Des devis de clients Darty se sont retrouvés référencés par Google, laissant fuiter des données personnelles. Contacté par nos soins, le revendeur a corrigé le souci. Il nous expose son « hypothèse la plus probable » pour l'expliquer et annonce un renforcement de sa sécurité.
Les fuites de données sont malheureusement de plus en plus monnaie courante, certaines étant plus graves que d'autres. Le cas dont il est question aujourd'hui est assez particulier. En effet, via une simple requête sur des moteurs de recherche, il était possible de trouver des devis de clients Darty contenant des informations personnelles.
Hébergés sur le site du revendeur, ils étaient librement accessibles. Ce n'est désormais plus le cas et nous avons bien entendu attendu que le cache des moteurs de recherche se vide avant de publier cette actualité. Contacté par nos soins, Darty nous donne des pistes pour expliquer cette fuite, qui ne concerne qu'une poignée de clients.
Explication probable : un copier/coller malheureux
En effet, 26 devis au format PDF appartenant à 25 clients différents étaient disponibles sur Darty.com. À l'intérieur, les nom, prénom, adresse, email, numéro de dossier, référence de l'appareil concerné (avec numéro de série, date d'achat, date de fin de garantie...), explication du problème, tarif de la réparation, etc.
Les devis « sont transmis aux clients via des URL aléatoires » nous explique un responsable du revendeur, ajoutant qu'il ne comprenait du coup pas comment ils avaient pu être référencés par Google. De plus, seuls 26 devis sont concernés alors que la plateforme en regroupe plusieurs dizaines de milliers.
Voici un exemple d'URL utilisé par Darty pour transmettre un devis à un client :
https://xxxx.darty.com/yyy/zzz/OGM0MzU2NWIxOTFiMGM1MWIyOWU2YzBkY2Y1xxxxxxx/22143yyyy.pdf
« L'hypothèse la plus probable étant que les liens ont été copiés/collés sur des forums » par les clients eux-mêmes, et ensuite repérés par les moteurs de recherche. « A priori, c'est techniquement la seule façon dont cela a pu se produire » ajoute le revendeur. On s'étonne tout de même qu'une telle section ne soit pas interdite aux moteurs ou qu'aucune vérification ne soit mise en place concernant l'accès à ces documents.
Lors de ses investigations, Darty est également tombé sur des devis uploadés tels quels sur des forums par des clients, ce qui le conforte dans son hypothèse de départ. « Sauf nouvelle hypothèse émise par notre DSI, c'est vraiment [les clients] qui ont volontairement mis les URL en ligne » nous confirme Darty.
La sécurité va être renforcée, les clients prévenus par email
Dans tous les cas, le revendeur nous précise qu'il « va sécuriser davantage ses devis, probablement avec un système de mot de passe ». Les 25 clients concernés vont être contactés via email par le revendeur. Ce dernier leur proposera au passage « un rappel à la prudence » pour éviter que cela ne se reproduise.
Une mesure de bon sens que chacun devrait suivre : il faut toujours être très prudent quant aux données personnelles, aux fichiers et aux liens que l'on peut transmettre en public sur Internet. Le cas d'aujourd'hui est le parfait exemple de documents qui se sont retrouvés référencés sur les moteurs de recherche, alors que cela n'aurait pas dû être le cas.
Comme toujours en pareille situation, le principal risque est une attaque par phishing : un pirate pourrait essayer de se faire passer pour Darty (en exploitant les informations contenues dans le devis) et ainsi tenter récupérer d'autres données, comme les identifiants et mot de passe du compte d'un client.
Commentaires (35)
#1
Contacté par nos soins, le revendeur a corrigé le souci. Il nous expose son « hypothèse la plus probable » pour l’expliquer et annonce un renforcement de sa sécurité.
La contrat de confesse
#2
“Les devis « sont transmis aux clients via des URL cryptées et aléatoires »”
" />
#3
Ya un SEO qui va se faire tapper sur les doigts pour ne pas avoir demandé de disallow pour les robots sur cette partie du site :p
#4
un problème de fuites, appellez dart……. ha bas nan en fait
#5
#6
alors :
" />
cryptées : -5 on dit chiffrées en français
Url chiffrés : -5 on peut chiffrer des paramètres mais jamais une url, une url est quelquechose de fixe et référencable ce n’est pas secure, un bon parc de zombie aurait pu aspirer le tout
“C ‘est techniquement la seule façon dont cela a pu se produire” : -10, non il y aussi pu avoir des typiaks qui ont sniffés le tout pour récupérer les données et ont posté sur diiférents sites (pastebin ?) pour pouvoir s’amuser.
bon ben 0/20 pour darty
#7
mal foutu leur truc.. qu’on envoie le devis par mail ok, mais il devrait pas rester accessible comme ça, ou alors via le compte client, et pas style passoire
" />
quoique les clients, à coller les devis sur des forums avec infos persos, ça me semble bien mérité aussi
#8
ça aurait pu être pire, ce n’est pas juste un compteur qui s’incrémente facture00001.pdf puis facture00002.pdf etc. (et oui on a déjà vu ça
" /> )
#9
#10
Ça a commencé avec le Y de Yahoo.
