-
Les routiers lèvent leur menace de blocus après un accord
Reuters via Lexpress.fr12/12/09 | 01h03 -
Thibault fixe la feuille de route de son nouveau mandat à la CGT
LeFigaro.fr12/12/09 | 01h00 -
Premier vol réussi pour l'A400M
LaTribune.fr11/12/09 | 17h03 -
Liliane Bettencourt ne sera pas placée sous tutelle
LePoint.fr09/12/09 | 16h17 -
Europcar accuse la ville de Paris de contrefaçon
Challenges.fr08/12/09 | 17h00
enquete
Entreparticuliers.com a des fuites de Carte bleue
Par Augustin Scalbert | Rue89 | 09/04/2008 | 20H45
Des numéros de CB de clients ont circulé sur Internet. Les dirigeants de ce site d'immobilier continuent à nier toute faille.
Jusqu'à lundi, les coordonnées bancaires de clients d'Entreparticuliers.com, un site d'annonces se présentant comme le « premier site immobilier des particuliers », étaient accessibles sur Internet. Alors que les policiers de la Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI) ont été saisis par le parquet de Nanterre, la direction du site nie toute faille informatique.
En tâtonnant sur le site et en injectant une requête SQL, un pirate informatique a pu accéder à des dizaines de numéros de cartes bancaires de clients d'Entreparticuliers.com, avec date d'expiration, cryptogramme de sécurité et, bien sûr, nom du propriétaire. Le lien hypertexte nanti de la requête SQL a ensuite circulé sur Internet. Denise R., José M., Michèle G., Jean-Marie W. et plus d'une centaine d'autres clients, qui ont mis un bien immobilier en vente sur le site, peuvent s'inquiéter pour leur compte en banque.
Quarante-huit heures après le début de l'enquête de police, le parquet de Nanterre n'est pas en mesure de se prononcer sur ses premières orientations. Selon les recherches menées par Rue89, le problème rencontré par le site d'annonces ne pourrait avoir que deux explications : soit une faille dans le système de sécurité, soit une malveillance interne ayant conduit à la publication des données sur une partie ajoutée au site pour l'occasion.
Quatre tentatives de fraude sur une carte
D'après des clients concernés, les données qui étaient disponibles jusqu'à lundi sur le Web sont authentiques et correspondent à des cartes délivrées par des banques en France, aux Etats-Unis, en Suisse et en Géorgie, notamment. Ainsi, un des clients a passé une annonce sur le site le 8 février, en utilisant une e-Carte bleue. Moins de quinze jours plus tard, ses coordonnées bancaires ont été utilisées pour quatre tentatives de fraude, sur deux sites de vente de produits hi-tech différents. En vain, puisque cette e-Carte bleue était à usage unique.
Sur Internet, plusieurs blogueurs ont fait état de la publication de ces données, qu'ils
ont qualifiée de « faille ». Le PDG d'Entreparticuliers.com, Stéphane Romanyszyn, récuse totalement ce terme et affirme que ses données clients sont totalement sécurisées. Alors que des blogueurs publient des captures d'écran témoignant de la « faille », la direction du site réagit.
Guerre d'image
Entreparticuliers.com vient d'annoncer de brillants résultats pour 2007, avec notamment un chiffre d'affaires de 14,8 millions d'euros, en hausse de 63,7%, et un bénéfice net en hausse de 86,1%. Créé en 2000 par Stéphane Romanyszyn, qui reste premier actionnaire avec plus de 74% du capital, le site a toujours fait preuve d'un goût certain pour les annonces fracassantes. Entreparticuliers.com se présente ainsi comme « le n°1 des annonces de ventes immobilières entre particuliers sur Internet », ce qui n'est pas l'avis de son grand rival De particulier à particulier, qui serait le « premier site immobilier français » -et pas pour les professionnels, comme son nom l'indique.
Fin mars, Stéphane Romanyszyn déclarait aux Echos qu'un rapprochement entre De particulier à particulier et sa société présenterait « des synergies évidentes », ce que contestait très vite le concurrent.
