Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Quand des billets électroniques SNCF fuitent sur les moteurs de recherche

De la fuite dans les ID

Quand des billets électroniques SNCF fuitent sur les moteurs de recherche

Le 28 mars 2017 à 15h13

C’est un lecteur qui nous a avertis de la brèche. Des billets électroniques SNCF se sont retrouvés référencés sur les moteurs de recherche. L’alerte, passée d’abord par une plateforme de l’ANSSI, n’est toujours pas expliquée mais a suscité déjà plusieurs mises à niveau techniques.

Avec une requête spécialement formée dans les moteurs de recherche, il était possible de retrouver des dizaines de billets électroniques de clients SNCF. Embêtant puisque ces données personnelles permettent de savoir qui s’est déplacé, où et quand, avec l’aide du réseau ferré ! 

Fin février, un lecteur, Adrien Jeanneau, avait d’abord utilisé les bons soins de la plateforme de signalement de l’ANSSI. Et pour cause, on peut désormais plus facilement signaler à l’Agence nationale pour la sécurité de systèmes d’information la présence de failles de sécurité. La loi Lemaire a en effet évincé les rigueurs de l’article 40 du Code de procédure pénale, lequel oblige normalement les autorités à signaler à la justice l’identité de ceux qui auraient possiblement commis un délit (informatique ou non). De toute évidence, difficile d’esquisser ici le début d’une quelconque responsabilité du découvreur : celui-ci s’est contenté d’utiliser un moteur de recherche, en injectant des variables glanées dans les URL menant vers des e-billets.

sncf ebillet faille

L'alerte ANSSI, une réunion de crise à la SNCF

« Nous tenons à vous rappeler qu'aucune contrainte légale n'oblige la victime d'une vulnérabilité à corriger son site » s’était hasardée à lui répondre l’ANSSI, avant de préciser qu'évidemment son signalement avait été remonté au responsable du traitement. Et quel responsable... La SNCF est un « opérateur d’importance vitale » (OIV) astreint à des contraintes fortes depuis la loi de programmation militaire.

Dans la foulée, début mars, une réunion de crise est organisée dans les hautes sphères de la Société nationale des chemins de fer français. « Après analyse, les équipes sécurité de SNCF groupe et de SNCF Mobilité ont effectivement constaté que les moteurs de recherche référençaient quelques dizaines d’URL permettant d’accéder à certains PDF des e-billets ou justificatifs de voyage de certains clients » nous a confirmé la direction de l’entreprise, avant de relativiser, les pieds sur la pédale de frein : « quelques dizaines sur 15 000 en moyenne émis par jour ». 

sncf ebillet faillesncf ebillet faille

Une fuite inexpliquée, la faute aux tiers ?

Si en l'état, il est donc imprudent de parler d’hémorragie, la SNCF ajoute malgré tout que « ces URL sont envoyées par mail aux personnes concernées, elles sont personnelles et n’ont pas vocation à être référencées par les moteurs de recherche ». Il y a cependant un caillou dans le ballast : « nos recherches ainsi que celles menées par notre réseau de Threat Intelligence externe n’ont pas permis de trouver la source et l’explication de ce référencement ». 

Les équipes techniques ont eu beau chercher dans leurs infrastructures, elles ont aujourd’hui la quasi-certitude que la fuite viendrait d’ailleurs. « L’explication la plus probable, avancent-elles sur la pointe des pieds, est que certains clients ont stocké cette URL personnelle sur des réseaux sociaux, des sites privées, barres d’outils, etc. qui ont permis aux moteurs de recherche d’indexer cette ressource ». 

La SNCF met du plâtre sur une jambe de bois

Sans connaître la cause officielle de cette fuite, la SNCF a pris des mesures d'urgence pour supprimer l'indexation sauvage en jouant dans un premier temps avec les variables du fichier Robots.txt. Placé à la racine d'un site, ce fichier permet d'exclure les contenus - ici des e-billets - de tout risque de référencement. « Ces paramètres permettent de bloquer l’exploration et l’indexation de l’URL par les moteurs de recherche. Le 2 mars, [ils] ont été installés en production. Nous ne devrions plus retrouver de nouvelles URL sur les moteurs de recherche, les anciennes restant par contre encore en cache ».

