[raph37]

Bonjour à tous !

Voilà j'aimerais savoir si un site de vente sur internet doit protéger les factures de ses clients ?

Je me suis posé cette question en recevant un email automatique me donnant une adresse pour consulter ma facture en ligne.
Cette URL pointe sur un fichier php qui affiche le numéro de commande par le biais d'une variable GET ( ex: fact.php?numero=1000 ).

Sachant que n'importe quel utilisateur peut modifier la variable GET , il est donc possible d'afficher toutes les factures du site...

Est ce que ceci est légal et respecte la loi de confidentialité sur internet ?

Merci de votre aide

[Arlette]

Bonjour,

Citation

Sachant que n'importe quel utilisateur peut modifier la variable GET , il est donc possible d'afficher toutes les factures du site...

As tu essayé toi avec cette formule d'accéder à une autre commande que la tienne ?

D'abord une commande c'est différent d'une facture. Ensuite, une commande comme une facture est toujours rattachée à un client.

Une facture est liée à une commande qui est liée à un client.

Donc, il te faut le numéro de la commande + numéro du compte client pour obtenir l'affichage à mon sens. C'est donc pas gagné pour refaire tout le portefeuille de clientèle d'un concurrent !

[raph37]

Arlette, le 18 décembre 2011 - 19:08, dit :

Bonjour,



As tu essayé toi avec cette formule d'accéder à une autre commande que la tienne ?

D'abord une commande c'est différent d'une facture. Ensuite, une commande comme une facture est toujours rattachée à un client.

Une facture est liée à une commande qui est liée à un client.

Donc, il te faut le numéro de la commande + numéro du compte client pour obtenir l'affichage à mon sens. C'est donc pas gagné pour refaire tout le portefeuille de clientèle d'un concurrent !

Je me suis mal exprimé , le fichier fact.php?numéro=1000 génère la facture au format pdf concernant une commande passée et validée. Si je met un autre nombre comme 999 , j'ai la facture de la commande précédente qui s'affichera.
J'ai effectivement testé et je peux avoir les factures de toutes les commandes passées sur le site, avec le nom l'adresse les objets de la commande et les montants.

Alors , est ce que vous pensez que c'est légal ? car on expose des informations personnelles ... Merci !

[Jeanluc]

Bonjour,

Je ne connais aucun chef d'entreprise qui publierait volontairement le détail de ses factures. Ton fournisseur est probablement victime de l'insouciance (incompétence ?) du développeur. As-tu essayé d'en informer la direction de l'entreprise ?

Jean-Luc

[raph37]

Oui, c'est une étourderie ou due a l'incompétence du développeur, mais ce que je veux savoir c'est au point législatif , est ce que site respecte la loi de confidentialité des données sur internet ?
Je me demande aussi, si l'utilisateur ( moi ou quelqu'un d'autre ) change la variable pour tomber sur une autre facture , est ce que çà ne rend pas l'auteur coupable de tentative de copie de données "confidentiel" ?

Ce sont peut être des questions existancielles mais qui me permettrais d'en savoir plus

je n'ai pas encore fais la remarque aux concernés mais çà ne saurait tarder.

Ce message a été modifié par raph37 - 19 décembre 2011 - 03:03.

[Arlette]

Il n'y a pas de loi de confidentialité des données sur internet.

La loi dit simplement que pour donner les coordonnées de quelqu'un à une tierce personne il faut son accord. (Et pour les obtenir aussi, donc envoyer un mail piégé pour les récupérer sans son accord c'est la même loi qui intervient et c'est donc illégal ).

Dans le cas que tu exposes ici, ce n'est pas fait sciemment. Je rejoins Jean Luc, c'est une erreur de programmation qu'il serait sympa de signaler au propriétaire du site.

[Kulgar]

Arlette, le 19 décembre 2011 - 08:48, dit :

La loi dit simplement que pour donner les coordonnées de quelqu'un à une tierce personne il faut son accord.

Ouaip, tout ça c'est protégé par les articles 226-16 à 226-24 du code "nouveau code de procédures Pénales" dont voici les intitulés :
Section 5 Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques

J'aurais bien aimé retrouver les articles complets de la rubrique "226" sur la vie privée, mais je ne retrouve plus le site gouvernemental bien conçu répertoriant tous ces articles...

[Arlette]

Kulgar en droit il faut être précis.

La confidentialité des données est tout à fait différent de l'exploitation des données !

Donc, ce que je disais à raph37 c'est qu'il ne trouvera pas de loi relative à la "confidentialité". Et je lui fais simplement remarquer au passage que lorsqu'on vient montrer indirectement du doigt un site qui peut avoir fauté par négligeance, il faut faire en sorte que l'on te trouve pas sur internet des conseils prodigués par soi même, pour une opération qui est tout à fait illégale !

Sa question est :

Citation

Est ce que ceci est légal et respecte la loi de confidentialité sur internet ?