Enfin, pour terminer cette semaine noire pour Entreparticuliers.com, un autre de ses concurrents, SeLoger.com, vient d'annoncer avoir déposé plainte contre ce site (parmi d'autres) pour « pillage substantiel » de sa base de données.
Vendredi 4 avril, elle publie un communiqué annonçant pour lundi le dépôt d'une plainte pour « faux et usages de faux, atteinte volontaire aux données d'un système informatisé, complicité et association de malfaiteurs informatiques » :
« La campagne de dénigrement, relayée et entretenue actuellement sur le Web par des internautes malveillants, au travers de prétendues captures d'écran, se fonde sur la production de faux grossiers et sur la communication de fausses informations gravement mensongères.
“La diffusion de ces fausses informations, dans un objectif délibéré de déstabilisation commerciale de la société, laisse croire qu'Entreparticuliers.com dévoilerait les données bancaires de ses clients et serait défaillante quant à la capacité d'en assurer la protection et la confidentialité.
Entreparticuliers.com rappelle que les flux de données échangés sur son site Internet lors de transactions commerciales sont confidentiels et protégés, le système d'information du site www.entreparticuliers.com étant parfaitement sécurisé, conformément à la norme.”
L'entreprise rappelle aussi quel est son modèle économique : “Le paiement de l'annonce déposée par le vendeur du bien et un accès gratuit pour les acheteurs potentiels.” Le communiqué se termine sur ce rappel : “Entreparticuliers.com est coté sur Alternext de NYSE Eeuronext depuis février 2007.”
La société nie la faille, le cours en Bourse remonte
Lundi, ce communiqué a été repris sans broncher par des dizaines de sites d'information financière. Pour Entreparticuliers.com, le tour est joué : les investisseurs sont rassurés et le cours remonte de 1,5%. Depuis le 1er janvier, il a perdu 14,76%.
Joint par Rue89, Stéphane Romanyszyn nie avoir reconnu la faille auprès de 01net et se réserve le droit de poursuivre le journaliste qui l'avait cité dans son article. Le PDG estime avoir “affaire à un complot” :
“Il ne s'agit pas d'une faille mais d'actes malveillants. On ne sait pas s'il y a eu une complicité interne. On dérange des concurrents en perdition, des intermédiaires immobiliers. Si quelqu'un voulait flinguer le cours en Bourse, il ne s'y prendrait pas autrement. Nous respectons le standard PCI-DSS, et conformément à l'évolution de cette norme, les données bancaires de nos clients, qui sont sur nos serveurs et pas en ligne, sont en cours de cryptage. En juin, elles seront stockées sur le serveur de la banque.”
Le site n'en est pas à ses premiers échanges d'amabilités avec la blogosphère : il y a tout juste un an, il avait obtenu le retrait d'un post contestant ses méthodes commerciales. Des méthodes aussi contestées par l'UFC-Que Choisir dans une enquête publiée début avril.
25883 visites | 44 réactions
Vous avez aimé cet article ? Achetez votre plaque et soutenez l'indépendance de Rue89
Appelez le 08 99 78 00 93 (1,68 € / appel)
Envoyez « RUE » par SMS au 81027 (1,5 € / SMS)
En savoir plusAccrochez une plaque Rue89 sur votre page de membre et dans vos commentaires. Votre plaque, qui comportera votre numéro de riverain, apparaîtra pendant un mois.
123456
Rentrez le code que vous recevrez dans le cadre ci-dessous pour activer votre plaque
44
(Pour réagir, connectez-vous)
De line
20H58 | 09/04/2008 |
Désolé d'utiliser l'espace de commentaires de cet article pour réagir à quelquechose qui n'a rien à voir, mais il y a d'horribles spots Leclerc qui nous sautent à l'écran dès qu'on va sur le site de Rue 89 c'est insupportable ! Je pensais que rue 89 ne permettait pas tout et n'importe quoi aux publicitaires sur son site ! J'espère que ces méthodes ne vont pas perdurer ! !
