raph37 Posted December 18, 2011 Posted December 18, 2011 Bonjour à tous ! Voilà j'aimerais savoir si un site de vente sur internet doit protéger les factures de ses clients ? Je me suis posé cette question en recevant un email automatique me donnant une adresse pour consulter ma facture en ligne. Cette URL pointe sur un fichier php qui affiche le numéro de commande par le biais d'une variable GET ( ex: fact.php?numero=1000 ). Sachant que n'importe quel utilisateur peut modifier la variable GET , il est donc possible d'afficher toutes les factures du site... Est ce que ceci est légal et respecte la loi de confidentialité sur internet ? Merci de votre aide
Arlette Posted December 18, 2011 Posted December 18, 2011 Bonjour, Sachant que n'importe quel utilisateur peut modifier la variable GET , il est donc possible d'afficher toutes les factures du site... As tu essayé toi avec cette formule d'accéder à une autre commande que la tienne ? D'abord une commande c'est différent d'une facture. Ensuite, une commande comme une facture est toujours rattachée à un client. Une facture est liée à une commande qui est liée à un client. Donc, il te faut le numéro de la commande + numéro du compte client pour obtenir l'affichage à mon sens. C'est donc pas gagné pour refaire tout le portefeuille de clientèle d'un concurrent !
raph37 Posted December 18, 2011 Author Posted December 18, 2011 Bonjour, As tu essayé toi avec cette formule d'accéder à une autre commande que la tienne ? D'abord une commande c'est différent d'une facture. Ensuite, une commande comme une facture est toujours rattachée à un client. Une facture est liée à une commande qui est liée à un client. Donc, il te faut le numéro de la commande + numéro du compte client pour obtenir l'affichage à mon sens. C'est donc pas gagné pour refaire tout le portefeuille de clientèle d'un concurrent ! Je me suis mal exprimé , le fichier fact.php?numéro=1000 génère la facture au format pdf concernant une commande passée et validée. Si je met un autre nombre comme 999 , j'ai la facture de la commande précédente qui s'affichera. J'ai effectivement testé et je peux avoir les factures de toutes les commandes passées sur le site, avec le nom l'adresse les objets de la commande et les montants. Alors , est ce que vous pensez que c'est légal ? car on expose des informations personnelles ... Merci !
Jeanluc Posted December 18, 2011 Posted December 18, 2011 Bonjour, Je ne connais aucun chef d'entreprise qui publierait volontairement le détail de ses factures. Ton fournisseur est probablement victime de l'insouciance (incompétence ?) du développeur. As-tu essayé d'en informer la direction de l'entreprise ? Jean-Luc
raph37 Posted December 19, 2011 Author Posted December 19, 2011 (edited) Oui, c'est une étourderie ou due a l'incompétence du développeur, mais ce que je veux savoir c'est au point législatif , est ce que site respecte la loi de confidentialité des données sur internet ? Je me demande aussi, si l'utilisateur ( moi ou quelqu'un d'autre ) change la variable pour tomber sur une autre facture , est ce que çà ne rend pas l'auteur coupable de tentative de copie de données "confidentiel" ? Ce sont peut être des questions existancielles mais qui me permettrais d'en savoir plus je n'ai pas encore fais la remarque aux concernés mais çà ne saurait tarder. Edited December 19, 2011 by raph37
Arlette Posted December 19, 2011 Posted December 19, 2011 Il n'y a pas de loi de confidentialité des données sur internet. La loi dit simplement que pour donner les coordonnées de quelqu'un à une tierce personne il faut son accord. (Et pour les obtenir aussi, donc envoyer un mail piégé pour les récupérer sans son accord c'est la même loi qui intervient et c'est donc illégal ). Dans le cas que tu exposes ici, ce n'est pas fait sciemment. Je rejoins Jean Luc, c'est une erreur de programmation qu'il serait sympa de signaler au propriétaire du site.
Kulgar Posted December 19, 2011 Posted December 19, 2011 La loi dit simplement que pour donner les coordonnées de quelqu'un à une tierce personne il faut son accord. Ouaip, tout ça c'est protégé par les articles 226-16 à 226-24 du code "nouveau code de procédures Pénales" dont voici les intitulés : Section 5 Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques J'aurais bien aimé retrouver les articles complets de la rubrique "226" sur la vie privée, mais je ne retrouve plus le site gouvernemental bien conçu répertoriant tous ces articles...
