Coucou tout le monde
Contraint de changer de véhicule motorisé pour des raisons de santé (et un peu contraint d'en avoir un), je me suis trouvé fort dépourvu avec mes seules économies et j'ai donc du faire appel à ma banque pour disposer d'un crédit m'apportant les fonds… Ça arrive à tout le monde me direz-vous…
Et le printemps arrivant, me voilà pourvu d'un léger excédent que je décide de mettre à profit pour rembourser immédiatement une petite part de ce crédit (astuce : n'offrez pas de cadeaux de Noël). Chose dite fut faite, et tout allait bien. Mais v'la-t-y-pas que je reçois un joli courriel intitulé «Votre avis nous intéresse», se présentant comme provenant de mon écureuil préféré… Qu'ouïs-je, qu'est-ce ?
La société de financement, organe séparé de ma banque, sollicitait mon avis pour «mieux répondre à mes attentes». Pourquoi pas, me dis-je. Puis je regardais avec effroi les différents éléments du mail, et le doute m'assaillit, je tremblai de rage… Cet en-tête, «976f8134551e5d1f9e0a4a1db.472673.list-id.mcsv.net»… c'est une mailing-list de l'opérateur MailChimp, une société états-unienne…
Ce lien vers le formulaire, http://mfb.li/ect?d:email=ray@dact.ed&d:naissance=01/02/2003&d:age=73&d:sexe=U&d:montant_commande=12345,67&d:code_reseau=CE&d:no_doss=42400000000000&d:remboursement_total_ou_partiel=Partiel&d:montant_du_pp=4
Cornegidouille ! Mon adresse email, mon âge, mon sexe (qui ne regarde personne, c'est très intime tout de même), le montant de mon crédit… le tout dans un lien en HTTP ?? mfb.li appartient heureusement à une société française, une fuite trans-atlantique de moins… mais le formulaire est hébergé à travers un CDN de la société KeyCDN, société états-unienne également, avec du contenu vers notre ami Google !
Récapitulons… Je souscris un crédit consommation auprès d'une banque française. Elle fournit l'argent à travers son organisme de financement, français lui aussi. Et choisit derrière de me spammer en passant par 4 sociétés tierces, dont 3 américaines, en leur confiant plus ou moins directement le kit du parfait phishing…
This is not a method, this is provocation.
Vous pensez qu'avec le GPDR on aura des outils pour attaquer formellement ce genre de comportement d'une désinvolture crasse avec nos données ?
Je vous laisse, j'ai un banquier à incendier…
# inutile de cramer le banquier
Posté par Maclag . Évalué à 10.
Ce genre de choses est certainement géré dans un siège très loin et très au-dessus de ton banquier ou même du directeur de l'agence. Même son retour à lui finira dans une corbeille.
Bienvenue dans le monde des grandes entreprises pleines de décideurs tous beaucoup plus intelligents que toi et ton banquier.
[^] # Re: inutile de cramer le banquier
Posté par Pinaraf . Évalué à 10.
Bien sûr, je ne vais pas le cramer. Ça serait idiot, je serai dans le même bâtiment que lui. Par contre je ferai un retour, et je me pose sérieusement la question de dénoncer ce comportement à la CNIL.
[^] # Re: inutile de cramer le banquier
Posté par Jean-Baptiste Faure . Évalué à 9.
Ce serait intéressant aussi de voir ce que donnerait une plainte contre la banque pour atteinte à l'intimité de la vie privée, puisqu'elle diffuse sur la voie publique des informations privées.
[^] # Re: inutile de cramer le banquier
Posté par NumOpen . Évalué à 3.
Non, ce n'est pas public. Le mail n'a pas été publié sur le web (à part sur LinuxFR).
[^] # Re: inutile de cramer le banquier
Posté par Pinaraf . Évalué à 6.
