|
|
|
CNIL : des données bancaires stockées en clair sur Fnac Direct
Sujet ouvert par
Mindo
- Dernière réponse le 30 juillet 2012 à 10h39
en ligne,
PDF,
piratage,
web,
cnil,
informatique,
personnelles,
Fevad,
Fnac,
france,
stockage,
son,
html,
nom,
protection,
Mindo, le 27/07/2012 - 17:58 Ce que tout le monde devrait refuser... 
zig et puce
(Banni) le 27/07/2012 à 18:41
Trycer, le 27/07/2012 - 18:16 Tu as quel âge ? 
La CNIL est justement là pour que leur image puisse être atteinte et le problème sans doute corrigé sans qu'il y ai besoin que des clients en patissent. Cela dit ça ne m'étonne pas du tout de la part de la FNAC: des prix délirants, du personnel incompétent (je préfère de loin me faire conseiller par les algorithmes d'Amazon), et rien qu'à voir leur manière de travailler et de mépriser les clients on peut se douter de ce genre de chose. Ca ne m'étonnerai d'ailleurs pas que leur personnel IT soit embauché par copinage plutôt que pour leurs compétences. [message édité par wagaf-d le 27/07/2012 à 19:29
]
milord, le 27/07/2012 - 18:01 Pas d'accord. Si t'achète régulièrement sur un site, t'as pas forcément envie d'entrer à chaque fois des informations bancaires. En fait si le site est sérieux c'est même moins dangereux que de rentrer ton numéro de carte à chaque fois.
wagaf-d, le 27/07/2012 - 19:33 Pour un petit confort (gagner 5 secondes), on est prêt à laisser un site enregistrer les infos de la carte bancaire... ben moi non. wagaf-d, le 27/07/2012 - 19:33 Et comment tu sais s'il est sérieux ? Tu fais un audit de sécurité ? Je suppose que tous les clients de la Fnac pensaient que la Fnac était sérieuse. Ceux de Sony aussi. Et on n'est pas obligé de rentrer son numéro de carte à chaque fois, les banques sérieuses proposent de bloquer les cartes bleues pour les paiements en ligne, et d'utiliser un système de cartes virtuelles.
milord, le 27/07/2012 - 19:49 À chaque fois que tu rentres des infos bancaires sur un site il y a des risques d'interception (rayonnement électromagnétique du clavier, utilisé par les services de renseignement depuis des décennies, keylogger logiciel ou autre virus, intrusion de l'autre côté de la chaîne capturant les données avant leur encryption etc.)
Comme d'hab en matière de sécurité c'est une question de confiance. À partir du moment ou tu décrètes que tu ne fais confiance à personne, alors tu n'as de toute manière pas de banque ni de carte de crédit et tu n'achète pas en ligne. Si j'achète des Apps sur le Play Store ou des bouquins sur Amazon régulièrement (deux entreprises auquel je fais relativement confiance pour être à la pointe en terme de sécurité ) , je pense qu'en effet il est plus sécurisé d'enregistrer les données chez eux que de les entrer à nouveau à chaque fois. [message édité par wagaf-d le 27/07/2012 à 21:54
]
La CNIL a t elle un pouvoir de sanction pour négligeance caractérisée des informations bancaires de ses clients?
Un avertissement... Mais putain de merde, quand une boite est prise en flagrant déli de stupidité de cette ampleur, c'est une amende bien salée qu'elle devrait se prendre, sans sommation !
Pas étonnant que les sociétés ne se fasse pas chier, la sécurité ça coute cher, et de toutes façons, si elles se font épingler elles se prendront un avertissement et un peu de mauvaise pub qui ne touchera qu'une faible partie des clients. La cnil ne sert vraiment à rien.
Oh bordel de merde ! un avertissement !
Ah la vache, c'est flippant. Carrément un avertissement !! c'est quand même disproportionné non ? Ils doivent être dégoûtés, chez Fnac. Paf ! avertis. Ca va être vraiment difficile de s'en remettre. 
Hey00, le 28/07/2012 - 04:52 Pareil pour la madame qui laisse trainer son sac grand ouvert avec portefeuille bien en vue, ou le monsieur qui laisse sa veste avec son portefeuille dans l'une des poches sur le dossier de la chaise du bistrot et qui sort pour dehors pour fumer sa clope ou passer un coup de fil sur son ibidule 
Denis Olivennes,à l'origine de l'Hadopi,a dirigé la FNAC de 2003 à mars 2008.J'espere qu'il vas sevir !!!
wagaf-d, le 27/07/2012 - 21:51 Vi, et si tu utilises un numéro de carte unique, le type qui te l'intercepte a l'air malin. A moins qu'il ait prévu le coup, et qu'il soit capable d'effectuer un achat qui ne dépasse pas le plafond de paiement de la carte virtuelle, avant que toi tu le fasse. wagaf-d, le 27/07/2012 - 21:51 Ce n'est pas qu'une question de confiance, c'est aussi une question de minimisation des risques. Et les affaires de non sécurisation des données de la part de grosses boîtes laisse à penser d'une part qu'il n'y a aucune raison de leur faire confiance, et d'autre part, que ne pas les laisser enregistrer les infos minimise les risques. wagaf-d, le 27/07/2012 - 21:51 Ben oui, parce que tu n'utilises pas les bons outils. 