Et non :

Peut on exploiter les données que l'on peut trouver via un site mal conçu qui permet de récupérer les coordonnées de tous les clients d'un site

[Kulgar]

Ah oui tu as parfaitement raison... Je ne sais pas, en lisant entre les lignes de sa question, je me suis dit qu'il sous-entendait le problème d'exploitation de ces données...

Mais peut-être fais-je erreur ?

[raph37]

Je tiens a préciser que ce "bug" que j'ai constaté n'est en aucun cas pour récupérer ou utiliser des informations personnelles . Mais il est fort probable que je ne soit pas le seul a avoir constaté ceci, et il est possible qu'un concurrent ou autre exploite ces informations. Et c'est surtout que je n'ai pas envi de recevoir encore plus de pub dans ma boite aux lettres...

C'était juste pour savoir si la négligence d'un site pouvait avoir de mauvaises conséquences ou mettre dans l'illégalité un développeur ou le patron de la société. Pour celui qui exploite ces infos je me doute bien que ce n'est pas légal .

Donc si je comprend bien , il n'y a pas de loi de confidentialité, un site peut créer des liens très simples pour accéder à des infos personnelles du moment qu'il n'affiche/diffuse pas le lien sauf à la personne concernée. Même si ces liens sont très explicites comme dans mon exemple et qu'un enfant de 5ans pourrait comprendre le système.

La seule chose répréhensible/illégal serait l'exploitation des données, donc la personne qui pour s'amuserait a jouer avec le lien pour en utiliser le contenu.

Je trouve çà quand même fort qu'il n'y ai pas sur les sites marchants une obligations de sécuriser les informations. On ne devrait pouvoir les consulter que si l'utilisateur est connecté a son compte...

En tous les cas , merci pour votre aide

[Kulgar]

raph37, le 19 décembre 2011 - 17:48, dit :

Je trouve çà quand même fort qu'il n'y ai pas sur les sites marchants une obligations de sécuriser les informations. On ne devrait pouvoir les consulter que si l'utilisateur est connecté a son compte...

C'est le problème effectivement des lois : toujours en retard d'une bonne dizaine d'année par rapport aux pratiques. On le voit notamment avec l'Arjel : ça a mis le temps, mais maintenant les sites de jeux d'argent ont un niveau minimum de sécurité à respecter, et ce niveau est même plutôt élevé (en même temps, c'est normal).

Ca ne m'étonnerait pas que quelque chose d'équivalent sorte bientôt pour les sites marchands. Enfin... bientôt... dans 15/20 ans.

[Arlette]

raph37, le 19 décembre 2011 - 17:48, dit :

Donc si je comprend bien , il n'y a pas de loi de confidentialité, un site peut créer des liens très simples pour accéder à des infos personnelles du moment qu'il n'affiche/diffuse pas le lien sauf à la personne concernée. Même si ces liens sont très explicites comme dans mon exemple et qu'un enfant de 5ans pourrait comprendre le système.

La seule chose répréhensible/illégal serait l'exploitation des données, donc la personne qui pour s'amuserait a jouer avec le lien pour en utiliser le contenu.

Je crois que là c'est toi qui pousse le bouchon ! La législation ça va un moment, faut pas que cela tombe dans l'excés. On ne va pas légiférer dès qu'il y a une erreur faite par un programmateur !

Faudrait vraiment avoir rien d'autre à faire, que d'aller récupérer toutes les données d'un fichier client en allant afficher les unes après les autres des factures visibles à cause d'une erreur de programmation. Alors qu'il est si simple de copier : L'annuaire téléphonique. Faut arrêter la paranoia !

Il n'y a pas de loi qui m'interdit de laisser mon portefeuille sur le trottoir mais la loi t'interdit d'utiliser ou le prendre et te servir des CB ou papiers qu'y trouve dans la mesure ou c'est mon portefeuille et pas le tien. Et ce n'est pas parce que tu le trouveras sur le trottoir que cela te donne l'autorisation de l'utiliser ! C'est la même chose que ce que tu décris.

Faut il donc une loi m'interdisant de perdre mon portefeuille pour ne pas tenter le diable ?

[Kulgar]

Pour le coup, je suis d'accord avec toi Arlette.

Mais les sites marchands manipulent tout de même des données sensibles, fort heureusement il n'y a pas les numéros de carte bancaire sur ces factures (j'espère ? XD) mais si ils y étaient ça serait vraiment très grave, et là c'est le jackpot pour les pirates.

C'est sûr, on ne peut pas condamner les sites pour leur négligence (sauf si c'est délibéré bien entendu).

[Arlette]

Il faut aussi être consommateur responsable. Je pense que l'information passe (et repasse) bien. Avant de laisser son numéro de CB sur un site, on vérifie que l'on est bien sur un site dit "sécurisé" (de banque). Dans ce cas, le numéro de CB n'est jamais stocké chez le marchand !

A partir de là, il n'y a pas plus de risque de laisser son numéro de CB sur un site marchand, que de payer avec sa CB dans un magasin. Et oui, les tours de passe passe pour récupérer ton code et numéro de CB dans un magasin c'est aussi possible !

