Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions

Le partage de confiance
Internet 3 min
Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions

Des devis de clients Darty se sont retrouvés référencés par Google, laissant fuiter des données personnelles. Contacté par nos soins, le revendeur a corrigé le souci. Il nous expose son « hypothèse la plus probable » pour l'expliquer et annonce un renforcement de sa sécurité.

Les fuites de données sont malheureusement de plus en plus monnaie courante, certaines étant plus graves que d'autres. Le cas dont il est question aujourd'hui est assez particulier. En effet, via une simple requête sur des moteurs de recherche, il était possible de trouver des devis de clients Darty contenant des informations personnelles.

Hébergés sur le site du revendeur, ils étaient librement accessibles. Ce n'est désormais plus le cas et nous avons bien entendu attendu que le cache des moteurs de recherche se vide avant de publier cette actualité. Contacté par nos soins, Darty nous donne des pistes pour expliquer cette fuite, qui ne concerne qu'une poignée de clients. 

Explication probable : un copier/coller malheureux

En effet, 26 devis au format PDF appartenant à 25 clients différents étaient disponibles sur Darty.com. À l'intérieur, les nom, prénom, adresse, email, numéro de dossier, référence de l'appareil concerné (avec numéro de série, date d'achat, date de fin de garantie...), explication du problème, tarif de la réparation, etc. 

Les devis « sont transmis aux clients via des URL aléatoires » nous explique un responsable du revendeur, ajoutant qu'il ne comprenait du coup pas comment ils avaient pu être référencés par Google. De plus, seuls 26 devis sont concernés alors que la plateforme en regroupe plusieurs dizaines de milliers.

Voici un exemple d'URL utilisé par Darty pour transmettre un devis à un client :

https://xxxx.darty.com/yyy/zzz/OGM0MzU2NWIxOTFiMGM1MWIyOWU2YzBkY2Y1xxxxxxx/22143yyyy.pdf

« L'hypothèse la plus probable étant que les liens ont été copiés/collés sur des forums » par les clients eux-mêmes, et ensuite repérés par les moteurs de recherche. « A priori, c'est techniquement la seule façon dont cela a pu se produire » ajoute le revendeur. On s'étonne tout de même qu'une telle section ne soit pas interdite aux moteurs ou qu'aucune vérification ne soit mise en place concernant l'accès à ces documents.

Lors de ses investigations, Darty est également tombé sur des devis uploadés tels quels sur des forums par des clients, ce qui le conforte dans son hypothèse de départ. « Sauf nouvelle hypothèse émise par notre DSI, c'est vraiment [les clients] qui ont volontairement mis les URL en ligne » nous confirme Darty

Devis DartyDevis Darty

La sécurité va être renforcée, les clients prévenus par email 

Dans tous les cas, le revendeur nous précise qu'il « va sécuriser davantage ses devis, probablement avec un système de mot de passe ». Les 25 clients concernés vont être contactés via email par le revendeur. Ce dernier leur proposera au passage « un rappel à la prudence » pour éviter que cela ne se reproduise. 

Une mesure de bon sens que chacun devrait suivre : il faut toujours être très prudent quant aux données personnelles, aux fichiers et aux liens que l'on peut transmettre en public sur Internet. Le cas d'aujourd'hui est le parfait exemple de documents qui se sont retrouvés référencés sur les moteurs de recherche, alors que cela n'aurait pas dû être le cas.

Comme toujours en pareille situation, le principal risque est une attaque par phishing : un pirate pourrait essayer de se faire passer pour Darty (en exploitant les informations contenues dans le devis) et ainsi tenter récupérer d'autres données, comme les identifiants et mot de passe du compte d'un client.

35 commentaires
Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 08/11/17 à 16:26:18

Contacté par nos soins, le revendeur a corrigé le souci. Il nous expose son « hypothèse la plus probable » pour l'expliquer et annonce un renforcement de sa sécurité.

La contrat de confesse :chinois:

Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 08/11/17 à 16:29:47

"Les devis « sont transmis aux clients via des URL cryptées et aléatoires »":boulet:

Édité par dylem29 le 08/11/2017 à 16:31
Avatar de alliocha1805 Abonné
Avatar de alliocha1805alliocha1805- 08/11/17 à 16:31:03

Ya un SEO qui va se faire tapper sur les doigts pour ne pas avoir demandé de disallow pour les robots sur cette partie du site :p

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 08/11/17 à 16:32:13

un problème de fuites, appellez dart....... ha bas nan en fait

Avatar de jpaul Abonné
Avatar de jpauljpaul- 08/11/17 à 16:37:55

:un: ça n'a jamais été leur métier :D

Avatar de XMalek INpactien
Avatar de XMalekXMalek- 08/11/17 à 16:38:31

alors  :
cryptées : -5 on dit chiffrées en français
Url chiffrés : -5 on peut chiffrer des paramètres mais jamais une url, une url est quelquechose de fixe et référencable ce n'est pas secure, un bon parc de zombie aurait pu aspirer le tout
"C 'est techniquement la seule façon dont cela a pu se produire" :  -10, non il y aussi pu avoir des typiaks qui ont sniffés le tout pour récupérer les données et ont posté sur diiférents sites (pastebin ?) pour pouvoir s'amuser.

 bon ben 0/20 pour darty :D
 

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 08/11/17 à 16:39:52

mal foutu leur truc.. qu'on envoie le devis par mail ok, mais il devrait pas rester accessible comme ça, ou alors via le compte client, et pas style passoire

quoique les clients, à coller les devis sur des forums avec infos persos, ça me semble bien mérité aussi :sm:

Avatar de sylvere Abonné
Avatar de sylveresylvere- 08/11/17 à 16:43:06

ça aurait pu être pire, ce n'est pas juste un compteur qui s'incrémente facture00001.pdf puis facture00002.pdf etc. (et oui on a déjà vu ça :D )

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 08/11/17 à 16:47:37

jpaul a écrit :

:un: ça n'a jamais été leur métier :D

c'est vrai eux ils s'occupent des belle-mères qui s’électrocutent sur les machines à laver

Avatar de js2082 INpactien
Avatar de js2082js2082- 08/11/17 à 17:18:28

Ça a commencé avec le Y de Yahoo.

Ça a fini avec le Y de Darty.

Ça recommencera avec le Y de qui du coup?? :mad2:
 

Il n'est plus possible de commenter cette actualité.
Page 1 / 4