Des numéros de CB en clair sur Entreparticuliers.com

Un lien se propage sur le web mettant en ligne les numéros de CB des clients de Entreparticuliers.com. Le lien étant sur le web, on peut considérer que tout le monde peut y avoir accès très simplement. Je suis tombé dessus avec une requête de base sur un moteur de recherche.

Un accès aussi simple est inquiétant et ne va pas aider les e-commerçant à rassurer leurs clients.

Si Entreparticuliers.com corrige la faille il restera à purger le cache des moteurs de recherche, et ça c’est pas gagné.

Entreparticuliers va devoir passer en communication de crise. Un cas intéressant à suivre de près.

Vu aussi sur Embrun

40 Replies to “Des numéros de CB en clair sur Entreparticuliers.com”

  1. A mon avis ce qui est con, c’est que vous consommateurs fassiez confiance à des sites comme eBay ou Paypal pour ne citer que ceux là en leur confiant vos numéros de carte bleue et RIB, lorsque vous serez prélevé à tord de 2000 euro ou plus (et oui ça existe j’en fait les frais), on inventera peut-être une solution plus fiable… en attendant ben faites comme moi attendez qu’on vous rembourse… longtemps….

  2. Tout le monde a l’air de découvrir ca 🙂
    Evidemment que les sites stockent les numéros de carte bancaires !!! Ce qui est faible c’est la sécurité d’acces qu’il y a derriere ca… Et ce site n’est malheureusement pas le seul ! 😉

  3. Ce n’est effectivement pas le seul site à conserver les numéros de CB. y’a qu’à voir la Fnac qui permet d’utiliser un ancien numéro déjà tapé meme plusieurs mois avant. Faut juste retaper le code de sécurité. Bon par contre là si c’est bien ouvert à vent et marée…. arghhh
    Pour les caches de moteurs, avec GG, ca sera vite viré. Mais pour les autres…

  4. ça craint cette affaire… Mais pourquoi les gars y gardent le no de carte??? ça sert à rien! c’est un coup à se prendre un procès au cul pour qu’dalle! Et puis faut se servir des interdictions robots.txt!!! Heureusement que j’ai rien acheté chez eux 😀

  5. Un peu d’explication.

    Pas tous les sites conservent le numéro de la carte bancaire.

    Lorsque vous saisissez un numéro de carte bancaire sur le site d’une banque, le site n’a pas accès au numéro de carte bancaire (quoi que la caisse d’épargne donne au commerçant 6 chiffres sur les 16)

    Il existe plusieurs techno pour re-débiter un numéro de carte bancaire (comme le propose AMAZON, FNAC etc..) sans conserver la totalité du numéro de la carte.

    Le site crypte le numéro de carte bancaire, il envoi la moitié du code crypté à une partie tierce (une banque par exemple). Pour retrouver le numéro, il faut que la partie tierce et le site en question re-communique. Ainsi, si le site est hacké, ou si le site de la partie tierce est hacké, vous n’avez que la moitié des informations.

    Pour ce qui est de entreparticuliers.com, si ce qui est écrit ci-dessus est véridique, il s’agit la d’une faute grave à mon avis. Cela nuit à tous les sites e-commerce sérieux.

    G.

  6. Effectivement tout le monde ne stocke pas les N° de CB il ne faut pas mettre tout le monde dans le même panier chez nous les transactions sont effectuées par la banque populaire via ATOS bien sûr qui garantie la sécurité, en aucun cas nous n’avons accès à ces données là, et je ne voudrais pas avoir à gérer cela…
    Alors là en tant que professionnel je suis abasourdi, si avec cela ils s’en sortent encore, je n’aurai vraiment plus aucune confiance en nos institutions. Que faire pour alerter l’opinion ?
    Ce qui se passe chez eux est vraiment très grave je trouves, ce n’est pas que je m’en prends à un concurrent, certains font du très bon boulot je le dis et je le répète, il s’agit de tirer la sonnette d’alarme quand des choses anormales se produisent.
    Je pense que je vais essayer de joindre RMC-info chez JJ Bourdin pour en parler.

  7. eBay pourtant demande le numéro de CB pour s’identifier et là il ne s’agit pas d’une banque. Paypal également demande le numéro CB qu’on lui fournit en clair et ce n’est pas une banque loin de là, ils sont même hors la loi si l’on en croit certains forums très nombreux sur le sujet. Comment expliquer que des gens laissent leurs numéro de carte à des entreprise aussi controversées (et inattaquables)?