Cette mise en cache est une véritable photocopie du web réalisée par les moteurs. En toute logique, elle a été purgée cette semaine, par le simple écoulement du temps. C'est ce que nous avons constaté aujourd'hui.

« Nous avons aussi entrepris de sécuriser davantage le flux de cette application, ajoute la SNCF. Là encore, « cela prendra un moment, le temps que les e-billets associés aux URL déjà émises en HTTP soient consommés. Ils ont en effet une durée de visibilité qui peut aller jusqu’à deux mois entre l’achat et l’utilisation ». Il faut déduire de ces éléments que la SNCF compte (enfin) passer ces pages en HTTPS pour mieux sécuriser ces données sensibles... Même si cela ne change rien à leur accessibilité directe. Toutes ces rustines contraignent certes les moteurs à ne pas référencer ces pages, mais sans chantier plus ambitieux, elles restent accessibles à l'internaute lambda, sans contrôle d'accès.

Dans le compte rendu qu’elle nous a adressé, la société tient malgré tout à « rappeler l’importance qu’elle accorde à la protection des données personnelles de ses clients et de ses agents. Un réseau d’acteurs, au service de la sécurité SI, est en charge de mettre en œuvre les mesures adaptées à la protection de ces données, que ce soit dans le cadre de nouveaux projets ou en réaction lors d’incident ».

Commentaires (46)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







CryoGen a écrit :



Bah voyons… çà s’apparente au brute-force, et on sait déjà que c’est loin d’être efficace. Tu vas t’amuser à “investir” du temps et de l’énergie pour un résultat random ? Je ne crois pas non.



Dépend de ton but. Tu peux avoir des résultats très précis pour une personne en particulier.







CryoGen a écrit :



Comme je l’ai indiqué, je ne sais pas comment la SNCF forge ses url, et encore moins s’il y a des sécurités en plus (genre fail2ban).



Vu qu’on peut les voir juste par un moteur de recherche, ca serait étonnant qu’ils en aient mis…







CryoGen a écrit :



Pour certaine personne oui, surtout que les individus utilisent de plus en plus souvent leurs smartphone ou leur tablette, bien moins pratique pour faire de la conversion de pdf…



Conversion? Quelle conversion? Quand tu récupères ton billet, c’est déjà un PDF hein.


votre avatar







Patch a écrit :



Dépend de ton but. Tu peux avoir des résultats très précis pour une personne en particulier.







Tu peux demander à ton script de viser une personne en particulier ? Balèse (bon si la SNCF mais en gros “NOMCLIENT&CLE_SECU_4_CARACT” évidement on est dans la mouise <img data-src=" />







Patch a écrit :



Vu qu’on peut les voir juste par un moteur de recherche, ca serait étonnant qu’ils en aient mis…







Oui clairement une erreur grossière… laissant craindre et pas uniquement pour la récupération des billets d’ailleurs







Patch a écrit :



Conversion? Quelle conversion? Quand tu récupères ton billet, c’est déjà un PDF hein.







Désolé j’ai lu un peu vite ton message. J’ai confondu le “enregistrer” avec “enregistrer la page -&gt; pdf” bref <img data-src=" />

Je ne connais pas ce service, j’ai toujours récupéré mon billet via les distributeurs.


votre avatar







CryoGen a écrit :



Cocher une case (lien / pas lien) par exemple : théoriquement, quand tu veux se genre de lien ‘semi-privé’ c’est pour l’envoyer à quelqu’un… et évidemment tu ne veux pas partager les info de ton compte. Ca serait la solution la plus simple.



ok&nbsp; pourquoi pas.







CryoGen a écrit :



Fail2ban, pas d’indexation, limitation dans le temps et/ou nombre d’accès… si, en premier, ton url est forgée correctement, il n’y a pas de soucis… solution à mettre en place de toutes manières.