Je t'assure, ce n'est pas le vrai contenu, mon adresse mail n'est pas ray@dact.ed et je n'ai pas 73 ans :)
Mais c'est bien la difficulté à mes yeux, c'est attaquable pour non respect du contrat, pour non respect du secret bancaire peut-être, et pour imprudence vis-à-vis de la sécurité des données. Mais y a-t-il une violation franche de la loi avec la diffusion à des tiers de mes données privées ?
J'ai contacté la CNIL pour avoir leur avis, s'ils ne répondent pas à mon courriel je les appellerai.
[^] # Re: inutile de cramer le banquier
Posté par bibitte . Évalué à 3.
c'est con on as tous répondu des conneries à la place d'un mec qui existe pas !!
[^] # Re: inutile de cramer le banquier
Posté par Zenitram (site web personnel) . Évalué à 6.
Le lien est en HTTP, pas mal de gens on des réseaux partagés (coloc, bars…), donc à un moment les données sont filées à "tous" ceux dans le coin.
De ce que j'ai compris des gens regardant le GDPR, il est de la responsabilité de l'hébergeur de faire attention à ne pas filer des choses à tous, et à mon avis ça peut être jouable de dire que l’hébergeur a par incompétence (pas de HTTPS) participé à diffuser les données privées.
Et ça mériterai un bon gros procès pour faire comprendre à ceux qui ont des données privées que les données sont privées et qu'il faut pas diffuser n'importe comment.
[^] # Re: inutile de cramer le banquier
Posté par Renault (site web personnel) . Évalué à 8.
Même sans les histoires de HTTPS / HTTP, dans les courriels "institutionnels" tu peux avoir :
Bref, il y a beaucoup à faire pour que les bonnes pratiques de sécurité et de confidentialité soient correctement respectés. Même si je trouve que depuis quelques années cela s'améliore grandement.
[^] # Re: inutile de cramer le banquier
Posté par Pinaraf . Évalué à 10.
Le soucis dans mon cas, c'est que le lien que j'ai mis dans ce journal avec des données bidon est parfaitement fonctionnel. Je parie sur une restitution sous forme d'un tableur ou équivalent des résultats du sondage qu'ils font à leurs clients. Et plutôt que de créer un identifiant obscur pour chaque client (hash de l'email par exemple) et devoir recroiser avec leurs données internes, ils ont choisi de tout faire transiter à travers le lien pour que ça soit restitué dans l'outil final.
Ça ressemble à un bricolage amateur, et pour des données confidentielles de nos jours, de la part d'une banque qui brasse donc des sommes folles… ça me parait inacceptable.
[^] # Re: inutile de cramer le banquier
Posté par Stéphane Ascoët (site web personnel) . Évalué à 0.
"Ça ressemble à un bricolage amateur, et pour des données confidentielles de nos jours, de la part d'une banque qui brasse donc des sommes folles… ça me parait inacceptable."
J'ai bossé en informatique bancaire: le niveau de sécurité est très loin de ce qu'on pourrait espérer/imaginer et ça fait peur…
[^] # Re: inutile de cramer le banquier
Posté par freem . Évalué à 3.
Il y en a d'autres que pole emploi qui font ça?
[^] # Re: inutile de cramer le banquier
Posté par flagos . Évalué à 2.
Free mobile à un moment donné c'était le cas. Et peut être que ça l'est toujours, j'en sais rien.
[^] # Re: inutile de cramer le banquier
Posté par Marotte ⛧ . Évalué à 5.
Encore trop hélas.
Je vois en milieu professionnel, il y a encore pas mal de gens que ça ne gène absolument pas de mettre un mot de passe dans un mail à la terre entière ou dans un code source…
[^] # Re: inutile de cramer le banquier
Posté par Lutin . Évalué à 10.
https://github.com/search?q=%22remove+password%22&type=Commits
:D
[^] # Re: inutile de cramer le banquier
Posté par groumly . Évalué à -5.