  8. Paypal & Ebay controversés & inattaquables?

    Pourquoi?

    D’ailleurs, je n’ai vu nulle part que c’était illégal de garder un numéro de carte bancaire. De plus, pour rappel, lorsque vous allez au restaurant, vous payez par CB, le commerçant vous donne un ticket et en garde un. Sur la copie qu’il vous donne, le numéro de CB n’apparaît pas entièrement, mais sur le ticket commerçant, il y a tout écrit. Alors, un restaurant est-il dans l’illégalité s’il garde le ticket commerçant?

    Je présume que Ebay & Paypal mettent les moyens pour que l’on ne puisse pas récupérer le numéro de carte bancaire. Oui, aucune méthode n’est infaillible mais eux au moins mettent les moyens, ce qui n’est pas le cas de entreparticuliers.com (sous réserve que les informations données dans l’article soient véridiques).

    Ne mélangeons pas tout.

    Cordialement,

    G.

  9. @Guillaume ARNAUD, l’info est véridique, je vérifie chaque matin si la faille est toujours là. Et ce matin j’ai toujours accès aux numéro de CB des clients de entreparticuliers.com. J’espère qu’ils vont bientôt la corriger.

  10. Faites des captures d’ecran des pages avec les numeros de CB et adresssé les a UFC Quechoisir. ( superposer eventuellement une fenetre avec l horloge parlante pour certifier la date)

    http://www.quechoisir.org/AppelATemoignages.jsp?id=Ressources:AppelATemoignages:8834159D36B2450FC12573D20057DE5D&catcss=LOG101

    faites une réclamation au Groupement des Cartes Bancaires :
    Mme WOUAQUET
    Washington Plaza
    75408 Paris Cedex 8

    http://www.zuneo.fr/2008/01/entreparticulierscom-un-site-aux.html
    http://e-dream.fr/img/60million.gif

  11. @Arnaud Jeulin ,

    Publie le lien ou au moins la requete que tout le monde puisse constater les faits.

    les propriétaires ayant deposer une annonce sur ce site auront ainsi plus de poids.

    D’avance merci

  12. Grace à vous tous j’ai évité le pire………..
    mais quel acharnement de la part d’entre particuliers……….
    Vendredi je vais sur le site……. je tape l’annonce…. oups page suivante 95 euros
    j’arrête donc internet……
    Dans les 10 minutes appel d’entreparticuliers qui me dit qu’ils ont déjà plus de 30 acheteurs dans mon coin que c’est une oportunité exceptionnelle….. Je me fais avoir et leur donne mon numéro de cb (la reine des gourdes)
    10 minutes après j’ai une autre opératrice qui me dit que pour 95 euros je n’aurai rien et qu’il faut des photos et là….. 165 euros et MENSUELS !!!!!!!!!!!
    Un peu énervée je leur dit que j’annule tout.
    Je reçois un mail confirmant cela……….
    mais…… hier un autre mail me disant que mon annonc était parue !!!!!!!!
    et de deux………
    et aujourd’hui la facture par carte !!!!!!!!!
    en tout petit est écrit que j’ai un délai de 7 jours et d’envoyer une simple lettre….
    à une……….. boite postale !!!!!!! J’ai envoyé dès hier une lettre recommandée avec AR pour tout annuler à leur siège !!!!! je les ai en quelque sorte devancés….
    et aujourd’hui j’ai tout expliqué à ma banque preuves à l’appui !!!!!!!! ils font opposition dès maintenant sur ma cb
    et j’en aurai une autre dans une semaine……..
    Adieu entreparticuliers, ebay, paypal et autres ……..ouf !!!!!!!!!!!!!

    Ahhhhhhhhhh j’oublais de vous dire ……. tout le dossier est parti à Que choisir puisqu’ils cherchent des appels à témoignages.

  13. Bonjour Vic,

    Je suis content pour toi mais ta banque a fait une faute lourde.
    En effet, elle ne peut pas annuler un paiement par carte bancaire sauf s’il y a eu substitution du numéro de la carte, ce qui n’est pas ton cas car tu as sciemment donné ton numéro de carte bancaire à entreparticuliers.com

    Sache qu’entreparticulier.com peut attaquer ta banque (mais ce n’est plus ton problème).