Je valide et particulièrement le “solution à mettre en place de toutes manières.” <img data-src=" />

J’aurai tendance à empiler les couches en termes de sécurité (et beaucoup). je suis peut être un peu extrême dans la manière dont je vois les choses&nbsp; <img data-src=" />


votre avatar

Bien vu ! C’est vrai que faut pas l’oublier ça ! :)

votre avatar

j’adore le c’est pas nous, il n’y a aucun probleme, mais on mets quand même a jours robots.txt au cas ou <img data-src=" /> ce serais un peu de notre fautes.



concernant fail2ban et autre generation aléatoire de UUID a base de sel et de sha2, voyons les gars, c’est la SNCF hein ! ceux la meme qui, liste vraiment longue …….



en prenant la config par défaut des logiciels de leur infra, hop vous avez tous ce qu’il faut pour générer les uuid a la maison

votre avatar

Je sais, c’était une remarque humoristique. <img data-src=" />

votre avatar

Et ils peuvent pas faire qu’il y aie un contexte de session user loguer pour autoriser l’accès a ces fichiers ? c’est aberrant que ce soit publié en http en plus …

votre avatar

Donc les liens ne sont plus référencés, super. Mais ça m’a l’air d’être une simple rustine, surtout si les billets sont toujours accessibles en clair, sans login/mot de passe…



Et puis c’est le meme bousin qu’il y a 10 ans, où on pouvait avoir accès au profil de n’importe quel abonné Navigo juste en modifiant la variable qui va bien dans l’URL…

votre avatar

SNCF, c’est possible&nbsp; ! <img data-src=" />



Purée les boulet … surement le coup d’un stagiaire <img data-src=" />

votre avatar







tibubu257 a écrit :



Petite remarque sémantique mais qui a son important “la” SNCF n’existe plus ! En effet, depuis la réforme ferroviaire de 2014 qui a “rattaché” (avec des guillemets) RFF (devenu SNCF Réseau) à la Société Nationale des Chemins de fer Français (devenu SNCF Mobilité) le nom des trois EPICs sont : SNCF (pour la holding), SNCF Réseau et SNCF Mobilité.



La holding, “SNCF” donc, possédant les deux autres sociétés. Cela a toute sont importance bien que cela puisse sembler négligeable : il s’agit de préparer (organisationnelle et sémantiquement) le démantèlement et la privatisation de l’ex société nationale. Au passage, remarquez deux choses : dans les annonces sonores, il n’est plus dit “la SNCF” mais bien “SNCF” et deuxièmement, la réforme a été présentée au grand public comme “réunissant 2 EPICs en 1 seul comme avant”, or en fait celle ci a créer un troisième EPIC (et donc un 3eme conseil d’administration…), ne simplifiant pas du tout l’organisation…



Bref, désolé pour ce léger HS mais ce point sémantique me paraissait important <img data-src=" />





PS : EPIC = Établissement Public Industriel et Commercial (SNCF, RATP, …)







Mais là, c’est carrément un EPIC fail <img data-src=" />


votre avatar







Vilainkrauko a écrit :



SNCF, c’est possible&nbsp; ! <img data-src=" />



Purée les boulet … surement le coup d’un stagiaire <img data-src=" />





Pourquoi serait-ce à cause d’un stagiaire ? La diffusion vers l’extérieur des liens privés ne vient sans doute pas de la SNCF. Ça peut être un gmail qui crawle les liens trouvés dans les mails, ça peut être des boulets qui ont rendu le lien public par maladresse, ça peut être un webmail qui s’est retrouvé indexé par erreur suite à un problème chez l’hébergeur de mail.

Si le problème était à la SNCF, ce serait tout le monde ou personne, pas juste quelques uns.