C'est pas la banque qui suit le lien en http, mais le client. C'est donc le client qui offre les infos a qui écoute sur le réseau.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: inutile de cramer le banquier
Posté par Renault (site web personnel) . Évalué à 10.
Oui enfin la quasi totalité des clients ne sont pas des experts en sécurité et confidentialité (j'espère que les banques en ont quand même). C'est à la banque de ne pas tendre des pièges à ses utilisateurs mais de justement proposer de bout en bout la solution la plus sécurisée.
[^] # Re: inutile de cramer le banquier
Posté par Zenitram (site web personnel) . Évalué à 4. Dernière modification le 13 avril 2018 à 07:26.
Faut peut-être pas prendre les juges (et législateurs) pour des cons : si il faut faire attention à ces données (c'est ça qui est à débattre), il est clair qu'on considère l'utilisateur comme "non connaisseur" et le fournisseur comme "dont c'est le métier", c'est un peu la base de pas mal de lois ("professionnel" connaisseur contre "particulier" néophyte se retrouve noir sur blanc dans les lois sur la consommation par exemple).
Tu cautionnes les sites web qui laisseraient du HTTP ("mais tu as le choix, tu peux taper https dans la barre URL, l'utilisateur est nul et c'est sa faute", "ha oui et on accepte les clés Debian SSH connues, pas notre faute si l'utilisateur n'a pas changé sa clé" etc) avec des données de CB ou santé par exemple, sérieusement?
[^] # Re: inutile de cramer le banquier
Posté par groumly . Évalué à -4.
Je vois pas le rapport avec la choucroute. Sinon, non, je cautionne pas.
Les services sur lesquels je bosse sont https only et ssl pinned depuis des annees (on répond meme pas sur le port 80. Mais c'est plus facile a faire quand t'as pas a gérer des browsers), donc tu vas avoir du mal a me coincer la dessus. Mais je répète, je vois pas le rapport avec la choucroute. Tu dit "la banque transmet des infos a des tiers en clair sur le reseau", je te répond que non, la banque n'a pas transmit grand chose. C'est le client qui clique dessus qui le transmet. Qu'il soit neophyte ou le plus hax0r des l33ters ne change rien a ce fait. Sans compter que mon petit doigt me dit qu'il avait des mentions légales en bas de l'email.
Tu doutes que ca passe devant un juge, et moi je doute qu'un juge condamne pour ca.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: inutile de cramer le banquier
Posté par Zenitram (site web personnel) . Évalué à 4.
Je remarque juste la contradiction entre ton discours culpabilisant l'usager qui n'aurait pas du utiliser http (par exemple) et ta pratique protégeant l'usager qui pourrait faire des bêtises en bloquant http par exemple (généralement les gens ont un beau discours et de mauvaises pratiques, tu te différencies en ayant un mauvais discours et de bonnes pratiques :) )
La, je peux rien faire ou dire…
[^] # Re: inutile de cramer le banquier
Posté par jyes . Évalué à 8.
Car heureusement, le lien avec les données privées en clair est envoyé dans un courriel chiffré avec la clé PGP du client de la banque ! C’est donc bien le client et non la banque transmet en clair des infos personnelles. Tu es sûr de ton coup, là ?
[^] # Re: inutile de cramer le banquier
Posté par gouttegd . Évalué à 3.
Et avant ça c’est la banque qui envoie le mail en clair…
(De plus en plus de fournisseurs de messagerie prennent en charge le TLS opportuniste sur SMTP, donc ça devient de moins en moins vrai que les mails circulent toujours en clair sur le réseau… sauf que d’expérience tous ceux dont le mail n’est pas le métier — comme les banques, les compagnies d’assurance… et malheureusement leurs prestataires — s’en contrecarrent. Et ça a bien l’air d’être le cas de MailChimp …)
[^] # Re: inutile de cramer le banquier
Posté par oinkoink_daotter . Évalué à 10.