    Ce que tu as fais s’appelle de la répudiation d’achat et ta banque n’a aucun droit de le faire.

    Cordialement,

    G.

  14. Guillaume ARNAUD:

    Non eBay et Paypal sont parfaitement hors la loi, car ils disposent des numéros de cartes en entier, il y a suffisamment d’exemples et de plaintes sur le net pour s’assurer de ce que je dis, il faut simplement tapez les bons mots sur Google et vous verrez que ce ne sont pas des affabulations.

  15. Mais que faut-il pour faire enfin cesser les agissements de ce…
    Ce n’est pas normal, que ceux qui ont le lien fasse des screenshots avec date et heure pour prouver et me les envoie je vais faire les démarches aupres de UFC que choisir.

  16. Que choisir est au courant. J’ai aussi prévenu entreparticuliers vu qu’ils n’ont pas l’air au courant.

  17. Mom,

    Merci de me citer l’article de loi qui stipule qu’il n’est pas autorisé de conserver le numéro de carte CB en entier. Je ne suis pas juriste, ni avocat (sauf peut-etre avocat du diable) mais je n’affirme pas comme ça que cela est interdit.

    Alors, si quelqun peut me sortir l’article de loi ou la mention où l’on stipule qu’il est hors la loi de garder ces numéros, je suis preneur.

    Cordialement,

    G.

  18. Guillaume ARNAUD a dit :

    “Sur la copie qu’il vous donne, le numéro de CB n’apparaît pas entièrement, mais sur le ticket commerçant, il y a tout écrit. Alors, un restaurant est-il dans l’illégalité s’il garde le ticket commerçant?”

    @ guillaume arnaud : Faux , ils sont tres loins de disposer de tous les numeros comme cest le cas , ici. ( les 16 chiffres + cryto + date d’expiration)
    Et l’autre difference majeure est que tu saisis ton code confidentiel dans le cas que tu cites . Tu es donc authentifié comme étant le titulaire de cette carte vu que tu disposes du code confidentiel.

    Chaque paiement executé de cette maniere ( à distance) peut etre evidemment contesté, la banque n’est pas du tout en faute , car la loi précise ceci (texte de loi également posté sur ralblog) :

    – L’article L 132-6 du code monétaire et financier prévoit que cette réclamation doit être faite dans un délai de 70 jours à compter de la date de l’opération contestée. Votre convention de compte peut prévoir un délai plus long, mais qui n’excèdera pas 120 jours.

    – La banque effectue les vérifications nécessaires, puis vous rembourse dans un délai maximum de 30 jours à compter de la réception de votre courrier.

    – Code de la vente à distance par carte bancaire : dans la vente à distance par carte bancaire la carte n’est pas présente au moment de la vente, la transaction ne peut s’effectuer avec le contrôle du code confidentiel de la carte : il n’y a donc pas d’authentification du titulaire de la carte. En l’absence de saisie du code confidentiel le titulaire de la carte a la possibilité de contester auprès de sa banque la transaction

  19. @guillaume ARNAUD

    La Commission Nationale Informatique et Liberté (Cnil) leur interdit de conserver le crytogramme visuel dans leur base de données.

    Fraude à la carte bancaire : la protection des consommateurs
    Depuis l’entrée en vigueur de la loi sur la sécurité quotidienne en novembre 2001, il est possible au porteur d’une carte de contester des opérations frauduleuses effectuées à distance. Il lui suffit de faire opposition par lettre recommandée avec avis de réception auprès de sa banque. Celle-ci est dans l’obligation de recréditer le compte du client dans un délai d’un mois à compter de la réception de la lettre. La banque doit aussi lui rembourser les frais d’opposition et de renouvellement de la carte. Il est possible de déposer une réclamation jusqu’à 70 jours à compter de la date de l’opération contestée.

  20. @toti,

    “@ guillaume arnaud : Faux , ils sont très loin de disposer de tous les numéros comme c’est le cas , ici. (les 16 chiffres + cryto + date d’expiration)”

    Bonjour Toti,

    Tu as raison (je peux te tutoyer?), uniquement les 16 chiffres + date expiration. Pas le crypto.
    Par contre, sur l’authentification, ça ne change rien. Imagine que le restaurant où tu as déjeuner et payé par carte bancaire se fasse cambrioler pendant la nuit (une espèce de hack en non-virtuel si je peux me permettre). Le voleur récupère toutes les facturettes et utilise les numéros de cartes volés sur des achats sur internet. Aucune différence avec Entreparticuliers.com (sauf pour le crypto, mais bon, suffit de faire 1000 essais et puis basta. Je ne pense pas que cela arrête un hacker).