&nbsp;


votre avatar

D





alex.d. a écrit :



Pourquoi serait-ce à cause d’un stagiaire ? La diffusion vers l’extérieur des liens privés ne vient sans doute pas de la SNCF. Ça peut être un gmail qui crawle les liens trouvés dans les mails, ça peut être des boulets qui ont rendu le lien public par maladresse, ça peut être un webmail qui s’est retrouvé indexé par erreur suite à un problème chez l’hébergeur de mail.

Si le problème était à la SNCF, ce serait tout le monde ou personne, pas juste quelques uns.







Disons que la part de responsabilité coté SNCF concerne surtout d’avoir laissé l’indexation possible : pas de robot.txt, pas d’analyse de l’agent etc.


votre avatar







CryoGen a écrit :



D



Disons que la part de responsabilité coté SNCF concerne surtout d’avoir laissé l’indexation possible : pas de robot.txt, pas d’analyse de l’agent etc.





La part de responsabilité de la sncf, c’est de ne pas demander l’authentification de la part du client pour voir ses propres billets. <img data-src=" />

Les responsables restent la SNCF en premier lieu.


votre avatar

Bof, des liens à usage limité dans le temps, avec une partie difficile à forger (à base de uuid ou autre) peut rester en accès “libre”. Ca reste du “lecture seule” en plus, rien de bien méchant…



Évidemment, reste à voir combien de temps ce lien reste valide…

votre avatar

Il y a exactement le même problème du côté des billets d’avions et de tout Amadeus. Le numéro de dossier fait office de mot de passe, comme à la SNCF.

&nbsp;

votre avatar







CryoGen a écrit :



Bof, des liens à usage limité dans le temps, avec une partie difficile à forger (à base de uuid ou autre) peut rester en accès “libre”. Ca reste du “lecture seule” en plus, rien de bien méchant…



Évidemment, reste à voir combien de temps ce lien reste valide…



Rien de bien méchant, sauf que “tout le monde” peut voir quels déplacements telle personne a fait à tel moment… Ca peut être potentiellement une belle atteinte à vie privée, et surtout provoquer des problèmes pour certains.


votre avatar

Tout le monde, parce qu’il y a un index. Va forger une url à la main pour chopper un billet, et encore mieux précisément si tu veux tracker quelqu’un…



Si en plus l’url est limitée dans le temps (ou en nombre d’accès) tu as vite une solution simple et efficace.



Est-ce donc vraiment indispensable d’avoir l’authentification pour çà ? Pas toujours. En plus ca permet d’acheter des billets pour d’autres personnes et de leur transférer le lien de téléchargement par exemple…



Un peu comme les parages Google Drive par exemple. Bon après tu me diras que GDrive te permet aussi de limiter le partage, le choix revenant à l’utilisateur : c’est un meilleur compromis que la SNCF <img data-src=" />

votre avatar







alex.d. a écrit :



Il y a exactement le même problème du côté des billets d’avions et de tout Amadeus. Le numéro de dossier fait office de mot de passe, comme à la SNCF. 



&nbsp;






En termes de pratiques de développement, c’est un peu dégueu comme solution.&nbsp;

C’est openbar, faite ce que vous voulez de nos données&nbsp;<img data-src=" />

&nbsp;

J’avais noté le même problème sur le site de l’EPITA pour s’inscrire il y a quelques années. On pouvait accèder à tous les cvs et bulletins scolaires des élèves s’inscrivant à l’école. C’était aussi très moyen.



&nbsp;





CryoGen a écrit :



Tout le monde, parce qu’il y a un index. Va forger une url à la main pour chopper un billet, et encore mieux précisément si tu veux tracker quelqu’un… 




Si en plus l'url est limitée dans le temps (ou en nombre d'accès) tu as vite une solution simple et efficace.       







Est-ce donc vraiment indispensable d'avoir l'authentification pour çà ? Pas toujours. En plus ca permet d'acheter des billets pour d'autres personnes et de leur transférer le lien de téléchargement par exemple...      







