Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Cookies de connexion, tracking des utilisateurs : les failles (corrigées) de Boursorama

Au milieu de l’été, Pixel de tracking a découvert une faille de sécurité sur les données de connexion de la banque en ligne : « la filiale de la Société Générale permet à AT Internet et à Smart AdServer d'accéder à votre compte bancaire », affirme le site.

Pour résumer, l’explication se trouve dans la gestion des cookies et le suivi des utilisateurs. AT Internet (ex-Xiti) « se dissimule donc chez Boursorama : un sous-domaine Boursorama qui n'attire pas l'attention (c0011.boursorama.com), mais qui pointe vers un obscur domaine (at-o.net) ». On retrouve plus ou moins la même chose avec Smart AdServer.

Les risques sont importants : « Si le site partenaire n'a pas pris ses précautions, AT Internet peut lire tous les cookies déposés, et pas simplement les cookies créés par AT Internet ». C’est notamment le cas de ceux servant à rester connecté. Le danger reste limité, car la session expire au bout d'un certain temps, mais « cela veut dire qu'un employé mal intentionné d'AT Internet peut se connecter au compte Boursorama Banque de n'importe qui. Menace théorique bien sûr, cet employé devra avoir les compétences techniques et le bon niveau d'autorisation pour analyser les logs serveurs ».

Dans une mise à jour du 11 août, Pixel de tracking précise que le problème est résolu : « les données envoyées à AT Internet passent désormais par le domaine c0012.brsimg.com, celles envoyées à Smart AdServer passent par plusieurs domaines dont ww16.smartadserver.com ». Mais ce n’était pas le seul point noir identifié : si vous « refusez le pistage, Boursorama n'en tient pas compte ». La situation s’est également améliorée : « Boursorama respecte maintenant votre choix si vous refusez d'être pisté sur le web (excepté pour AT Internet qui dispose d'une exemption de la CNIL) ».

Il reste néanmoins du travail pour notre confrère : « Boursorama a toujours une attitude hostile envers les utilisateurs d'adblock, et ne vous permet pas de refuser le pistage sur son App iOS, mais c'est déjà un gros progrès ». Il a d'ailleurs depuis publié un nouvel article en s'intéressant aux pratiques du site du journal Le Monde.

4 commentaires
Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 31/08/20 à 11:17:54

Ouais le popup à chaque connexion à son compte bancaire: veuillez désactiver votre bloqueur de publicité... heureusement que c'est "gratuit" (sans compter les commissions CB qu'on paie aux commerçants), sinon j'aurais fuit ailleurs depuis longtemps :langue:

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 31/08/20 à 11:36:19

Et pour l'article qui détail les pratiques du monde.fr : les premiers à donner des leçons aux autres (cons d'électeurs contre la constitution néolibéraliste de l'UE en 2005...), sont les premiers à violer la loi de cette UE (RGPD) dans le dos de leurs lecteurs :fr:

Avatar de vince120 Abonné
Avatar de vince120vince120- 31/08/20 à 15:21:34

ProFesseur Onizuka a écrit :

Ouais le popup à chaque connexion à son compte bancaire: veuillez désactiver votre bloqueur de publicité... heureusement que c'est "gratuit" (sans compter les commissions CB qu'on paie aux commerçants), sinon j'aurais fuit ailleurs depuis longtemps :langue:

Caisse d'Epargne fait pire : si tu désactives pas ton adblocker, la page de saisie du mdp ne charge pas (et aucune info pour te prévenir)

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 01/09/20 à 12:10:18

vince120

:eeek2:

Il n'est plus possible de commenter cette actualité.