Acer annonce s'être fait dérober des données personnelles de près de 34 500 clients ayant effectué des achats entre mai 2015 et avril 2016. Il est question des noms, adresses ainsi que des numéros de carte bancaire.
Alors que les fuites de données remontent régulièrement à la surface ces dernières semaines (même s'il s'agit parfois de données anciennes), le cas d'Acer est plus problématique. La société explique en effet à certains clients qu'elle s'est non seulement fait dérober des noms et des adresses, mais aussi des informations bancaires.
Dans une lettre envoyée aux clients concernés, elle explique que cela comprend le numéro de carte de paiement, la date d'expiration ainsi que le cryptogramme visuel (les trois chiffres au dos de la carte). Elle précise que les identifiants ainsi que les mots de passe ne sont a priori pas concernés, maigre consolation.
Bien évidemment, Acer explique avoir pris des mesures pour renforcer sa sécurité et pour colmater cette brèche, sans donner de précision sur les tenants et les aboutissants de cette affaire, si ce n'est que les clients concernés ont effectués des achats entre le 12 mai 2015 et le 28 avril 2016. Selon nos confrères de ZDNet qui citent un porte-parole de la société, 34 500 clients seraient ainsi touchés, et ils seraient tous basés aux États-Unis, au Canada ou à Porto Rico.
Le fabricant joint à son courrier un « guide des ressources » afin de venir en aide aux clients impactés, tout en leur recommandant de scruter attentivement leur relevé bancaire. De plus, une protection d'un an à Annual Credit Report est proposée.
Commentaires (57)
#1
Ouf, les pirates ont ma carte mais pas mon mail !
#2
Ça veut dire qu’Acer ne chiffrait pas les information bancaires ?
#3
Des p’tits trous, des p’tits trous, toujours des p’tits trous
#4
1 an de piratage ?
Rien que ça ?
Leur système a été vérolé pendant 1 an avant u’ils s’en rendent compte, ou ils conservaient les numéros de carte bancaire sur un serveur après achat ?
Dans les deux cas, c’est totalement aberrant, mais je trouve le deuxième cas inadmissible.
Les informations bancaires transmises devraient être immédiatement supprimées des serveurs après utilisation.
#5
Bande de branlos !
#6
Est ce qu’Acer était assuré contre ce risque? …
#7
Les données volées sont chiffrées ou pas?
#8
Ils gardent les informations bancaires… Sérieusement ? Oo manquerai plus que cela soit en clair et je rigole…
Mais heureusement, les clients qui ont perdu leur sous peuvent toujours accéder à leur compte et acheter un produit acer s’il le souhaite… Ce que je ne pense pas et je pense meme qu’il ne vont pas revenir de sitôt les voir.^^’
#9
#10
Avec le nombre de systèmes de paiement en ligne disponibles aujourd’hui, je ne comprends même pas qu’une entreprise prenne le risque de récupérer le numéro de carte bancaire de ses clients …
#11
En lisant l’article, je pensais justement à Amazon. Le jour à ça arrivera ça risque de faire très mal …
Et puis c’est pas parce que certain le font que c’est une pratique raisonnable :)
#12
#13
Bon en même temps, pour Paypal ça me semble un peu logique, vu la finalité du site.
Pour Amazon, effectivement, c’est moins normal. Pour ma part, je la supprime toujours après avoir fait des achats, même si ça ne m’étonnerait pas qu’ils la conservent quelque part quand même …
#14
#15
#16
#17
Pour tous ceux qui font “Rhoooo ils gardent ceci ou cela”. Parce qu’on a vraiment l’impression que ce n’est pas vraiment maîtrisé.
On peut parfaitement garder des informations comme des empruntes chiffrées des informations transmises par les clients. Il suffit d’utiliser un système de chiffrement (“maison” ou pas). CAD l’information originale du client n’est pas conservée mais seulement une chaîne de caractère bien longue issue d’un chiffrement voir d’une série de chiffrement à la suite.
Quand le client se connecte à nouveau et retransmet les mêmes informations, le site peut contrôler la véracité de l’information en comparant les deux empruntes. Celle qu’il vient de recevoir et transforme avec son algorithme et celle déjà transformé qu’il a conservé . Si cela colle il peut transmettre au site bancaire (ou laisser le client se connecter). Il ne conserve donc rien en clair.
Ce genre de chiffrement doit être irréversible pour que cela soit efficace. C’est la bonne vieille “somme de contrôle” à la mode cryptographique. Donc, même avec une fuite de donnée, on ne pourra pas retrouver les informations originales. Cela protège tout le monde.
C’est un moyen, il y en à d’autre. Utilisation d’un tiers, etc…
Toutefois il est vrai que ce genre d’événement pose bien des questions sur les sites commerciaux en général. C’est normalement inimaginable de la part d’un Acer ou d’un Amazon de conserver des informations de ce type en clair. Mais bon plus c’est gros plus ça a de chance d’exister.
