Histoire d’un billet et de ses conséquences facheuses

Il y a un peu plus de deux semaines j’ai publié un billet à propos d’une faille sur le site Entreparticuliers.com. Cette faille permettait de récupérer les numéros de carte bleue des clients de la société. J’ai trouvé le lien sur le cache d’un site sur Yahoo (le billet divulguant le lien a été rapidement mis hors ligne), le cache de Yahoo a gardé l’info pendant quelques jours.

Pour l’illustrer j’ai mis une copie d’écran en floutant les numéros.

Mon objectif était double :

  • Prévenir les clients pour qu’ils surveillent leur relevé de CB dans les prochains mois
  • Prévenir Entreparticuliers pour qu’ils corrigent la faille.

Ne voyant rien venir, au bout de quelques jours j’ai prévenu Anne-Sophie Stamane de QueChoisir qui devait rencontrer le PDG d’Entreparticuliers le lendemain, j’ai aussi prévenu Entreparticuliers via leur formulaire de contact et avec un mail direct au pdg (sans réponse).

J’ai vérifié chaque jour le site pour voir si la faille était toujours présente. Au bout de deux semaines un communiqué assez dur d’Entreparticuliers a été publié :

(Levallois, le 4 avril 2008) Entreparticuliers.com informe qu’une plainte contre X sera déposée le lundi 7 avril dans la matinée, auprès du Tribunal de Grande Instance de Nanterre (92). Cette plainte portera sur les qualifications de faux et usages de faux, atteinte volontaire aux données d’un système informatisé, complicité et association de malfaiteurs informatiques et tout autre qualification identifiée par le parquet.

Entreparticuliers.com a fait le choix de ne pas systématiquement répondre aux attaques qui lui sont opposées. Toutefois, le site www.entreparticuliers.com faisant l’objet, depuis quelques semaines, d’une attaque massive et semblant concertée, de plusieurs sites bloggeurs, la société a souhaité faire cesser ces agissements et apporter certaines précisions.

La campagne de dénigrement, relayée et entretenue actuellement sur le Web par des internautes malveillants, au travers de prétendues captures d’écran, se fonde sur la production de faux grossiers et sur la communication de fausses informations gravement mensongères. La diffusion de ces fausses informations, dans un objectif délibéré de déstabilisation commerciale de la société, laisse croire qu’Entreparticuliers.com dévoilerait les données bancaires de ses clients et serait défaillante quant à la capacité d’en assurer la protection et la confidentialité.

Entreparticuliers.com rappelle que les flux de données échangés sur son site Internet lors de transactions commerciales sont confidentiels et protégés, le système d’information du site www.entreparticuliers.com étant parfaitement sécurisé, conformément à la norme.

De plus amples informations sur l’avancée de la procédure seront communiquées ultérieurement.

Faux et usage de faux ? Association de malfaiteur ? Diffusion de fausses informations dans un objectif délibéré de déstabilisation commerciale ?

A priori rien de faux puisque j’avais la faille sous les yeux. Il n’y a pas d’association de malfaiteur mais une info qui passe de blog en blog comme souvent (le site d’origine puis Embruns puis ici puis ailleurs). Et je n’ai aucun intérêt a déstabiliser Entreparticuliers.

Le communiqué est tombé avant le week end, j’ai donc décidé de tout mettre hors ligne pour passer 2 jours tranquille et ne pas avoir à modérer des commentaires ou suivre l’évolution de la situation.

Dans le week end j’envoie quand même la faille a un site de confiance : Zataz.com pour qu’il essaye de prévenir Entreparticuliers, ce que personne n’a encore réussi a faire.

Lundi peu après midi je constate que la faille n’est plus active, je reçois un mail de Damien Bancal de Zataz qu’il a réussi a prévenir Entreparticulier. Un article est publié 01Net (avec copie d’écran) et sur Zataz :

Le site de petites annonces immobilière a tardé à corriger une faille de sécurité, laissant la possibilité aux pirates de consulter son fichier clients. Aucune fraude n’aurait été décelée.

Reste a savoir ce que va devenir la plainte…

Quand on regarde l’enchaînement des évènements je me rends compte que j’ai fait quelques erreurs.

Si j’avais voulu réellement attaquer Entreparticuliers j’aurais du garder l’info, saisir un juge pour pouvoir faire constater par un huissier. Et après… en fait je ne sais pas vraiment ce qu’il faut faire ensuite. De toute façon ce n’était pas mon intention.

Ce que j’aurais du faire, c’est ce qu’a fait Damien Bancal : prévenir Entreparticuliers, attendre qu’ils corrigent la faille puis publier un billet. Amis blogueurs, j’espère que ça servira de leçon. On ne me reprendra plus à publier un billet vite fait avant le week end pour faire mon Zorro à deux balles.

Comme je ne pense quand même pas porter tous les tords, je ne comprends pas pourquoi je n’ai jamais eu de réponse à mes messages ou mails ? Pourquoi, avant de déclarer que l’info était un faux, ils ne se sont pas renseignés ?