à line
De had
voyageur | 21H21 | 09/04/2008 |
utilise « firefox » avec l'extension « AdBlock plus »
à had
De sefero49
Soldat mugissant | 09H01 | 10/04/2008 |
Ca marche…
Merci !
à line
De www.laguerredesmots.com-yannick
pays de gex | 07H18 | 10/04/2008 |
ouaip je repostes donc mon message précédent
@rue89
désolé de prendre cet article en otage mais si on efface mon commentaire parce que je dis du mal de l'annonceur (leclerc), ça nous situe ou au niveau de la censure ? Si je dis du mal de Auchan, mon commentaire va-t-il être supprimé ? Si je dis du bien de Auchan ? L'annonceur a-t-il son mot à dire sur le contenu du site ? Si je donne cent mille euros à Rue89, allez vous supprimer les commentaires qui me contredisent ?
Je sais que ma provocation était gratuite ( à ma décharge je souffre de pubophobie et la moindre publicité me rend agressif), que vous avez besoin d'argent pour tourner, je serais même prêt à vous donner trente euros par mois si ça pouvait éviter la pub, et je suppose que vous avez déjà répondu à ces questions dans un autre article, si c'est le cas, pourriez vous m'en donner l'adresse
à www.laguerredesmots.com-yannick
De jmax
07H46 | 10/04/2008 |
comme il t'a été dit, Firefox avec l'extension Adblock + bloque toutes les pubs alors si tu souffres de pubophobie, il est tout à fait stupéfiant que tu n'utilises pas encore ce formidable outil
à jmax
De www.laguerredesmots.com-yannick
pays de gex | 10H31 | 10/04/2008 |
en fait le problème était plutôt que si je dis qu'il ne faut pas aller chez leclerc on efface mon commentaire. Pour la pub, rien ne m'empêche d'aller sur un autre site si je commence à choper des boutons.
Mais merci pour l'info, je vais installer ça chez moi.
à www.laguerredesmots.com-yannick
De compte supprimé à la demande du riverain 30.03.09
bye bye.... | 10H54 | 10/04/2008 |
Je trouve que le problème c'est aussi qu'on nous fait passer du payant pour du gratuit. On ne paye pas en argent, évidemment, mais en neurones. Je ne comprends pas que l'on s'offusque à juste titre de l'invasion de la presse papier gratuite bien tendancieuse et qu'on ne pose qu'à peine la question pour Internet. Cela dit il a y eu un article et un débat sur ce sujet ici mais je n'ai pas l'adresse en mémoire. Je vais essayer de la retrouver.
à www.laguerredesmots.com-yannick
De compte supprimé à la demande du riverain 30.03.09
bye bye.... | 10H58 | 10/04/2008 |
Voilà l'adresse demandée : http://www.rue89.com/2008/03/15/mediapart-se-lance-un-test-pour-linfo-payante-sur-internet
De FabiendeMénilmontant
journaleux - blogueur | 20H59 | 09/04/2008 |
Merci Augustin ! tu as fait vite.
j'adore le « Il ne s'agit pas d'une faille mais d'actes malveillants »… tu es certain qu'ils n'avaient pas embauché des intermittents du spectacle pour répondre ? comme on nous dit que les chiffres du chômage baissent, le doute m'habite…
Fabien
http://menilmontant.noosblog.fr/
à FabiendeMénilmontant
De compte supprimé 34
08H33 | 11/04/2008 |
Ca y est, j'ai réussi à me procurer sur Entreparticuliers.com, suite à la vente d'un bien 4 rue de la Baume, le numéro de la carte American Express Platinium d'Omar Bongo. Je vais pouvoir faire quelques achats sue eBay.
De DidierB63
Devant un écran | 21H13 | 09/04/2008 |
Faille de sécurité ou actes malveillants, il y a de toute façon quelque chose de pourri au royaume merveilleux de Entreparticuliers.com et on joue sur les mots pour se protéger.
