Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions

Le partage de confiance

Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions

Le 08 novembre 2017 à 16h17

Des devis de clients Darty se sont retrouvés référencés par Google, laissant fuiter des données personnelles. Contacté par nos soins, le revendeur a corrigé le souci. Il nous expose son « hypothèse la plus probable » pour l'expliquer et annonce un renforcement de sa sécurité.

Les fuites de données sont malheureusement de plus en plus monnaie courante, certaines étant plus graves que d'autres. Le cas dont il est question aujourd'hui est assez particulier. En effet, via une simple requête sur des moteurs de recherche, il était possible de trouver des devis de clients Darty contenant des informations personnelles.

Hébergés sur le site du revendeur, ils étaient librement accessibles. Ce n'est désormais plus le cas et nous avons bien entendu attendu que le cache des moteurs de recherche se vide avant de publier cette actualité. Contacté par nos soins, Darty nous donne des pistes pour expliquer cette fuite, qui ne concerne qu'une poignée de clients. 

Explication probable : un copier/coller malheureux

En effet, 26 devis au format PDF appartenant à 25 clients différents étaient disponibles sur Darty.com. À l'intérieur, les nom, prénom, adresse, email, numéro de dossier, référence de l'appareil concerné (avec numéro de série, date d'achat, date de fin de garantie...), explication du problème, tarif de la réparation, etc. 

Les devis « sont transmis aux clients via des URL aléatoires » nous explique un responsable du revendeur, ajoutant qu'il ne comprenait du coup pas comment ils avaient pu être référencés par Google. De plus, seuls 26 devis sont concernés alors que la plateforme en regroupe plusieurs dizaines de milliers.

Voici un exemple d'URL utilisé par Darty pour transmettre un devis à un client :

https://xxxx.darty.com/yyy/zzz/OGM0MzU2NWIxOTFiMGM1MWIyOWU2YzBkY2Y1xxxxxxx/22143yyyy.pdf

« L'hypothèse la plus probable étant que les liens ont été copiés/collés sur des forums » par les clients eux-mêmes, et ensuite repérés par les moteurs de recherche. « A priori, c'est techniquement la seule façon dont cela a pu se produire » ajoute le revendeur. On s'étonne tout de même qu'une telle section ne soit pas interdite aux moteurs ou qu'aucune vérification ne soit mise en place concernant l'accès à ces documents.

Lors de ses investigations, Darty est également tombé sur des devis uploadés tels quels sur des forums par des clients, ce qui le conforte dans son hypothèse de départ. « Sauf nouvelle hypothèse émise par notre DSI, c'est vraiment [les clients] qui ont volontairement mis les URL en ligne » nous confirme Darty

Devis DartyDevis Darty

La sécurité va être renforcée, les clients prévenus par email 

Dans tous les cas, le revendeur nous précise qu'il « va sécuriser davantage ses devis, probablement avec un système de mot de passe ». Les 25 clients concernés vont être contactés via email par le revendeur. Ce dernier leur proposera au passage « un rappel à la prudence » pour éviter que cela ne se reproduise. 

Une mesure de bon sens que chacun devrait suivre : il faut toujours être très prudent quant aux données personnelles, aux fichiers et aux liens que l'on peut transmettre en public sur Internet. Le cas d'aujourd'hui est le parfait exemple de documents qui se sont retrouvés référencés sur les moteurs de recherche, alors que cela n'aurait pas dû être le cas.

Comme toujours en pareille situation, le principal risque est une attaque par phishing : un pirate pourrait essayer de se faire passer pour Darty (en exploitant les informations contenues dans le devis) et ainsi tenter récupérer d'autres données, comme les identifiants et mot de passe du compte d'un client.

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et sinon, concernant ces fuites sur internet, on va faire une enquête ?



google site:gouv.fr “ne pas diffuser”



Je n’ose même pas cliquer sur un de ces liens vu ce qui est arrivé à bluetouff il y a 2 ans.

votre avatar







js2082 a écrit :



Ça a commencé avec le Y de Yahoo.



Ça a fini avec le Y de Darty.



Ça recommencera avec le Y de qui du coup?? <img data-src=" />





Yarthy. <img data-src=" />


votre avatar

Oui, au moins le fait que le paramètre dans l’url soit un tant soit peu chiffré limite un peu la portée.