Arlette Posted December 19, 2011 Posted December 19, 2011 Kulgar en droit il faut être précis. La confidentialité des données est tout à fait différent de l'exploitation des données ! Donc, ce que je disais à raph37 c'est qu'il ne trouvera pas de loi relative à la "confidentialité". Et je lui fais simplement remarquer au passage que lorsqu'on vient montrer indirectement du doigt un site qui peut avoir fauté par négligeance, il faut faire en sorte que l'on te trouve pas sur internet des conseils prodigués par soi même, pour une opération qui est tout à fait illégale ! Sa question est : Est ce que ceci est légal et respecte la loi de confidentialité sur internet ? Et non : Peut on exploiter les données que l'on peut trouver via un site mal conçu qui permet de récupérer les coordonnées de tous les clients d'un site
Kulgar Posted December 19, 2011 Posted December 19, 2011 Ah oui tu as parfaitement raison... Je ne sais pas, en lisant entre les lignes de sa question, je me suis dit qu'il sous-entendait le problème d'exploitation de ces données... Mais peut-être fais-je erreur ?
raph37 Posted December 19, 2011 Author Posted December 19, 2011 Je tiens a préciser que ce "bug" que j'ai constaté n'est en aucun cas pour récupérer ou utiliser des informations personnelles . Mais il est fort probable que je ne soit pas le seul a avoir constaté ceci, et il est possible qu'un concurrent ou autre exploite ces informations. Et c'est surtout que je n'ai pas envi de recevoir encore plus de pub dans ma boite aux lettres... C'était juste pour savoir si la négligence d'un site pouvait avoir de mauvaises conséquences ou mettre dans l'illégalité un développeur ou le patron de la société. Pour celui qui exploite ces infos je me doute bien que ce n'est pas légal . Donc si je comprend bien , il n'y a pas de loi de confidentialité, un site peut créer des liens très simples pour accéder à des infos personnelles du moment qu'il n'affiche/diffuse pas le lien sauf à la personne concernée. Même si ces liens sont très explicites comme dans mon exemple et qu'un enfant de 5ans pourrait comprendre le système. La seule chose répréhensible/illégal serait l'exploitation des données, donc la personne qui pour s'amuserait a jouer avec le lien pour en utiliser le contenu. Je trouve çà quand même fort qu'il n'y ai pas sur les sites marchants une obligations de sécuriser les informations. On ne devrait pouvoir les consulter que si l'utilisateur est connecté a son compte... En tous les cas , merci pour votre aide
Kulgar Posted December 19, 2011 Posted December 19, 2011 Je trouve çà quand même fort qu'il n'y ai pas sur les sites marchants une obligations de sécuriser les informations. On ne devrait pouvoir les consulter que si l'utilisateur est connecté a son compte... C'est le problème effectivement des lois : toujours en retard d'une bonne dizaine d'année par rapport aux pratiques. On le voit notamment avec l'Arjel : ça a mis le temps, mais maintenant les sites de jeux d'argent ont un niveau minimum de sécurité à respecter, et ce niveau est même plutôt élevé (en même temps, c'est normal). Ca ne m'étonnerait pas que quelque chose d'équivalent sorte bientôt pour les sites marchands. Enfin... bientôt... dans 15/20 ans.
Arlette Posted December 19, 2011 Posted December 19, 2011 Donc si je comprend bien , il n'y a pas de loi de confidentialité, un site peut créer des liens très simples pour accéder à des infos personnelles du moment qu'il n'affiche/diffuse pas le lien sauf à la personne concernée. Même si ces liens sont très explicites comme dans mon exemple et qu'un enfant de 5ans pourrait comprendre le système. La seule chose répréhensible/illégal serait l'exploitation des données, donc la personne qui pour s'amuserait a jouer avec le lien pour en utiliser le contenu. Je crois que là c'est toi qui pousse le bouchon ! La législation ça va un moment, faut pas que cela tombe dans l'excés. On ne va pas légiférer dès qu'il y a une erreur faite par un programmateur ! Faudrait vraiment avoir rien d'autre à faire, que d'aller récupérer toutes les données d'un fichier client en allant afficher les unes après les autres des factures visibles à cause d'une erreur de programmation. Alors qu'il est si simple de copier : L'annuaire téléphonique. Faut arrêter la paranoia ! Il n'y a pas de loi qui m'interdit de laisser mon portefeuille sur le trottoir mais la loi t'interdit d'utiliser ou le prendre et te servir des CB ou papiers qu'y trouve dans la mesure ou c'est mon portefeuille et pas le tien. Et ce n'est pas parce que tu le trouveras sur le trottoir que cela te donne l'autorisation de l'utiliser ! C'est la même chose que ce que tu décris. Faut il donc une loi m'interdisant de perdre mon portefeuille pour ne pas tenter le diable ?