Un peu comme les parages Google Drive par exemple. Bon après tu me diras que GDrive te permet aussi de limiter le partage, le choix revenant à l'utilisateur : c'est un meilleur compromis que la SNCF :chinois:









Concrètement tu fais un script qui scans les urls, tu récupères ce que


tu veux. Et il me semble que certaines informations d’un billet de

train sont des données à caractères personnelles qui nécessitent des

mesures de protections et de confidentialité.



Je te conseille de lire la partie sur la sécurité et la confidentialité

service-public.fr Service Public


votre avatar







CryoGen a écrit :



Tout le monde, parce qu’il y a un index. Va forger une url à la main pour chopper un billet, et encore mieux précisément si tu veux tracker quelqu’un…



Script. No prob.







CryoGen a écrit :



Si en plus l’url est limitée dans le temps (ou en nombre d’accès) tu as vite une solution simple et efficace.



Script. No prob.







CryoGen a écrit :



Est-ce donc vraiment indispensable d’avoir l’authentification pour çà ? Pas toujours. En plus ca permet d’acheter des billets pour d’autres personnes et de leur transférer le lien de téléchargement par exemple…



Faut dire que c’est un effort tellement surhumain d’enregistrer un PDF et l’envoyer par mail… <img data-src=" />







CryoGen a écrit :



Un peu comme les parages Google Drive par exemple. Bon après tu me diras que GDrive te permet aussi de limiter le partage, le choix revenant à l’utilisateur : c’est un meilleur compromis que la SNCF <img data-src=" />



GDocs permet de ne pas partager, contrairement à là.


votre avatar







Joe Le Boulet a écrit :



Concrètement tu fais un script qui scans les urls, tu récupères ce que

tu veux.







Je ne sais pas comment sont forger les url pour les billets, mais si c’est à base d’uuid ou similaire, tu peux attendre un moment avec ton script avant d’avoir quelque chose en retour… surtout s’il y a du fail2ban en plus.







Joe Le Boulet a écrit :



Et il me semble que certaines informations d’un billets de

trains sont des données à caractères personnelles qui nécessites des

mesures de protections et de confidentialité.



Je te conseille de lire la partie sur la sécurité et la confidentialité

service-public.fr Service PublicJe n’ai rien contre la vie privée et la sécurité hein. Je dis juste que tout cloisonner derrière une authentification n’est pas toujours la bonne solution.


votre avatar







Patch a écrit :



Script. No prob.



Script. No prob.







Bah voyons… çà s’apparente au brute-force, et on sait déjà que c’est loin d’être efficace. Tu vas t’amuser à “investir” du temps et de l’énergie pour un résultat random ? Je ne crois pas non.



Comme je l’ai indiqué, je ne sais pas comment la SNCF forge ses url, et encore moins s’il y a des sécurités en plus (genre fail2ban).



J’argumente surtout sur le coté “tout caché derrière une auth sinon c’est une faute”, pas sur le cas précis de la SNCF…







Patch a écrit :



Faut dire que c’est un effort tellement surhumain d’enregistrer un PDF et l’envoyer par mail… <img data-src=" />







Pour certaine personne oui, surtout que les individus utilisent de plus en plus souvent leurs smartphone ou leur tablette, bien moins pratique pour faire de la conversion de pdf…









Patch a écrit :



GDocs permet de ne pas partager, contrairement à là.





C’est ce que j’ai indiqué oui.


votre avatar







CryoGen a écrit :



Je ne sais pas comment sont forger les url pour les billets, mais si c’est à base d’uuid ou similaire, tu peux attendre un moment avec ton script avant d’avoir quelque chose en retour… surtout s’il y a du fail2ban en plus.







Je n’ai rien contre la vie privée et la sécurité hein. Je dis juste que tout cloisonner derrière une authentification n’est pas toujours la bonne solution.





Fail2ban c’est un bon début mais ca n’empêche que c’est laissé ouvert à tous les vents.



Dans le cas présent, quelles auraient pu être les autres solutions à leur disposition pour protéger ces données et les laisser à l’unique disposition du voyageur sur le site? question sérieuse.


votre avatar







Joe Le Boulet a écrit :



Fail2ban c’est un bon début mais ca n’empêche que c’est laissé ouvert à tous les vents.