Soit c'est une faille technique, soit c'est une faille humaine, mais cela reste une faille de sécurité.
Leurs dénégations me rappellent un peu celles de la Société Générale dans l'affaire Kerviel.
Là aussi il ne s'agissait pas d'une faille… Mais si, quand même !
http://polemiquons.over-blog.com/
à DidierB63
De pablico
15H15 | 10/04/2008 |
la sécurité totale n'existe pas en informatique, ni même avec les chèques.
même si elle existait, on est jamais à l'abri d'un employé indélicat, qui peut copier les données et les revendre discrètement.
De pene-r
21H20 | 09/04/2008 |
Ben, je trouve un peu bizarre qu'ils gardent toutes les données de la carte bleue, sur une base SQL et sans cryptage ! ! …
Date d'expiration et crypto ! !
De had
voyageur | 21H25 | 09/04/2008 |
finalement, c'est assez commun. Rares sont les sites de vente en ligne qui cryptent toutes les données personnelles des clients.
(pour ceux qui les récupèrent bien entendu : lorsque vous payer directement sur le site d'une banque, ou avec paypal, le vendeur ne sait rien de vos données banquaires, juste que son compte a été crédité)
la sécurité en ligne est une course constante, et les hackers (black hat) ont malheureusement tjs une longueurs d'avance !
De pene-r
21H51 | 09/04/2008 |
Ce qui me surprend c'est qu'ils stockent ces données non cryptés, et pourquoi ne passent-ils pas déjà par une banque (si ils sont pas capable au minimum de les crypter) ?
Je suppose qu'ils en ont les moyens et si il y a un problème de ce genre (hack) c'est la banque responsable.
Peut être le coût sur un gros volumes de transactions ? M'enfin, on parle d'une société côté en bourse quand même ! !
à pene-r
De LaP
Motard a Perigueux | 09H39 | 10/04/2008 |
Moi ce qui me surprend c'est qu'il y a encore des gens qui utilisent les sites web qui stockent les informations bancaires.
Quand on sait que mêmes les banques n'ont pas une sécurité infaillible, faire confiance à un petit commerçant pour cela, c'est pas très malin.
Quand j'achète sur internet, si je vois que mon numero de carte bleue m'est demandé par le site marchand initial et pas par un site « autorisé » comme une banque ou paypal, paibox, bluepaid, etc., ben je vais voir ailleurs.
à LaP
De pene-r
12H02 | 10/04/2008 |
C'est un peu là que je voulai en venir ! !
Pour les petits sites ceci dit, le coût du paiement via la banque est assez élevé ! (devinez qui s'en met encore plein les fouilles ; -)
à pene-r
De Eliott
11H57 | 10/04/2008 |
Le problème est que de plus en plus de système informatique conserve des données qui ne devraient pas être conservées.
Bien entendu la majorité de ses sites est en infraction avec la
« Délibération n° 03-034 du 19 juin 2003 portant adoption d'une recommandation relative au stockage et à l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance »
http://www.cnil.fr/index.php ? id=1357
et la
« Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel »
http://conventions.coe.int/Treaty/fr/Treaties/Html/108.htm
Mais qui va protester car la CNIL est en incapacité de faire son boulot, et les sites font ce type de manœuvre en toute illégalité.
Mais le problème ne concerne pas uniquement les sites de vente par correspondance, mais tous les secteurs.
Les restaurants, hôtels etc… exigent également que les numéros des cartes soient conservés dans la base…
Mais si il s'agissait uniquement des données de Carte Bancaire…
Dans le domaine de la santé c'est encore pire, la majorité des systèmes ne cryptent pas les données, il y a un mot de passe commun à tous les sites permettant de lire/modifier toutes les données etc… Les logiciels perdent et mélangent les données des patients etc…
à pene-r
De pablico
14H10 | 10/04/2008 |
en informatique, il n'y a pas de sécurité totale.