[raph37]

Il ne faut pas s'emporter non-plus , à t'entendre Arlette on dirait que tu te défend . J'ai jamais dit que je voulais me servir de la loi pour attaquer ou quoi que ce soit , je voulais juste savoir si il y avait des obligations de confidentialité quand on est webmarchant .

Je ne suis pas parano, c'est juste que je ne trouve pas çà vraiment pro de laisser des traces comme çà sur internet. Pour reprendre ton exemple, là c'est le site qui pose ton portefeuille sur le bord de son trottoir. Ou sinon la caissière qui crie ton numéro de carte bleu quand tu sors du magasin. lol

Puis bon , tu dis que la personne malveillante n'a qu'a prendre le bottin, ben ouais mais elle ne fera pas d'économie et perdra beaucoup de temps car tous le monde n'est pas intéressé par le type de produit qu'elle vend, du coup c'est pas mal pour cibler les personnes qui achètes ce genre de produits, non ? ( c'est des choses qui peuvent arriver, pas de paranoïa mais de la prévention )

Kulgar , heureusement , il n'y a pas le numéro de CB

[Kulgar]

Arlette, le 19 décembre 2011 - 19:26, dit :

Il faut aussi être consommateur responsable.

Oh, tu sais, la première chose qu'on apprend dès qu'on entre dans une formation en sécurité Web, c'est que la faille de sécurité principale c'est l'utilisateur.
Dans 70% à 80% des cas, les problèmes de sécurité sont liés à des utilisateurs (mauvaises manipulations, inattentions, crédulités, et j'en passe). Les 20% restant ce sont les attaques intentionnelles.

Franchement si tu grattes un peu de ce côté ça te fait vite froid dans le dos de voir à quel point les utilisateurs et consommateurs ne sont pas responsables justement. Quand je vois la tonne de chose que j'ai apprise dans le domaine de la sécurité Web et dont je n'avais même pas idée... La tonne de failles, la tonne d'actes non malicieux mais résultant quand même en failles de sécurité et surtout la tonne des attaques ingénieuses des pirates... je me dis qu'un utilisateur lambda ne pourra jamais être responsable sur le Web... ou alors il faudrait une sensibilisation à très grande échelle.

Franchement parmi tous les retours d'expériences de professionnels et chercheurs, mais aussi à travers mon passage à HSC, j'en ai vraiment entendu des vertes et des pas mûres. Les utilisateurs n'ont même pas idée du dixième de toutes les menaces qui trainent sur le Web.

Quand on passe en formation sécurité Web, étrangement on devient vite parano.

Raph : piouf, heureusement pour les numéros de CB. Sinon, quel bon filon pour un pirate : des numéros de CB gratos et rapidement acquis ! xD

[SanchoDellaVega]

Bonjour,

Je ne sais pas ce que dit la loi, mais c'est grave quand même comme problème. Et je ne suis pas d'accord avec Arlette : imagine que ce soit un site spécialisé en truc pas très catholique (spécialisé dans les colliers cloutés pour adultes par exemple). Hop, un petit programme qui récupère toute les factures et un gars mal intentionné peut faire chanter les clients du site.
Ou encore, un concurrent qui peut récupérer la liste de tous tes clients et qui te les piquent tous !

Sans parler bien sur du respect de la vie privée des gens.
(D'ailleurs, il y a quelques temps, il y avait eu une affaire comme celle-ci avec un gros site d'un opérateur téléphonique (je ne sais plus lequel). ça avait fait du grabuge à l'époque !)

Bref, à mon sens, l'erreur est grave !

[captain_torche]

C'est pour cela qu'il faut prévenir le propriétaire du site qui, une fois qu'il aura conscience du souci, devrait tout mettre en oeuvre pour bloquer l'accès à ces pages.

[Arlette]

SanchoDellaVega, le 19 décembre 2011 - 23:50, dit :

Bref, à mon sens, l'erreur est grave !

Je n'ai jamais dit que cela n'était pas grave. Je dis simplement qu'il faut arrêter de dire : "faut une loi pour punir le fautif".

J'ai des couteaux de toutes les tailles dans ma cuisine. C'est dangereux ! Si demain je tue mon conjoint avec l'un d'un (je sais, faudra que je me lève de bonne heure ). Je serais punie pour l'avoir tué. Ni le fabricant et encore moins le marchand ne seront condamnés ou même poursuivis pour me les avoir vendus.

C'est la même chose que si je laisse ma porte non fermée à clé. Ça n'autorise personne à venir regarder ou se servir chez moi ! Dans le cas qui nous préoccupe c'est un peu ce qui se passe. Le gars il a laissé sa porte ouverte (il a oublié de la fermer à clé, ça arrive à tout le monde une étourderie non ?) , on l'informe et basta ! En espérant qu'il n'y aura pas de dégâts chez lui.

[Wolf18]

Arlette, le 19 décembre 2011 - 19:05, dit :

Faut il donc une loi m'interdisant de perdre mon portefeuille pour ne pas tenter le diable ?

Je ne voudrais pas parler de choses que je ne maîtrise pas bien, mais il me semble que l'incitation au vol est déjà quelque chose de répréhensible non ?