Kulgar Posted December 19, 2011 Posted December 19, 2011 Pour le coup, je suis d'accord avec toi Arlette. Mais les sites marchands manipulent tout de même des données sensibles, fort heureusement il n'y a pas les numéros de carte bancaire sur ces factures (j'espère ? XD) mais si ils y étaient ça serait vraiment très grave, et là c'est le jackpot pour les pirates. C'est sûr, on ne peut pas condamner les sites pour leur négligence (sauf si c'est délibéré bien entendu).
Arlette Posted December 19, 2011 Posted December 19, 2011 Il faut aussi être consommateur responsable. Je pense que l'information passe (et repasse) bien. Avant de laisser son numéro de CB sur un site, on vérifie que l'on est bien sur un site dit "sécurisé" (de banque). Dans ce cas, le numéro de CB n'est jamais stocké chez le marchand ! A partir de là, il n'y a pas plus de risque de laisser son numéro de CB sur un site marchand, que de payer avec sa CB dans un magasin. Et oui, les tours de passe passe pour récupérer ton code et numéro de CB dans un magasin c'est aussi possible !
raph37 Posted December 19, 2011 Author Posted December 19, 2011 Il ne faut pas s'emporter non-plus , à t'entendre Arlette on dirait que tu te défend . J'ai jamais dit que je voulais me servir de la loi pour attaquer ou quoi que ce soit , je voulais juste savoir si il y avait des obligations de confidentialité quand on est webmarchant . Je ne suis pas parano, c'est juste que je ne trouve pas çà vraiment pro de laisser des traces comme çà sur internet. Pour reprendre ton exemple, là c'est le site qui pose ton portefeuille sur le bord de son trottoir. Ou sinon la caissière qui crie ton numéro de carte bleu quand tu sors du magasin. lol Puis bon , tu dis que la personne malveillante n'a qu'a prendre le bottin, ben ouais mais elle ne fera pas d'économie et perdra beaucoup de temps car tous le monde n'est pas intéressé par le type de produit qu'elle vend, du coup c'est pas mal pour cibler les personnes qui achètes ce genre de produits, non ? ( c'est des choses qui peuvent arriver, pas de paranoïa mais de la prévention ) Kulgar , heureusement , il n'y a pas le numéro de CB
Kulgar Posted December 19, 2011 Posted December 19, 2011 Il faut aussi être consommateur responsable. Oh, tu sais, la première chose qu'on apprend dès qu'on entre dans une formation en sécurité Web, c'est que la faille de sécurité principale c'est l'utilisateur. Dans 70% à 80% des cas, les problèmes de sécurité sont liés à des utilisateurs (mauvaises manipulations, inattentions, crédulités, et j'en passe). Les 20% restant ce sont les attaques intentionnelles. Franchement si tu grattes un peu de ce côté ça te fait vite froid dans le dos de voir à quel point les utilisateurs et consommateurs ne sont pas responsables justement. Quand je vois la tonne de chose que j'ai apprise dans le domaine de la sécurité Web et dont je n'avais même pas idée... La tonne de failles, la tonne d'actes non malicieux mais résultant quand même en failles de sécurité et surtout la tonne des attaques ingénieuses des pirates... je me dis qu'un utilisateur lambda ne pourra jamais être responsable sur le Web... ou alors il faudrait une sensibilisation à très grande échelle. Franchement parmi tous les retours d'expériences de professionnels et chercheurs, mais aussi à travers mon passage à HSC, j'en ai vraiment entendu des vertes et des pas mûres. Les utilisateurs n'ont même pas idée du dixième de toutes les menaces qui trainent sur le Web. Quand on passe en formation sécurité Web, étrangement on devient vite parano. Raph : piouf, heureusement pour les numéros de CB. Sinon, quel bon filon pour un pirate : des numéros de CB gratos et rapidement acquis ! xD
SanchoDellaVega Posted December 19, 2011 Posted December 19, 2011 Bonjour, Je ne sais pas ce que dit la loi, mais c'est grave quand même comme problème. Et je ne suis pas d'accord avec Arlette : imagine que ce soit un site spécialisé en truc pas très catholique (spécialisé dans les colliers cloutés pour adultes par exemple). Hop, un petit programme qui récupère toute les factures et un gars mal intentionné peut faire chanter les clients du site. Ou encore, un concurrent qui peut récupérer la liste de tous tes clients et qui te les piquent tous ! Sans parler bien sur du respect de la vie privée des gens. (D'ailleurs, il y a quelques temps, il y avait eu une affaire comme celle-ci avec un gros site d'un opérateur téléphonique (je ne sais plus lequel). ça avait fait du grabuge à l'époque !) Bref, à mon sens, l'erreur est grave !
