprit que c’est une recommandation avec des rappels à la loi. Ce n’est pas une loi…

Source de l’illustration

Des numéros de CB en clair sur Entreparticuliers.com

Un lien se propage sur le web mettant en ligne les numéros de CB des clients de Entreparticuliers.com. Le lien étant sur le web, on peut considérer que tout le monde peut y avoir accès très simplement. Je suis tombé dessus avec une requête de base sur un moteur de recherche.

Un accès aussi simple est inquiétant et ne va pas aider les e-commerçant à rassurer leurs clients.

Si Entreparticuliers.com corrige la faille il restera à purger le cache des moteurs de recherche, et ça c’est pas gagné.

Entreparticuliers va devoir passer en communication de crise. Un cas intéressant à suivre de près.

Vu aussi sur Embrun