Même les chèques n'ont pas une sécurité totale.
même si la sécurité était totale, personne n'est à l'abri d'un employé informatique indélicat, qui va recopier les données pour les revendre.
à pablico
De romi45
découvre l'information | 14H43 | 10/04/2008 |
les cheques ont probablement moins de securité que les carte à puce.
Pour preuve, meme les cheques de banques aujourd'hui ne sont plus une garantie.
à pablico
De pene-r
16H14 | 10/04/2008 |
en informatique, il n'y a pas de sécurité totale
Je suis entièrement d'accord, mais cela ne dispense pas, soit :
- D'appliquer le minimum syndical de sécu (le cryptage de la date d'expi et du crypto ça doit pas être impossible même si le code peut être cassé, ça rebutera le premier venu).
- Ou si l'on est vraiment pas sûr de son niveau de sécu, de ne pas stocker des infos aussi sensibles et déléguer aux banques.
De y-Bot
21H35 | 09/04/2008 |
Sympa le floutage : on lit très bien.
« Expire : 07/27 » c'est valide comme date d'expiration ?
à y-Bot
De Augustin Scalbert
(auteur)
Rue89 | 21H58 | 09/04/2008 |
Vous avez raison, c'est sans doute une faute de frappe du client. Si nous avons publié cet article, c'est parce que nos recherches ont montré que les numéros de Carte bleue sont valides.
De Ouiquende à Rome
21H53 | 09/04/2008 |
Le soir…moment propice ou je vous devine peut être devant votre ecran, moment également propice pour repenser à nos conversations du jour. Lirez vous ce message ce soir si c'est le cas bonne nuit. Demain moins de liberté mais encore plus d'envie de vous témoigner mon attachement.Bien calinement votre.
1 vote » Répondez-luiSignaler un contenu illicite
Servais-Jean 21H39 09/04/2008
Ben, c'est gentil tout ça Ouiquende !
1 vote » Répondez-lui
De LaurentGloaguen
00H50 | 10/04/2008 |
@Augustin Scalbert : « Alors que des blogueurs publient des captures d'écran -retirées par la suite- témoignant de la “faille”, la direction du site réagit. »
Non, non, correctif demandé :
http://embruns.net/tag/entreparticuliers
http://embruns.net/logbook/2008/03/22.html#006303
http://embruns.net/images/annonces-entreparticuliers.png
Merci : -)
à LaurentGloaguen
De Augustin Scalbert
(auteur)
Rue89 | 08H50 | 10/04/2008 |
Désolé, je corrige !
De SiDi
Kitten ! | 05H56 | 10/04/2008 |
Injection SQL… pas même foutus d'ajouter une simple petite fonction sur leurs formulaires ? C'est de l'incompétence pure !
à SiDi
De Lupus Michaelis
Instantiation en cours... | 07H15 | 10/04/2008 |
Ça dépend. Tout le monde ne développe pas en PHP. D'ailleurs, en PHP, il n'y a pas besoin d'utiliser de fonction supplémentaire pour éviter un SQL Injection ; il suffit d'utiliser l'outil à propos.
Mais dans le cas qui nous préoccupe, il s'agit vraisemblablement d'un site utilisant une technologie MS. Un ASP, qui peut être du C#, du VB.Net ou que sais-je. Il faudrait voir comment on traite les données dans ces environnement. Pour ma part je ne sais pas.
Mais au delà des astuces techniques, c'est certainement plutôt la conduite de projet qui est à blâmer. La pression sur les développeurs, le turn-over et le manque de rigueur sont les principaux ennemis de la sécurité informatique.
à SiDi
De jmax
07H48 | 10/04/2008 |
le site est fait en technos Microsoft. Après, ils n'ont que ce qu'ils méritent
De Martin D
08H10 | 10/04/2008 |
quand on utilise des informaticiens compétents mais payé à coup de lance-pierre, on a que ce que l'on mérite…mais c'est le particulier qui paie au final, comme toujours !
c'est à entreparticuliers.com de rembourser toutes les fraudes !