captain_torche Posted December 20, 2011 Posted December 20, 2011 C'est pour cela qu'il faut prévenir le propriétaire du site qui, une fois qu'il aura conscience du souci, devrait tout mettre en oeuvre pour bloquer l'accès à ces pages.
Arlette Posted December 20, 2011 Posted December 20, 2011 Bref, à mon sens, l'erreur est grave ! Je n'ai jamais dit que cela n'était pas grave. Je dis simplement qu'il faut arrêter de dire : "faut une loi pour punir le fautif". J'ai des couteaux de toutes les tailles dans ma cuisine. C'est dangereux ! Si demain je tue mon conjoint avec l'un d'un (je sais, faudra que je me lève de bonne heure ). Je serais punie pour l'avoir tué. Ni le fabricant et encore moins le marchand ne seront condamnés ou même poursuivis pour me les avoir vendus. C'est la même chose que si je laisse ma porte non fermée à clé. Ça n'autorise personne à venir regarder ou se servir chez moi ! Dans le cas qui nous préoccupe c'est un peu ce qui se passe. Le gars il a laissé sa porte ouverte (il a oublié de la fermer à clé, ça arrive à tout le monde une étourderie non ?) , on l'informe et basta ! En espérant qu'il n'y aura pas de dégâts chez lui.
Wolf18 Posted December 20, 2011 Posted December 20, 2011 Faut il donc une loi m'interdisant de perdre mon portefeuille pour ne pas tenter le diable ? Je ne voudrais pas parler de choses que je ne maîtrise pas bien, mais il me semble que l'incitation au vol est déjà quelque chose de répréhensible non ?
Kulgar Posted December 20, 2011 Posted December 20, 2011 Wolf, ce que Arlette veut dire c'est que la négligence ne peut pas être punie par la loi. L'incitation au vol, ça peut effectivement être répréhensible. Toutefois la loi est claire : on est innocent sauf preuve du contraire. Ca s'applique parfaitement sur le Web, les personnes laissant un accès aussi simple à des informations à priori confidentielles sont jugées innocentes (i.e. on pense d'abord à de la négligence). Si ensuite il y a exploitation malicieuse de ces informations ou que quelqu'un porte plainte, une enquête pourrait conduire à découvrir que cette maladresse était intentionnelle pour que des complices pirates récupères ces infos... Bref, tout ça pour dire : on ne peut pas punir la négligence (imaginez, ça conduirait à des aberrations...) mais on peut punir une faute intentionnelle si on a de quoi prouver qu'elle était intentionnelle (comme l'incitation au vol). Arlette, ton exemple de la porte me fait penser combien l'application des lois informatiques et celles de la vie de tous les jours peuvent totalement diverger parfois... Je pense notamment aux chercheurs de failles de sécurité. Combien de fois j'ai entendu l'histoire classique suivante : "Un chercheur (ou une équipe) doué en informatique et spécialisé dans la découverte de failles de sécurité de logiciels et de sites, en découvre effectivement une dans un logiciel hyper commercialisé dans le monde entier : Widon 7. Le chercheur, alarmé par cette faille pouvant compromettre l'ensemble des systèmes de la planète, envoie un rapport bien détaillé à Misoft sur la faille : sa cause, sa position, sa possible exploitation, les effets d'une attaques et (en général) comment la résoudre. Misoft reçoit ce rapport et se dit : au secours !! Un pirate a découvert une faille dans notre super logiciel et nous nargue en nous envoyant tout un rapport ! Misoft fait alors un procès à ce pauvre chercheur qui, bien évidemment, perd (car Misoft a toute une batterie d'excellents avocats) et se retrouve ruiné (voire emprisonné)." Bon, il se trouve que Microsoft prend très bien les retours des failles, pour ça que j'ai mis Misoft. Mais oui, c'est très différent de l'exemple de la porte... Des chercheurs informent sur une faille de sécurité et certaines entreprises cherchent à les condamner plutôt qu'à dépenser leurs sous pour résoudre cette faille. C'est ridicule, mais tellement commun comme histoire.