L’expérience aura été malheureuse pour tout le monde. Entreparticuliers n’a pas été épargné dans les commentaires que j’ai lu ici et sur d’autres sites. Les blogueurs, moi en tête, publient trop vite sans réfléchir. Sur ce coup j’ai risqué la correctionnelle au propre comme au figuré.

PS : Voir le billet chez Daniel Broche qui complète parfaitement ce qui est écrit ci dessus.

PS-bis : Voir le billet d’Embruns qui explique sa position et donne un aperçu de la jurisprudence.

PS-der : J’éradiquerais les trolls sans aucune pitié, on parle de cette affaire et non des pratiques commerciales d’Entreparticuliers.com

Source des l’illustrations (1) (2)

28 Replies to “Histoire d’un billet et de ses conséquences facheuses”

  1. Suis je un troll si je dis que je suis sidéré par tant de mauvaise fois dans leur communiqué de presse ?
    J’ai moi même eu accès à une page me permettant de modifier une petite annonce.

    Je me souviens moi aussi de l’affaire Kitetoa vs Tati, et cette fois encore au lieu de reconnaitre ses erreurs et d’en ressortir grandie, une société va s’enfoncer dans le mensonge en prenant les particuliers pour des abrutis.
    Ils feraient mieux de porter plainte contre la société qui leur a fourgué un site passoire…
    C’est pitoyable de parler de “campagne de dénigrement” et de “faux grossiers” !

    Mais peut être que certains clients dont les informations bancaires ont été mis à disposition vont se retrouver avec des comptes vidés, comment la société va elle réagir dans ce cas ? En accusant les bloggeurs d’avoir distribuer les numéros CB surement…

    Bon courage pour la suite.

  2. S’il est avéré que les premiers a avoir trouvé la faille ont publié des captures écran et réclamé de l’argent pour avoir la méthode d’accès, je trouve la réaction du PDG pas si étonnante.
    S’il y a bien eut chantage c’est clairement malhonnête

    je ne parle pas là d’Arnaud qui a été très transparent dans sa démarche mais d’autres blogs beaucoup plus virulents

  3. Merci Manu et Pecky, on verra bien s’il y a une suite

    henri, entreparticuliers a subit pas mal d’attaque depuis les blogs. Ils ont certainement vu rouge, ce que je peux comprendre. Ils auraient pu au moins répondre a mes messages.

  4. Bonjour,

    Effectivement, en tant que professionnel de la sécurité des systèmes d’information, je vous confirme qu’il n’y a pas une once de sécurité sur le site cité ci-dessus.

    De plus, la réaction du dirigeant de cette société démontre une fois de plus le manque chronique de sensibilisation et de compréhension des dirigeants vis à vis de ce type de problématique.

    Cdt,

  5. @Daniel, pas mieux…

    @foobar, la communication de crise n’est pas évidente à mener. Surtout quand on subit de nombreuses attaques. Pour ce qui est de la sécurité c’est vrai qu’il a eu pas mal de failles rendues publiques ces derniers temps.

  6. L’impression que me laisse le site en question c’est le haut degré d’amateurisme, comme il ça a pu exister dans les années 90 où bon nombre de sociétés ayant pignon sur rue (ou sur kiosque) se sont jeté sur le net en pensant avoir trouvé la poule aux oeufs d’or.
    On monte rapidement un site avec une pseudo vitrine, une page client et hop! on envoie le chaland!
    Si aujourd’hui il est rare de trouver des bases access en libre accès sur des sites marchands, j’ai la vague impression qu’il existe (hélas) encore des sites marchands n’ayant aucune politique de sécurisation de leur portail web.
    Il est vrai que le site en question est quelque peu nébuleux dans ses informations légales: aucune allusion à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, rien sur une quelconque déclaration de fichier à la cnil…

  7. Arnaud > C’était ironique pour l’amende, c’était juste pour dire que c’est très en vogue les bloggueurs dans les tribunaux, pourvu que ça ne dure pas !

  8. Oui pourvu que ça ne dure pas. D’un autre côté ça a le bon côté de montrer certaines limites que l’on peut franchir si on reste prudent. Finalement le blogueur se rapproche de plus en plus du journaliste.

  9. Reprenons. Si cette information avait filtré dans un magazine du type Capital ou autre. Il y aurait eu dépôt de plainte ? Sans doute. Dépôt de plainte juste formel, en sachant très bien qu’il allait perdre. Mais je doute qu’un journaliste ait obligation de prévenir avant. Il fait son reportage et c’est tout. Le seul truc c’est que là ils ont corrigé la faille. Donc si ca passe devant un juge, ca va être difficile de prouver qu’il y avait bien une faille. Ce sera parole contre parole… et si le juge aime pas trop les bloggueurs…

  10. Rajout : vous remarquerez d’ailleurs que la plainte n’a été déposée qu’après la correction de la faille (si faille il y avait … rhooo meme pas je me protège lol) me semble t-il.

  11. Sébastien, il y a pas mal de monde qui a vu la faille dont des journalistes. En plus d’après 01Net le pdg d’entreparticuliers a reconnu avoir une faille dans son site

  12. Bonjour,

    Pour compléter votre énumération des recommandations de la CNIL concernant le traitement des données bancaires, j’ajouterais que les commerçants traitant des données bancaires doivent se conformer au PCI Data Security Standard (PCI DSS) [1].