Et après ça, tu te rends compte que même si tu as reçu le mail chiffré de proche en proche, ta gateway antivirus machin de messagerie a vu qu'il y avait un lien dans le mail et a été voir ce qu'il y avait derrière ; et que du coup, même si t'as vu le truc pas super safe et que t'as pas cliqué, la gateway, elle, l'a "fait".
[^] # Re: inutile de cramer le banquier
Posté par Jean-Baptiste Faure . Évalué à 3.
Comme c'est du http, c'est autant public que si c'était envoyé par carte postale.
[^] # Re: inutile de cramer le banquier
Posté par freem . Évalué à 10.
En même temps, s'il a la motivation, faire du bruit sur cet incident sur des plates-formes plus peuplées qu'ici est un bon moyen de «cramer le banquier».
[^] # Re: inutile de cramer le banquier
Posté par floriang . Évalué à 1.
Genre sur le twitter de l'écureuil et celui de la maison mère. :-)
# a̶vi ̶s̶e nous intéresse
Posté par trancheX . Évalué à 4.
Je propose un titre alternatif (j'arrive pas à faire en sorte que le i ne soit pas barré, mais vous avez compris l'idée) :
a̶vi ̶s̶e nous intéresse
# sexe=U
Posté par dinomasque . Évalué à 10.
Un sexe en U ?
Des photos, des photos !
BeOS le faisait il y a 20 ans !
[^] # Re: sexe=U
Posté par Pinaraf . Évalué à 10.
C'est parce que j'ai un charme magnétique fou :)
# en public ?
Posté par Nicolas Boulay (site web personnel) . Évalué à 10.
L'Interpellation de la banque sur tweeter, parfois, cela marche.
"La première sécurité est la liberté"
[^] # Re: en public ?
Posté par Marotte ⛧ . Évalué à 7.
Pour SFR je n’ai même pas eu le choix.
Une personne a oublié son code PIN, son portable est éteint et il n’a pas d’adresse électronique : il est donc impossible de se faire renvoyer un mot de passe pour accéder au compte sur le site SFR. Ce qui m’a surpris c’est qu’il ne soit pas non plus possible de joindre un service client par téléphone ou mail.
J’ai dû passer par twitter, j’ai dû me plaindre auprès de leur bot pour enfin avoir quelqu’un qui me communique le code PUK…
J’aurais pu, je pense, créer une adresse mail pour la personne en question mais enfin voilà quoi… pour une personne comme moi, assez âgée pour avoir connu le 100% papier, assister à l’émergence du 100% numérique ça donne un coup de vieux :)
# et le contrat ?
Posté par Ben . Évalué à 3.
Surtout, qu'est-ce u'il y a dans le contrat entre toi et ta banque ? mais si tu râles, c'est certainement parce que c'est explicitement mentionné qu'il n'y aura pas de transfert de données à des tiers.
[^] # Re: et le contrat ?
Posté par Pinaraf . Évalué à 10.
Hoo, un amoureux de blabla juridique ! <3
Citons…
Je ne vois pas en quoi il y a une fonction opérationnelle ou une obligation légale à transmettre ce paquet de données privées à ces tiers. À mes yeux il y a donc violation du contrat du prêt de la part de l'organisme de financement.
[^] # Re: et le contrat ?
Posté par Dr BG . Évalué à 4.
Peut-on explicitement stipuler dans un contrat qu'on se torche avec le secret bancaire (inscrit dans la loi) ? Pas sûr.
[^] # Re: et le contrat ?
Posté par freem . Évalué à 6.
On peut. Mais dans ce cas, la clause en question du contrat est invalide, il me semble.
[^] # Re: et le contrat ?
Posté par Snark . Évalué à 3.
Si je suis bien : les données ont été publiées par la banque lorsque le mail a transité sur le réseau ouvert sans cryptage—et ça, il est déjà possible de lui reprocher.