raph37 Posted December 20, 2011 Author Posted December 20, 2011 (edited) Moi j'ai un problème avec l'exemple du porte feuille qui ne correspond , a mon sens pas dutout avec l'exemple. Si je perd mon porte feuille dans la rue et que quelqu'un le ramasse , il y a 2 acteurs , moi et un passant qui trouvera l'objet de ma négligence. Dans mon cas, c'est comme si j'avais passé une photocopie des mes papiers d'identité à un commerçant qui la laisserait trainer dans un rayon de son magasin, puis des clients un peu fouineurs tomberaient dessus. Cette fois il y à plus d'acteurs , moi, le vendeur et tous les clients curieux... Dans le premier cas, si je perd mes papiers c'est ma négligence , je ne peux m'en prendre qu'a moi même . Mais dans mon cas c'est un marchan qui ne prend pas soin de garder mes données. ex : Quand tu apportes ta voiture aux garage, et que le soir tu la récupère avec un grosse bosse sur l'aile tu vas bien aller gueuler ? tu ne vas pas te dire , c'est ma faute j'ai été négligeant de l'apporter labas... C'est bien due à la négligence de celui qui l'a manipulé ! Aussi il y a une différence , je suis un particulier et lui c'est un professionnel. Edited December 20, 2011 by raph37
captain_torche Posted December 20, 2011 Posted December 20, 2011 Le site en question ne semble pas avoir conscience du souci. Leur as-tu au moins envoyé un mail pour le leur signaler ?
raph37 Posted December 20, 2011 Author Posted December 20, 2011 Le site en question ne semble pas avoir conscience du souci. Leur as-tu au moins envoyé un mail pour le leur signaler ? Oui, çà a été rapporté mais ce n'est pas vraiment le sujet .
Arlette Posted December 20, 2011 Posted December 20, 2011 @Raph37 : Ce que je constate c'est que tu veux a tout prix que l'on te dise : "Ouh le vilain machand, il faut qu'il soit puni" . Alors disons le une bonne fois pour toute : "Oh le vilain marchand il faut qu'il soit puni" . Demandons donc aux législateurs que l'on fasse une loi pour punir "tous les vilains marchands qui ont des programmeurs qui codent avec leurs pieds et non leurs mains". C'est bon ? tu es satisfait ? Répondons donc à Wolf qui nous a signalé que "l'incitation est aussi condamnable que le délit par lui même" ! Alors oui, siquelqu'un a fait quelque chose que tu l'as incité à faire, tu es autant (si non presque) punissable que celui qui aura commis l'acte. Ce qui veut dire que lorsqu'un membre sur un forum invite un autre membre (en donnant la recette dans les détails), a obtenir les coordonnées personnelles de quelqu'un de manière frauduleuse, est punissable autant que l'auteur qui se sera servi de cette recette. Aie, ça ce complique donc pour toi Raph37 Car il me semble que tu es donc punissable pour avoir incité un membre à utiliser une manière frauduleuse pour obtenir des informations d'ordre privée sans le consentement de l'intéressé. Quand on veut a tout prix condamner quelqu'un on commence d'abord par regarder si soi même on est irréprochable ! Alors tu vois, personnellement je t'accorde le droit à l'erreur de jeunesse. Puisque ton post date de 5 ans auparavant... Même s'il existe toujours et donc le conseil est toujours valable . Mais visiblement tu n'entends pas accorder le droit à l'erreur même à un commerçant. edit : C'est le topic qui datait de 5 ans, ton post lui date d'un an tout juste. Mais bon, une erreur quand même que je t'invite à corriger. A savoir demander le retrait du post.
Recommended Posts