#18
#19
#20
#21
Acer : la sécurité made in Taiwan
" />
#22
Tu as raison c’est du hachage.
Toutefois je ne te rejoins pas sur l’autre point.
Ca sert a faire du contrôle :
-avant d’envoyer les informations bancaires au prestataire CB. Ça évite le numéro erroné. Les refus bancaire sont du traitement inutile. Avec les volumes qu’ils font…
-pour savoir si c’est bien ton client habituel. en conjonction avec d’autres paramètre (un cookie IDentifiant bien placé, même IP etc). Certains vont dire que c’est invasif… comptez le nombre de cookies que vous avez sur votre machine, merci…
Il existe bien des moyens pour faire en sorte que le client ne ressaisisse pas les informations bancaire et sans les stocker sur le site.
#23
Oh, tu m’apprends un truc sur Amazon.
Je ne m’en soucis pas vraiment car je donne que des cartes temporaire générer par ma banque donc je me dis que c’est bon. ^^’
Si je vais voir dans les listes des cartes qui sont enregistrer, je vais avoir un bon paquet je sens. ^^’
#24
Dommage mais la CNIL dit qu’il faut que ce soit cryptés et non hashé
https://www.cnil.fr/fr/un-site-marchand-peut-il-conserver-mes-donnees-bancaires
Quelles sont les obligations des éditeurs de sites marchands en matière de sécurité et de confidentialité concernant les données bancaires ?La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit “fort”. Cela signifie que les données bancaires sont rendues incompréhensibles sauf pour l’éditeur du site internet. L’accès au fichier contenant ces données doit également être restreint au sein du personnel du site internet. Les accès et les liaisons au site marchand doivent être également sécurisés. Cela signifie que l’adresse des pages des formulaires de paiement doit être en https par exemple, ce que vous pouvez vérifier en regardant l’adresse du site.
#25
Acer, la boîte taiwanaise typique qui se moque complétement des dépenses “inutiles” comme le contrôle qualité, le support technique ou la sécurité des clients.
Je n’attends qu’une chose, c’est qu’ils coulent. A mettre dans le même panier que HTC. Le plus triste dans l’affaire c’est que ça ne servira même pas de leçon aux autres.
#26
Il y a des choses à acheter chez Acer ?
#27
#28
#29
S’ils veulent conserver les infos, au moins qu’ils en masquent une partie !
1234 XXXX 5678 XXXX par exemple !
Et même avec ça… A quoi cela leur sert de stocfker le numéro de CB, une fois que la transaction est validée ?
#30
Effectivement…
correcteur automatik deux marde.
#31
Bah, ils peuvent les garder les information bancaire… ce n’est pas cela qui est grave, si c’est bien crypter et sécuriser.
Je me souviens sur un site, il me demandé les 4 derniers chiffres de la CB et toujours le cryptogramme pour valider l’opérateur. Des fois, cela varié. Mais il demandait toujours une information pour completer les informations.
Ils gardent les informations pour pousser au achat compulsif. Pas la peine d’aller chercher ta CB pour payer, tu n’as juste qu’a cliquer. :)
#32
Ils conservent les données, probablement pour faciliter les paiements recurrents, ou pour les achats de type achat-en-un-click ©.
#33
Éviter au client de devoir retaper toute les informations probablement.
C’est plus facile de se souvenir des 4 derniers chiffre de la CB que de tous.
et ainsi, faciliter les achats compulsifs… ^^
De même pour le cryptogramme…
#34
#35
#36
#37
“De plus, une protection d’un an à Annual Credit Report est proposée.“C’est cool les fuites de données, là ou il y a du risque il y a de l’assurance…[nota : ici aussi il y a un certain nombre de coquilles, pas de relecture par un tiers ?)
#38
Si on en croit Fred42, les marchands n’ont pas besoin de faire ça : ils reçoivent un numéro de transaction unique et réutilisable. Ça conforte ce que j’avais lu à ce sujet. Il me semble que les établissements comme VISA sont très stricts et n’autorisent pas les intermédiaires à stocker des données sensibles comme le crpytogramme.
" />
Donc pour Acer :
#39
#40
#41
Il faut punir ces gens la qui store nos données personelle, et bancaire !!!!! c’est du vol, meme si c’est inscrit dans leurs T.O.S
IRL meme avec une T.O.S tu vas quand meme en prison pour ca
#42
#43
#44
#45
cool story bro, je préfère être naïf de vouloir mieux que penser que les choses sont comme elle sont et que rien ne peut etre changer
Je refuse d’accepter ca, tu es libre de laisser ton fion en open bar par contre
#46
#47
Une question : est-ce que les lois sur les rétentions d edonnées bancaire diffèrent entre l’amérique du nord et l’europe?
#48
#49
#50
#51
Pas nécessairement en fait.
J’ai déjà bossé sur l’implémentation de tels systèmes de paiement, avec au final le même usage que sur amazon (carte “enregistrée” coté e-commerçant), et les infos de carte ne sont pas nécessairement conservées en entier.
