Entreparticuliers.com ne corrige pas ses failles de sécurité

Ca fait presque une semaine que j’ai accès à des numéros de CB sur le site entreparticuliers.com. Je n’ai eu aucun retour de leur part. Cet article étant le plus vu sur ce blog cet année, je doute qu’aucun salarié ou administrateur de ce site immobilier n’ait eu d’écho.

Une société pure player avec une capitalisation boursière de plus de 60 millions d’euros ne peut ignorer ce genre d’information pendant une semaine.

14 Replies to “Entreparticuliers.com ne corrige pas ses failles de sécurité”

  1. c’est l’hallu ce truc là… n’ont ils pas l’obligation d’utiliser un serveur sécurisé ?
    je comprends pas comment on peut encore stocker des numéros de CB sur son propre serveur

  2. J’ai envoyé un mail au pdg, on verra s’il répond.
    Dire qu’il n’y a pas si longtemps j’ai failli passer une annonce sur ce site…

  3. Il n’y a rien d’insultant de diffamant, pas d’intention de nuire et je ne donne aucun lien. Je publie une copie d’écran de ce que j’ai vu en suivant un lien sur un site.
    En plus j’ai prévenu avec un mail et leur formulaire de contact.

  4. @ arnaud Jeulin Publie le lien du site ou tu l as trouvé , ca va peut etre les faire bouger

    en plus si toi t as vu ce lien , d’autres ont pu le voir aussi, ou peuvent y avoir acces, etc……

    il y a deja peut etre eu des problemes avec certaines cartes bleues.

    t as contacté le groupent des cartes bancaires?

    DGCCRF
    167-177 avenue Joliot-Curie
    92013 NANTERRE Cedex

    UFC que choisir
    Anne-Sophie Stamane
    233 boulevard voltaire
    75011 paris

    Groupement cartes bancaires
    Madame WOUAQUET
    Washington Plaza
    75408 Paris cedex 08

    AMF (Autorité des marchés financiers)
    17 place de la bourse
    75082 Paris cedex 02

  5. Que choisir est au courant.
    La page qui donnait le lien n’existe plus, de toute façon je ne souhaite pas que ce soit trop diffusé. Il faut se mettre à la place de ceux qui ont leur numéro en clair sur entreparticuliers.com.

  6. Y’a un peu plus de deux mois, une faille permettait de modifier toutes les annonces et a été modifié en quelques jours. Je mets pas le lien on sait jamais 🙂

  7. @Seb: en faisant un petit tour sur le site en question il y a 5 minutes, je viens de trouver un moyen de modifier les annonces en 2 clics, d’avoir les coordonnées du vendeur, email, facture, etc (mais pas la cb) …

    Une vrai passoire ce site!

    Vu comment le site est fait je pense que c’est un vrai gros chantier pour remettre les données en sécurité et que cela ne se fera pas en un jour ou même une semaine. On comprend bien qu’ils ne communiquent pas trop la dessus en attendant la correction.

    C’est peut être même parce qu’ils sont cotés en bourse qu’ils ne peuvent pas faire ce qu’il faudrait : couper le site , s’excuser, corriger et remettre en ligne. On imagine la tronche du cours de l’action.

    Au menu des erreurs à ne pas commettre :
    – Passer des variables en post en pensant les rendre invisibles
    – Authentification en javascript!
    – Clic droit désactivé sur les pages publiques pour qu’on ne puisse pas lire la source des pages (mdr)
    – Même pas de mot de passe pour modifier les annonces! On demande seulement le nom.

    Bref, pas une once de sécurité la dedans, la moindre appli web open source est 1000 fois plus sécure.

    PS1: Ils recrutent un developpeur : http://www.entreparticuliers.com/partenariats/devWeb.asp

    Je rajouterais bien ‘rudiments de sécurité Web’ dans le profil

    PS2: Un petit barbec ce week-end?

    PS3: Je vend un base de données email de + de 20 000 vendeurs de bien immobilier, faire offre à dauran qui fera suivre – Non je déconne

  8. @ Arnaud Jeulin,

    peut tu stp ajouter d’autres impr ecran en flouttant, puisque nous on peut pas voir tout et seulement un apercu.

    tu peux pas floutter legerement l’url en laissant apparaitre le debut avec le nom du site , comme tu as fait pour les numeros ?

  9. @arnaud jeulin,

    pour les impr ecran , je trouve que ca vaut le coup d’oeil, tu peux en montrer d’autres. ok pour l’url, Mais peux tu montrer en copie ecran le debut de l’adresse et masquer le blablabla stp .

  10. le dossier s’alourdit:

    http://www.journaldunet.com/ebusiness/internet/interview/080401-seloger-plainte-entreparticuliers-yakaz-gloobot.shtml

    Extrait:

    Pour être honnête, nous sommes en procès avec Enterparticuliers.com. Nous les avons assigné pour nous avoir volé notre base de données de petites annonces d’immobilier neuf. Ce pillage s’est produit en 2006 et nous avons décidé de porter plainte fin 2007. Nous leur réclamons 628.000 euros de dommages et intérêts. J’ai un certain nombre de réserves sur leurs pratiques commerciales…

Leave a Reply

Your email address will not be published. Required fields are marked *