Par contre ensuite, c'est le client qui clique sur le lien qui diffuse ses données via la requête : la banque a armé la tapette et l'a mise dans les mains du client, mais c'est le client qui met les doigts dedans et déclenche… Du coup pour cette pollution-là, ils peuvent dire qu'ils sont innocents.
Non?
[^] # Re: et le contrat ?
Posté par Uld (site web personnel) . Évalué à 1.
La tapette, bien que armée, a déjà transité en clair sur les différent noeuds IMAP/SMTP du réseau, c'est déjà capté et revendu par les GAFAM, pas besoin d'appuyer sur la détente pour qu'il y ait fuite des données, c'est déjà fait.
[^] # Re: et le contrat ?
Posté par Snark . Évalué à 2.
C'est un peu ce que je dis dans mon premier paragraphe, non?
[^] # Re: et le contrat ?
Posté par maxb . Évalué à 7.
Monsieur est commissaire de police !
# ça va encore faire débat.
Posté par 2PetitsVerres . Évalué à 6.
Il y en a qui ont essayé récemment, et ils ont eu beaucoup de critiques.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: ça va encore faire débat.
Posté par jihele . Évalué à 3.
Tous les banquiers n'ont pas la-les même-s valeur-s.
[^] # Re: ça va encore faire débat.
Posté par freem . Évalué à 3.
C'est une question de bourses?
# Tracking par ML
Posté par Wawet76 . Évalué à 9.
On ne parle pas assez de MailChimp je trouve. C'est une boite qui doit avoir beaucoup de données sur beaucoup de monde.
NextInpact a fait la chasse aux traqueurs sur leur site web, et communique souvent sur le sujet. Mais à côté de ça leur mailing-list utilise MailChimp. Tous les liens dans leurs mails passent par des redirections qui signalent à MailChimp qui clique sur quoi…
Ça ne semble gêner personne.
[^] # Re: Tracking par ML
Posté par Pinaraf . Évalué à 6.
Ho oui c'est vrai, j'avais pas remarqué…
En fait je lis les mails en texte brut, et mailchimp n'altère que le contenu HTML. Donc les liens en texte brut sont «purs»…
# Spam ?
Posté par nico4nicolas . Évalué à 5.
Tu dis que le lien dans le journal fonctionne (j'ai essayé c'est vrai !), est-ce que faire un petit peu de spam pour fausser leurs données ne pourrait pas avoir un impact ? C'est peut être une mauvaise idée, je demande juste.
# histoire similaire
Posté par steph1978 . Évalué à 8.
Même banque, je dois utiliser leur site pour faire un virement.
Passons outre les règles de gestion débiles qui font qu'il faut attendre 72h pour faire un virement à un nouveau bénéficiaire (c'est immédiat dans ma banque en ligne) ; qu'est-ce que ça apporte de plus qu'une validation par SMS.
Je constate que µblock voit rouge.
Et la liste des sites tiers bloqués est pas piquée des vers (xiti, adserver et 15 autres du même style).
Donc je me décide à ouvrir un ticket pour leur dire que tous ces mouchards ne sont peut-être pas nécessaire au service à rendre au client.
Finalement le lien "contact technique" abouti à la "prise de rdv avec mon conseiller" ; oui oui, vous avez bien lu : pas de possibilité d'ouvrir un ticket il faut contacter son conseiller.
Qu'à cela ne tienne, je prends un rendez-vous téléphonique pour 3 jours ouvrés plus tard et je remplis le champ commentaire pour exposer mon problème. Problème un peu trop long pour le formulaire (140c max) dont je modifie la source pour augmenter sa maxlength :P
La veille, j'ai un call de mon conseiller (que je ne connais pas par ailleurs) qui me dit qu'il ne peut pas vraiment m'aider car il ne voit rien de tel le site quand il le consulte. Je devine qu'il n'a pas de bloqueur de mouchards et renonce à en débattre avec lui. Pour débattre, il faut un minimum de niveau de chaque côté, sinon c'est juste barbant…
[^] # Re: histoire similaire
Posté par Octabrain . Évalué à 4.