Dans le cas présent, quelles auraient pu être les autres solutions à leur disposition pour protéger ces données et les laisser à l’unique disposition du voyageur sur le site? question sérieuse.





Cocher une case (lien / pas lien) par exemple : théoriquement, quand tu veux se genre de lien ‘semi-privé’ c’est pour l’envoyer à quelqu’un… et évidemment tu ne veux pas partager les info de ton compte. Ca serait la solution la plus simple.



Fail2ban, pas d’indexation, limitation dans le temps et/ou nombre d’accès… si, en premier, ton url est forgée correctement, il n’y a pas de soucis… solution à mettre en place de toutes manières.


votre avatar



De toute évidence, difficile d’esquisser ici le début d’une quelconque responsabilité du découvreur : celui-ci s’est contenté d’utiliser un moteur de recherche.



Faut dire ça à Bluetouff. <img data-src=" />

votre avatar

#fail



Ca arrive que d’autres services avec url “privé” sans authentification atterrissent dans les moteurs de recherche ? Pas si souvent il me semble…

votre avatar

Un lien vers un PDF du billet de train accessible sans identification ni en https? <img data-src=" />

Bravo la sécurité de la SNCF! <img data-src=" />

votre avatar







Silly_INpact a écrit :



Un lien vers un PDF du billet de train accessible sans identification ni en https? <img data-src=" />

Bravo la sécurité de la SNCF! <img data-src=" />







c’est une fonctionnalité pour retrouver facilement son billet <img data-src=" />


votre avatar

Dur :/



ça doit être tendu de gérer ça&nbsp;<img data-src=" />

votre avatar

c’est pas ça l’open data ?

votre avatar







Didium a écrit :



c’est pas ça l’open data ?







non ça c’est l’open-bar


votre avatar

C’est pour signaler la fin des IDTGV : plus de contrôle avant de monter dans la rame, plus de contrôle avant la montée dans la ram…

Heureusement qu’elle va nous faire préférer le train.

votre avatar

Robots.txt c’est pas pour les toutous…

votre avatar

J’espère que le fichier TES est dans les mains d’un autre OIV … <img data-src=" />

votre avatar

Clairement honteux <img data-src=" />

votre avatar

Bluetouff ne s’est pas contenté d’utiliser un moteur de recherche. Il a fureté sur le site, téléchargé des Go de données, et cherché quelqu’un pour rédiger un ‘scoop’ sur le sujet. Il a ensuite expliqué tout cela aux policiers qui l’interrogeaient (après ça, difficile à plaider qu’il n’avait pas conscience qu’il n’aurait pas du avoir accès à ces données). Sa condamnation reste discutable, mais elle ne porte pas sur le fait d’avoir trouvé des infos sur un moteur de recherche.

Pour faire un parallèle, si ici notre découvreur, plutôt que le signaler à l’ANSSI, avait indexé un maximum de données via cette faille, puis tenté de les utiliser, il serait condamnable de la même façon que Bluetouff (peut-être même plus, s’agissant de données personnelles).

votre avatar







Didium a écrit :



c’est pas ça l’open data ?









darkbeast a écrit :



non ça c’est l’open-bar







<img data-src=" /> Merci Messieurs, pour cette bonne rigolade ! <img data-src=" /> <img data-src=" />


votre avatar

Petite remarque sémantique mais qui a son important “la” SNCF n’existe plus ! En effet, depuis la réforme ferroviaire de 2014 qui a “rattaché” (avec des guillemets) RFF (devenu SNCF Réseau) à la Société Nationale des Chemins de fer Français (devenu SNCF Mobilité) le nom des trois EPICs sont : SNCF (pour la holding), SNCF Réseau et SNCF Mobilité.