    Concernant le L 132-6 (http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006072026&idArticle=LEGIARTI000006645638&dateTexte=20080326), il ne stipule pas les raisons de la reclamation mais les delais uniquement.

    Par contre, le L 132-2 (http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=B55E853344F3533D18E1C979725809A8.tpdjo16v_3?idArticle=LEGIARTI000006645634&cidTexte=LEGITEXT000006072026&dateTexte=20080326) indique : “L’ordre ou l’engagement de payer donné au moyen d’une carte de paiement est irrévocable.” Je confirme donc qu’une banque ne peut pas (ou devrais-je dire ne devrait pas pouvoir) répudier un achat si le numéro de la carte bancaire a été donné sciemment. (Ce qui est le cas de “vic”).

    Citation : “En l’absence de saisie du code confidentiel le titulaire de la carte a la possibilité de contester auprès de sa banque la transaction”
    Oui, il doit indiquer qu’il n’a pas donné le numéro de la carte de crédit (sur un document écrit qu’il donne à sa banque), ce qui n’est pas le cas de “Vic”. A moins que “Vic” ait mentie à son banquier (mais ce n’est pas ce qu’il a dit puisqu’il a raconté toutes l’histoire à son banquier), le banquier n’aurait pas du le rembourser.

    Enfin, pour tout ce que vous avez dit sur la conservation du cryptogramme et du numéro de carte bancaire, la CNIL (qui ne fait pas force de loi par ailleurs) ne recommande pas la conservation mais ne l’interdit pas non plus. Lire l’excellent article sur JDN : http://www.journaldunet.com/0307/030715cnilcb.shtml

    Donc voilà, je me fait l’avocat du diable mais je condamne quand même les pratiques de beaucoup de sites e-commerce mais je m’emporte aussi contre des commentaires sans fondements du style, “Ebay et Paypal ne sont pas des sites légaux” ou que “la conservation du numéro de carte de crédit est illégale” alors que je vous prouve le contraire.

    Merci de bien vous informez avant de poster, pour peu, on pourrait vous poursuivre en diffamation (n’est-ce pas “Mom”? 🙂

    Cordialement,

    G.

  21. Peux tu poster et/ou présenter d’autres captures d ‘ecran en masquant les numeros pour que tout le monde puisse constater cette aberration supplémentaire de la part de se site qui fait honte à la profession et à l’internet ?

  22. guillaume ARNAUD a ercit : “Je suis content pour toi mais ta banque a fait une faute lourde.
    En effet, elle ne peut pas annuler un paiement par carte bancaire sauf s’il y a eu substitution du numéro de la carte, ce qui n’est pas ton cas car tu as sciemment donné ton numéro de carte bancaire à entreparticuliers.com

    Sache qu’entreparticulier.com peut attaquer ta banque (mais ce n’est plus ton problème). ”

    C’est evidemment tout FAUX, car donner son numero de CB dans le cas évoqué est le principe même de la vente a distance.
    Néanmoins n’ayant saisit aucun code confidentiel, l’authentification du titulaire ne peut se faire, et donc la loi pour la protection des consommateurs intervient comme l’a précisé toti dans ces message.
    (sans saisie du code confidentiel, tous les paiement sont contestables)

    La banque est obligée de recrediter le compte a reception d’un courrier recommandé dont un exemple de modèle est d’ailleurs posté sur http://www.ralblog.com/entreparticuliers-com/

    Et puis entreparticuliers n’a effectivement pas le droit de conserver l’ensemble des numeros de cartes bancaires dont le cryptogramme ( cf cnil et groupement des cartes bancaires), pour des raisons simples :
    _ Prélèvements abusifs et
    _ Risque important de piratage.

  23. @anthony,

    Je ne suis pas 100% d’accord avec toi.
    “Néanmoins n’ayant saisit aucun code confidentiel, l’authentification du titulaire ne peut se faire, et donc la loi pour la protection des consommateurs intervient comme l’a précisé toti dans ces message.”

    Effectivement, tous les paiements sont répudiables sans saisie du code confidentiel mais à l’unique condition que tu dises à ta banque que tu n’as pas sciemment donné ton numéro de carte bancaire.
    Il faut donc MENTIR à sa banque en disant que le numéro de carte bancaire n’a pas été sciemment donné.