" />
Ça a fini avec le Y de Darty.
Ça recommencera avec le Y de qui du coup??
#11
#12
#13
Et sinon, concernant ces fuites sur internet, on va faire une enquête ?
google site:gouv.fr “ne pas diffuser”
Je n’ose même pas cliquer sur un de ces liens vu ce qui est arrivé à bluetouff il y a 2 ans.
#14
#15
Oui, au moins le fait que le paramètre dans l’url soit un tant soit peu chiffré limite un peu la portée.
Y a des plus gros groupes qui font pire avec juste un id qui s’incrémente…
Je sais pas trop si c’est le genre de “faille” qu’on peut remonter à l’anssi.
#16
#17
Ne pas diffuser ne veut pas dire ne pas consulter.
" />
#18
#19
Ton commentaire tout comme la phrase”On s’étonne tout de même qu’une telle section ne soit pas interdite aux moteurs” de l’article m’interpellent : n’avais-je point lu qu’on ne pouvait pas vraiment interdire quoi que ce soit aux robots d’indexation ? On peut leur demander gentiment de passer leur chemin, mais rien ne les oblige à obéir, semble-t-il.
(C’est d’ailleurs ce que dithttps://fr.wikipedia.org/wiki/Protocole_d%27exclusion_des_robots )
#20
#21
Captain Obvious à la rescousse : Il aurait du faire autrement
#22
#23
Celui-ciau moins peut être lu sans problème.
C’est un communiqué qui ne devait pas être diffusé dans certains pays.
Idem pour celui-là
#24
#25
On s’étonne tout de même qu’une telle section ne soit pas interdite aux moteurs ou qu’aucune vérification ne soit mise en place concernant l’accès à ces documents.
C’est étonnant, mais il est peu évident de bloquer l’accès à des documents aux moteurs de recherche, en particulier à Google.
Il existe plusieurs méthodes d’action pour limiter l’indexation d’un contenu web en ligne :
Ici, pour empêcher Google d’indexer les devis, il aurait fallu employer l’entête HTTP. Toutefois, celui-ci n’étant pas nécessairement généralement reconnu, on est plutôt amené à opter pour robots.txt, plus général. Malheureusement, robots.txt aurait empêché Google de lire l’entête HTTP, le rendant caduc. Certes, dans ce cas, les devis n’auraient pas fini dans le cache de Google.
D’autres solutions, peut-être plus simples, existent, comme l’exigence d’une connexion préalable à l’accès aux documents (mais cela rend l’accès moins intuitif, faisant abandonner certains clients), ou encore l’attachement du PDF aux emails de notification, au lieu d’une simple URL à cliquer (à supposer que l’URL transite à l’origine par email).
#26
Et tout le monde y va de son petit commentaire. “trop des nazes Darty”, “+1 lawl, Boulet de Darty”, et j’en passe.
Ce qui occasionne quelques petits recadrages; merci Amabka.
Typiquement le genre de personnage qui probablement utilise des services encore plus pourris sans pour autant le savoir (ou le comprendre).
Rappel de l’article; paragraphe 2:
“Les fuites de données sont malheureusement de plus en plus monnaie courante”
#27
Suivre les indications du robots.txt est facultatif. Les moteurs de recherche sérieux le suive (et Google aussi donc)
#28
Tu peux expliquer en quoi c’est pas bien ?
#29
Précision d’ailleurs sur la non indexation de ces résultats : en dehors de la secu des données ça serait CARRÉMENT rentable pour Darty de bloquer ces pages qui n’ont pas vocation a été indexées pour ne pas “pourrir” leur budget de crawl chez Google et donc diluer le crawl des pages qui ont réellement besoin d’être crawlés et indexés.
C’est con ‘javais une amie au SEO de Darty mais elle s’est barrée il y a des mois j’aurai pu la vanner facilement :p
#30
si elle s’est barré il y a des mois, c’est peut-être toujours ce qu’elle a fait qui est en place!
" />
#31
#32
#33
Sont cons les gens aussi…
#34
#35
samsung a fait une bourde dans le genre il y a quelques mois sur un lien de maj d’un compte pour une odr. a chaque refresh de la page, j’avais les coordonnées du dernier type qui avait tenté de s’enregistrer… et sur ce coup, le client n’y était pour rien, c’était entièrement la faute de samsung