    La conformité des commerçant à ces exigences arrive doucement (la France souffre d’un grand retard) mais sûrement sous pression des Banques.

    Le PCI-DSS impose (entre autres) :

    3.2.2 Do not store the card-validation code or value (three-digit or four-digit number printed on the front or back of a payment card) used to verify card-not-present transactions

    3.3 Mask PAN when displayed (the first six and last four digits are the maximum number of digits to be displayed).

    3.4 Render PAN, at minimum, unreadable anywhere it is stored (et on peut largement supposer que ce n’est pas le cas)

    Cdt,

    [1] https://www.pcisecuritystandards.org/tech/index.htm

  13. L’enquête de Que Choisir faire avant la publication de l’article du mois d’avril reconnait aussi l’absence de sécurisation du site.

  14. hum, hum…

    Les entreprises françaises et la gestion de crise…

    Encore un bel exemple de non préparation. Toute entreprise proposant des services en ligne doit prévoir un package de gestion de crise minimum. Soit pour répondre à des problèmes externes (phishing, hacking, virus…), soit pour répondre à des défaillances internes (failles comme ici, défaut de service, problèmes de connexion ou d’accès)… En France, c’est très rarement le cas.

    Et comme souvent dans les entreprises françaises, on recherche plus un responsable qu’une solution. Dans le cas d’espèce, l’entreprise aurait du prendre contact avec le blogueur, identifier conjointement l’erreur, la corriger, et utiliser le même canal pour communiquer sur la réussite de l’entreprise.

    Je vois déjà les billets: “un acteur majeur du net (;-)), fait preuve d’une grande réactivité pour corriger une faille mineure avec l’aide du blogueur l’ayant constatée: le web collaboratif, c’est aussi ça!” Le buzz aurait phénoménal, et probablement le futur cas d’école de la gestion de crise de ce type.

    Mais il est plus facile de chercher un responsable. Pour rassurer sa hiérarchie, et ses actionnaires. Surtout si le responsable à figure de fléau incontournable et sournois. Quoi de pire qu’une horde de hackers sur-entrainés, probablement payés par un concurrent peu scrupuleux? Le risque imparable. Plutôt que l’erreur de code d’un développeur en régie ou un stagiaire, qui n’est même plus là, dont la présence était justifiée par l’économie d’un salarié performant et fidèle. D’ou le communiqué, typiquement rédigé par un avocat, sûrement pas au fait de ce que peut-être un buzz négatif. Pourquoi Eolas n’est pas toujours disponible pour ce genre d’entreprises?

    La leçon a retenir:
    – si vous constatez une faille, n’en parlez pas
    – pour qu’elle soit découverte et corrigée, diffusez discrètement l’information a ceux qui pourront l’exploiter
    – une fois que l’entreprise s’en apercevra, elle réagira.

    Et si elle ne réagit pas? Et bien une telle entreprise, qui manifestement ne serait pas compétente sur son périmètre n’a pas droit d’exister. Principe Darwinien de base. Je m’adapte, ou je meurs.

    ::

    Si c’est trop troll, merci de me le préciser par mail. Je le publierais sur mon blog et ferait un trackback.

    ::

  15. Moi, ce que je constate, c’est que “la recherche indépendante” n’a plus de place en France. Dès qu’il est question de faille et que l’on nomme implicitement une société, systématiquement vous vous retrouvez en justice. Des exemples:

    – Guillermito VS Tegam
    – Jérôme Crétaux VS Carte Vitale
    – Serge Humpich VS Visa

    Il est clair qu’ à l’avenir, gardez l’anonymat.

    Cordialement

  16. De quelle situation “de crise” parle t’ont ?
    Un billet datant du mois d’AVRIL 2007 mentionnait déjà tous ces soucis chez entreparticuliers. Post qui a du être supprimé ( lire => http://www.ralblog.com/post-censure-dans-8-jours/ )

    Bref 1 an pour corriger les soucis et toujours rien, ça fait donc bien 1 an que les gens sur le site on de quoi se faire voler leurs informations assez facilement. Et rien n’est fait …

  17. je connais quelqu’un qui bosse chez pap. Il m’a raconté qu’un jour zataz a signalé sur son blog une faille qui permettait si on s’y collait d’accéder aux annonces de pap.fr . Le jour m c’était corrigé et la boite a envoyé un mail “on s’est planté, mea culpa, merci de nous l’avoir signalé ” . Le blogueur s’est pas retrouvé en galère, c’est donc une question de mentalité.

    Là, les pbrs de sécurité étaient visiblement signalés sur ralblog.com et le patron d’entreparticuliers ayant fait censurer ce blog, on suppose donc qu’il l’avait lu, ils ont été signalés dans l’enquête de Que choisir, on va supposer qu’il a dû la lire, pourquoi alors nier la faille, la corriger puis agir en justice?

Leave a Reply

Your email address will not be published. Required fields are marked *