    Dans les faits, tout le monde souhaite mentir à sa banque (avec ou sans la complicité du banquier) car on a le sentiment de se trouver arnaquer par le commerçant (raison de la répudiation). C’est au commerçant de prouver que le numéro de la carte bancaire a bien été sciemment et en personne donné par son titulaire.
    Dans les faits, seul la saisie du code confidentiel peut prouver que le titulaire de la carte bancaire est bien la personne qui a effectué l’achat (impossible par VAD)

    Bref, pour faire l’histoire simple, dans la théorie, anthony à tord car ce n’est pas légal de mentir :-), mais anthony a raison dans les faits car tout le monde peut mentir et personne peut prouver que vous mentez.

    J’espère avoir ton accord sur ce résumé cher anthony 🙂

    Cordialement,

    G.

  24. Les coordonnées bancaires sont communiquées une seule fois (pour un mois). entreparticuliers n’a donc aucun droit de prélever à gogo comme il le fait sans l’accord des titulaires ( pour des durée allant jusqua 6 mois ou plus).

    Ils n’ont d’ailleurs pas le droit comme je l ai mis de conserver le cryptogramme afin de se servir sur les comptes : prélèvements abusifs strictement interdits , et conservations de ces données interdites pour des risques élevés de piratages informatiques.

    C’est une loi qui de toute facon permet au consommateur d’etre tout simplement protégé, ce qui est légitime.
    Apres tu en fais l’interprétation que tu veux.

    c’est selon moi une tres bonne loi que je approuve. Le site aurait sans doute le loisir de contester la parole des propriétaires ayant déposer une annonce, ce qu il ne se risquerait sans doute pas, vu le nombre de plaintes à son encontre et les pratiques utilisées par ce dernier.

    Enfin , Une enquete est en train d’etre lancée chez UFC QUECHOISIR qui prend sous son aile toutes les plaintes des personnes abusées. De meme des copies ecrans ont été réalisées a propos de ces coordonnées bancaires stockées et visibles.

    Le groupement des cartes bancaires en est évidemment alerté.

    UFC QUECHOISIR lance d’ailleurs un appel à témoin sur son site
    http://www.quechoisir.org/AppelATemoignages.jsp?id=Ressources:AppelATemoignages:8834159D36B2450FC12573D20057DE5D&catcss=LOG101

    je me permet de rappeler l’article de 60 millions de consommateur qui en dit long :
    (j ai pu le lire sur ralblog depuis ce lien) j’invite la encore tout le monde a le parcourir. il est tres instructif.
    http://e-dream.fr/img/60million.gif

    j’en appelle enfin tous les professionels de immobilier à nous faire part de leur commentaire aux vues de tous ces éléments et de toutes ces plaintes qui abondent sur net ( cf les quantités de blogs et forums qui relayent le sujet).

  25. à guillaume arnaud d’entreparticuliers :

    De plus ils peuvent pleinement utilisé cette loi etant que les termes des contrats ne sont apparemment pas respectés et que le plus souvent il n’y a meme pas de contrat signé.

    je demande a marc si possible de reposer le modele de son courrier à adresser, s il lit ce foum

  26. Dauran, puis-je recevoir le lien en question pour le faire constater par huissier, cette procédure est indispensable pour pouvoir faire constater la véracité, et qu’il ne s’agit pas d’un montage, connaissant les oiseaux il vaut lieux le faire comme ça.
    Merci.

  27. Bonjour,

    Je me suis inscrite sur le site d’annonces immobilières (entreparticuliers.com) et lorsqu’un conseiller m’a appelé, il m’a informé au cours de la conversation de mon “mot de passe”. Je fus surprise que mon mot de passe soit connu.

    Est-ce normal qu’un site puisse connaître notre mot de passe ? Cela veut dire qu’il peut lire tous mes messages privés et modifier comme il l’entend mon annonce voire pourquoi pas, écrire à d’éventuels acheteurs qui me contacteraient. Je ne vois pas où est la confidentialité des données personnelles qui pourraient être transmises via les MP …

    Je suis webmaster de 4 Forums et je ne connais aucun mot de passe de mes membres. S’ils le perdent c’est le système qui en attribue un autre.

    Merci de vos réponses.

Leave a Reply

Your email address will not be published. Required fields are marked *