La holding, “SNCF” donc, possédant les deux autres sociétés. Cela a toute sont importance bien que cela puisse sembler négligeable : il s’agit de préparer (organisationnelle et sémantiquement) le démantèlement et la privatisation de l’ex société nationale. Au passage, remarquez deux choses : dans les annonces sonores, il n’est plus dit “la SNCF” mais bien “SNCF” et deuxièmement, la réforme a été présentée au grand public comme “réunissant 2 EPICs en 1 seul comme avant”, or en fait celle ci a créer un troisième EPIC (et donc un 3eme conseil d’administration…), ne simplifiant pas du tout l’organisation…



Bref, désolé pour ce léger HS mais ce point sémantique me paraissait important <img data-src=" />





PS : EPIC = Établissement Public Industriel et Commercial (SNCF, RATP, …)

votre avatar

Ça peut arriver, mais c’est clairement de la négligence. Il existe des outils facile à mettre en œuvre et qui devraient être évidents dans ce genre de cas : robots.txt, meta no-index, etc.



Il est notoire que Google peut trouver des URL pourtant bien cachées parfois, ça devrait être un automatisme.

votre avatar







darkbeast a écrit :



non ça c’est l’open-bar





De l’open voiture bar ?


votre avatar

Le problème est qu’avec robots.txt, Google il s’interdit de parcourir les chemins exclus, mais pas leur référencement et leur affichage dans les résultats de recherche.



Ainsi, si Google est convaincu qu’un lien qu’il n’a jamais visité pour cause de robots.txt correspond à une requête, celle-ci fera partie des résultats de recherche, avec une annotation concernant robots.txt en guise de résumé de la page.



En HTML, la solution est d’insérer une balise META, plutôt que de faire appel à robots.txt. Toutefois, cela implique de laisser le robot charger l’URL, ce qu’un éventuel robots.txt empêche de faire. De plus, pas moyen de l’utiliser avec un PDF. Une solution consisterait alors à laisser les robots d’indexation le billet PDF, mais d’ajouter l’entête HTTP X-Robots-Tag.



Une autre solution serait, pour la SNCF, d’utiliser les services de Google Search Console pour exclure explicitement certaines URL de l’index. Bing propose une solution équivalente.

votre avatar

lol.



Ils n’ont pas changé. 7 ans plus tôt :&nbsplemonde.fr Le Monde



nextinpact.com Next INpact



Il suffisait de rentrer des numéros de carte au hasard (type carte jeune, ex 12-25) dans le formulaire de renouvellement, jusqu’à tomber sur une carte existante, et ça sortait les coordonnées du client associé.



Ils sont toujours aussi pro ^^

votre avatar

<img data-src=" /> le sous-titre !

votre avatar







tibubu257 a écrit :



EPIC = Établissement Public Industriel et Commercial

&nbsp;





&nbsp;ECOLEGRAM : Etablissement Commercial et Organisationnel de Libéralisation Economique Garanti par les Rendements, Apports et Mensualités.



Oui, ça ne veut rien dire, j’avais juste envie de jouer sur les rétroacronymes <img data-src=" />


votre avatar

Je m’incline il m’a fallut relire 2 fois avant de comprendre !! <img data-src=" />

<img data-src=" /><img data-src=" />

votre avatar







tpeg5stan a écrit :



ECOLEGRAM : Etablissement Commercial et Organisationnel de Libéralisation Economique Garanti par les Rendements, Apports et Mensualités.



Oui, ça ne veut rien dire, j’avais juste envie de jouer sur les rétroacronymes <img data-src=" />





<img data-src=" /> pour l’effort <img data-src=" />


votre avatar

Je serais curieux de voir quelles sont les adresses mails concernées. Genre, ne serait-ce pas exclusivement les e-billets envoyés sur des adresses gmail ? (qui sont donc scannés par Google).

Quand des billets électroniques SNCF fuitent sur les moteurs de recherche

  • L'alerte ANSSI, une réunion de crise à la SNCF

  • Une fuite inexpliquée, la faute aux tiers ?

  • La SNCF met du plâtre sur une jambe de bois

Fermer