Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

[accueil]  [menu]  [marions-nous !]  [chercher]


2002-10-28 04:58

Cdiscount refuse de sécuriser son serveur


Sur le site marchand Cdiscount.com, lorsqu'un panier est rempli et que l'on passe à la caisse, deux choix s'offrent à l'utilisateur. Soit il entre ses coordonnées, soit il les récupère pour peu qu'il ait déjà passé au moins une commande à la société. Le problème est le suivant : au lieu de proposer un système de compte classique avec login et password, il suffit d'entrer le mail du client ainsi que son code postal de facturation. Si la personne habite Paris, retrouver son code postal est un jeu d'enfant ! Il suffit alors d'essayer les différents codes postaux des arrondissements de la capitale. Aucun blocage n'intervient même après plusieurs erreurs d'identification ! Pour les provinciaux, on peut utiliser d'autres indices comme l'entête des mails (un traceroute est souvent instructif), les champs de ICQ, etc. Et, au pire, ce code postal n'est pas difficile à obtenir par social engineering, comparé à d'autres informations. Une fois identifié, le pirate accède à vos coordonnées personnelles plus complète : nom, prénom, adresse postale, numéro de téléphone fixe, de GSM et même... le digicode de votre immeuble. Heureusement que les numéros de carte bancaire ne sont pas stockés au même endroit ! Vu l'étendu de la clientèle de la Fourmi, c'est un véritable petit annuaire à portée du premier venu. Nous avons tenté d'informer le site de VPC, il a promis de faire le nécessaire sous 15 jours. Plusieurs mois après, rien n'a été fait. Pourtant la loi Informatique et liberté oblige à sécuriser ce type d'informations. Compte tenu qu'il s'agit non pas d'une faille accidentelle, mais d'une absence volontaire de sécurité, évidente aux yeux de tous, nous avons décidé de laisser les consommateurs faire pression sur la société.



Vous aimez cette page ? Partagez-en le lien !

Facebook
Twitter
Google+
LinkedIn
Reddit

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]