Dans mon cas le système fonctionnait comme ça :
Conserver la date de validité est utile pour ne pas proposer au client d utiliser une carte expirée, les derniers numéros sont utiles pour le client afin qu’il sache quelle carte il utilise, et pour éventuellement retrouver plus facilement les transactions faites avec une carte volée, en cas de requête des autorités ou de plainte d’un “client”.
Le risque de sécurité est minime, les infos de cartes stockées n’étant pas suffisantes pour s’en servir, et les autorisations de prélèvement ne sont pas exploitables par des pirates (ils pourraient en théorie piquer l’argent des clients pour le donner au commerçant piraté, mais impossible d’en tirer profit)
Il y a bien sur des règles de sécurité bien plus strictes à suivre lorsqu’on traite des numéros de CB que lorsqu’on renvoit les clients sur une page de paiement d’une banque, mais c’est controlé.
Au final, moi qui refusait toujours de sauver mes infos bancaires, maintenant que je sais comment ça peut marcher, je me laisse parfois tenter. En général le plus gros frein c’est quand le site permet trop facilement de valider sa commande, trop propice aux erreurs à mon gout ;)
#52
Le sous-titre à un rapport avec le nom latin de l’érable (l’arbre) : acer ? Si oui, je dis chapeau !
#53
Peut être y a t-il des astuce avec la localisation du site. Après tout un site étranger et basé a l’étranger doit-il répondre et se conformer au recommandation de la CNIL? Si oui, je ne suis pas certain qu’un chinois comprenne bien la chose.
Et comme trekker92 le rappelle, l’incompétence a un prix. Donc ils s’en foutent. Jusqu’au moment ou le ticket coûtera plus cher que de faire les choses proprement. Bref, ce n’est pas près de s’arrêter.
#54
Ah, les coordonnées bancaires étaient stockées en clair ?
" />
#55
En fait le système décrit par fred42 est la tokenization et le plus répandu. Normalement le seul admis pour le stockage d’information de paiement pour un site (qui au passage doit , pour avoir le droit de gérer des CB etre conforme a plusieurs règles décrite par le standard PCI-DSS)
Ce systeme est un standard monétique qui permet en effet de stocker un jeton à la place du numéro de carte et qui est associé à des conditions et un contexte pour faire le paiement. le marchand peut ainsi permettre d’effectuer des paiements ultérieurs avec ce jeton mais personne d’autre, le récupérer ne sert à rien pour un attaquant.
Donc Acer pour avoir le droit de traiter des CB aurait du etre conforme a PCI-DSS et s’il était conforme a n’aurait jamais eu ce type de traitement. apres c’est la magie de la conformité, faut que quelqu’un controle…
#56
pour info la norme PCI-DSS 3.0 interdit le stockage des “Numéro de compte primaire” et du code de sécurité “CAV2/CVC2/CVV2/CID”
#57
Stockage du PAN en clair est interdit
Extrait de la norme PCI-DSS
Les PAN stockés sur les supports de stockageprincipal (bases de données ou fichiers platscomme les feuilles de calcul) et autres supportssecondaires (sauvegardes ou journaux d’audit,d’anomalies ou de dépannage) doivent tous êtreprotégés.Les fonctions de hachage unilatéral reposant surune cryptographie robuste peuvent être utiliséespour rendre les données du titulaire illisibles. Cesfonctions de hachage sont appropriées lorsqu’iln’est pas nécessaire de récupérer le numérod’origine (le hachage unilatéral est irréversible). Ilest recommandé, bien que ce ne soit pas unecondition, qu’une valeur supplémentaire aléatoiresoit ajoutée aux données du titulaire avant lehachage pour réduire la possibilité qu’un piratepuisse comparer les données (et découvrir lePAN) à des tableaux de valeurs de hachage pré-calculées.La troncature vise à ne stocker qu’une partieseulement du PAN (sans dépasser les sixpremiers et les quatre derniers chiffres).Un « jeton d’index » est un élémentcryptographique qui remplace le PAN en fonctiond’un indice donné, par une valeur imprévisible. Unpad ponctuel est un système dans lequel une cléprivée, générée de façon aléatoire, est utiliséeune seule fois pour crypter un message, qui estensuite décrypté à l’aide de la clé et du padponctuel correspondant.L’objectif de la cryptographie robuste (selon ladéfinition du Glossaire des termes, abréviations etacronymes PCI DSS et PA-DSS) est de fonder lecryptage sur un algorithme testé et accepté par lesecteur (non pas un algorithme exclusif ou «développé en interne »), avec de robustes cléscryptographiques.En corrélant les versions hachées et tronquéesd’un PAN donné, un individu malveillant peutfacilement reconstituer le PAN d’origine. Descontrôles empêchant la corrélation de cesdonnées permettront de garantir que le PANd’origine reste illisible.