***EN PRINCIPE*** !!! Moi je serais en face, je comprendrais "Oui bon c'est interdit mais si tu le fais quand même personne viendra te taper"...
En dehors du fait que je ne sois pas surpris, ca me rappelle une banque en ligne qui stoquais les mots de passe de ses clients dans des fichiers txt. En clair.
zig, le 27/07/2012 - 18:41  Certainement pas celui d'avoir un compte en banque...
Lennart, le 28/07/2012 - 07:51 T'es sérieux ou ironique? Dans le premier cas, il y a une différence entre un particulier et ses affaire perso et une société qui stocke les info de centaines de milliers de personnes. 
une seule solution pour les achats en ligne, la carte virtuel.
Après si en 2012 le mec paye avec sa vrai carte de crédit j'ai envie de lui dire qu'il se démerde on ne peut plus rien pour lui . Il aura tendu lui même le bâton pour se faire battre. une carte virtuel prend juste 5 seconde a faire alors stop la connerie. [message édité par erak le 28/07/2012 à 19:03
]
Ecarte Bleue, Ecarte Bleue, Ecarte Bleue !!!
https://www.google.f...lient=firefox-a Comment en 2012 donner encore son vrai N° de CB alors qu'il a tout pour faire ça 100% sécurisé ?! Évidemment un keylogger sur le pc non mis à jour/sans firewall-Antivirus de Mme Michou n'empêchera pas la fuite de données... Mais un pirate avec un N° unique sur un serveur mal sécurisé, n'en fera rien. [message édité par ol7 le 29/07/2012 à 18:18
]
Il y a qq années, à l'époque où l'enregistrement de la CB était obligatoire et où j'étais donc obligé de passer commande par téléphone, j'avais râler sur ce sujet et on m'avait répondu :
- mais, monsieur, tout cela est sécurisé. C'est ça, prends-moi pour un con, tu ne sais même pas ce que ça veut dire. Et même là, la FNAC est parvenu à sécuriser son stockage en un tournemain ? La sécurité ça ne consiste pas à simplement dire "c'est fait". C'est un ensemble de processus longs et complexes qui vont du papier qui traîne, du coup de fil aux sauvegardes ! Qu'est-ce qui nous dit que les sauvegardes ne sont pas en clair puis stockées chez un prestataire dont les portes restent grandes ouvertes le we ? N'ayez aucune confiance dans les marchands ! Cela concerne également la SNCF qui n'est pas PCI-DSS, loin de là !!! Db Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
Sujets liés :
LES + RECHERCHÉS
A VOIR AUSSI
Votre emploi informatique avec
   Télécharger
Accès rapide :
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
|
Avec plus de 7,7 millions de visiteurs uniques par mois au premier trimestre 2011, selon les données de la Fevad, le site de la Fnac est l'un des acteurs majeurs du commerce électronique en France. De ce fait, il n'est pas anormal d'attendre de la chaîne de magasins un haut niveau de sécurité pour assurer l'intégrité des paiements en ligne ainsi que la protection des informations personnelles.
Or, la Commission nationale de l'informatique et libertés a adressé un avertissement "en raison de manquements dans la conservation des données bancaires des clients", suite à plusieurs contrôles survenus en février dans les locaux de Fnac Direct, qui s'occupe du site web de la société. Et parmi les manquements relevés par l'autorité administrative indépendante se trouvent des conditions de sécurité insuffisantes.
La Fnac "conservait dans une même base, en clair, le nom du titulaire de la carte bancaire utilisée pour effectuer une transaction sur son site, la date de validité de cette carte et, parfois, le cryptogramme visuel, et dans un format insuffisamment sécurisé, le numéro de la carte. [...] Cette base comprenait les données relatives à plusieurs millions de cartes bancaires en cours de validité ou dont la durée de validité avait expiré, sans qu'elle n'ait fait l'objet de purge ou d'archivage".
Dans sa délibération (.pdf), la CNIL a pris soin de barbouiller les principales informations chiffrées. Mais il apparaît notamment en page huit que 780 000 cryptogrammes ont été enregistrés dans la base. Si "la conservation du cryptogramme visuel doit être considéré comme légitime dans le laps de temps" nécessaire à la transaction, ce stockage doit normalement être provisoire.
La CNIL souligne toutefois que les lacunes relevées lors du contrôle n'ont manifestement "pas porté préjudice aux clients". Aucun piratage de grande ampleur impliquant la Fnac ne s'est en tout cas produit. En réaction, la Fnac dit néanmoins avoir installé un "système de traitement et de conservation des données caractérisé par un haut niveau de sécurité".
Au-delà de la sécurisation des informations bancaires, la CNIL a mis en avant l'insuffisance de l'information délivrée au client en matière de conservation des données. L'autorité a rappelé "que la conservation des données bancaires au-delà de la réalisation d'une transaction ne peut se faire, en principe, qu'avec le consentement préalable de la personne concernée".
Lire la suite