Ta banque te pique pas encore assez de pognon, elle va essayer d'exploiter tout ce que tu laisses traîner.
https://linuxfr.org/users/glandos/journaux/boursorama-n-aime-pas-qu-on-bloque-des-choses
[^] # Re: histoire similaire
Posté par KiKouN . Évalué à 3.
Je pense que c'est des commandes que l'on peut donner facilement par téléphone juste pour lui montrer que, même si ce n'est pas visible sur la page, il y a des références dans les sources de la page.
[^] # Re: histoire similaire
Posté par Faya . Évalué à 8.
Quand le conseiller va faire ctrl-u et qu'il va se retrouver avec des balises html dans tous les sens, il va juste te dire qu'il ne faut pas essayer de pirater le site de la banque et que lui de toutes les façons n'y connaît rien, ne connaît pas Xiti, et n'est pas en contact avec les équipes de dev.
Comme disait un commentaire plus haut, il n'y a guère qu'avec le bad buzz sur les réseaux sociaux qu'on peut espérer les faire réagir.
[^] # Re: histoire similaire
Posté par steph1978 . Évalué à 2.
exactement !
[^] # Re: histoire similaire
Posté par Kerro . Évalué à 10.
Je viens juste de taper cette commande sur la présente page.
3 occurrences ! Je ne pensais pas que Linuxfr était tombé si bas.
Déçu, déçu, déçu.
[^] # Re: histoire similaire
Posté par Matthieu Moy (site web personnel) . Évalué à 10.
Moi j'en ai 4, c'est de pire en pire !
[^] # Re: histoire similaire
Posté par nico4nicolas . Évalué à 8.
J'ai du le faire pour comprendre… merci pour la blague !
[^] # Re: histoire similaire
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 2.
Te plains pas, tu pourrais avoir une validation par SMS ET un délais de 72h comme … moi ^
Oui enfin bon c'est un truc très particulier de vouloir "ouvrir un ticket" sur la façon de fonctionner du site de sa banque quand même …
Mouais, si de toute façon le champ DB utilisé est lui aussi limité à 140c c'est un peu pisser dans un violon, pas forcement bien efficace.
J'ai connu, sur cette même banque j'ai essayé de leur faire comprendre qu'ils avaient un problème avec IPv6 il y a plusieurs années et malgrés de bon contacts avec le conseiller qui était aussi directeur d'agence ça n'a jamais rien donné. Même en interne ils n'ont pas vraiment de façon de communiquer avec les équipes techniques ou uniquement dans des cadres très limités.
Très grosses boites => trop de procédures …
[^] # Re: histoire similaire
Posté par steph1978 . Évalué à 4.
La rubrique "assistance technique" existe bien. C'est juste qu'elle débouche sur rien de particulier. Et puis de nombreux sites grand public le proposent.
Petite imprécision dans mon post ; si, si le commentaire, dans son intégralité s'est bien retrouvé dans le résumé du rendez-vous. Et le conseillé semble bien en avoir pris connaissance et avoué son impuissance ; il ne dit pas avoir reçu un message incomplet.
# Lien
Posté par Obsidian . Évalué à 3.
C'est juste pour que tu puisses le bookmarker, ne t'inquiète pas. :)
# Clavier virtuel connexion banque
Posté par xillibit . Évalué à 1.
Il y a aussi le clavier virtuel pour se connecter à son compte bancaire qui est pas du tout sécurisé, c'est autorisé par la CNIL juste pour les sites bancaires. Ce n'est géré par les gestionnaires de mot de passe, un keylogger qui prendrait des captures d'écran peut avoir le mot de passe, un coup d'oeil au-dessus de l'épaule on peut facilement retenir le mot de passe tapé ou en filmant avec un smartphone discrètement au-dessus de l'épaule
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.