Y a des plus gros groupes qui font pire avec juste un id qui s’incrémente…

Je sais pas trop si c’est le genre de “faille” qu’on peut remonter à l’anssi.

votre avatar







Gats a écrit :



Et sinon, concernant ces fuites sur internet, on va faire une enquête ?



google site:gouv.fr “ne pas diffuser”



Je n’ose même pas cliquer sur un de ces liens vu ce qui est arrivé à bluetouff il y a 2 ans.





En fait, la transparence est là depuis longtemps. <img data-src=" />


votre avatar

Ne pas diffuser ne veut pas dire ne pas consulter. <img data-src=" />

votre avatar

<img data-src=" />

votre avatar

Ton commentaire tout comme la phrase”On s’étonne tout de même qu’une telle section ne soit pas interdite aux moteurs” de l’article m’interpellent : n’avais-je point lu qu’on ne pouvait pas vraiment interdire quoi que ce soit aux robots d’indexation ? On peut leur demander gentiment de passer leur chemin, mais rien ne les oblige à obéir, semble-t-il.

(C’est d’ailleurs ce que dithttps://fr.wikipedia.org/wiki/Protocole_d%27exclusion_des_robots )

votre avatar







Chicxulub a écrit :



Ton commentaire tout comme la phrase”On s’étonne tout de même qu’une telle section ne soit pas interdite aux moteurs” de l’article m’interpellent : n’avais-je point lu qu’on ne pouvait pas vraiment interdire quoi que ce soit aux robots d’indexation ? On peut leur demander gentiment de passer leur chemin, mais rien ne les oblige à obéir, semble-t-il.

(C’est d’ailleurs ce que dithttps://fr.wikipedia.org/wiki/Protocole_d%27exclusion_des_robots )





Oui enfin une case où il faut mettre un code de 4 chiffres ou même, allez soyons fous, une erreur si le user agent est celui d’un indexeur n’aurait pas été du luxe


votre avatar

Captain Obvious à la rescousse : Il aurait du faire autrement

votre avatar







jb18v a écrit :



mal foutu leur truc.. qu’on envoie le devis par mail ok, mais il devrait pas rester accessible comme ça, ou alors via le compte client, et pas style passoire



quoique les clients, à coller les devis sur des forums avec infos persos, ça me semble bien mérité aussi <img data-src=" />





Difficile d’être si catégorique.

Aujourd’hui, l’une des bonnes pratiques pour l’enregistrement d’un client, c’est qu’au lieu de lui envoyer un couple user/password, on lui génère un lien qui lui permette de se connecter directement à son compte. Libre à lui de se créér un mot de passe par la suite.



S’il transmet bêtement ce lien sur un forum, c’est qui le coupable ?


votre avatar

Celui-ciau moins peut être lu sans problème.



C’est un communiqué qui ne devait pas être diffusé dans certains pays.



Idem pour celui-là

votre avatar







Ler van keeg a écrit :



Difficile d’être si catégorique.

Aujourd’hui, l’une des bonnes pratiques pour l’enregistrement d’un client, c’est qu’au lieu de lui envoyer un couple user/password, on lui génère un lien qui lui permette de se connecter directement à son compte. Libre à lui de se créér un mot de passe par la suite.



S’il transmet bêtement ce lien sur un forum, c’est qui le coupable ?





Oui enfin ce genre de trucs quand c’est fait correctement c’est un lien à usage unique limité dans le temps.


votre avatar



On s’étonne tout de même qu’une telle section ne soit pas interdite aux moteurs ou qu’aucune vérification ne soit mise en place concernant l’accès à ces documents.



C’est étonnant, mais il est peu évident de bloquer l’accès à des documents aux moteurs de recherche, en particulier à Google.



Il existe plusieurs méthodes d’action pour limiter l’indexation d’un contenu web en ligne :





  • robots.txt : Google (et sans doute d’autres moteurs de recherche) l’interprète(nt) comme “ne pas visiter”, non comme “ne pas indexer”, avec pour conséquence de voir des contenus non visités dans les résultats de recherche (mais pas dans le cache, donc) ;

  • meta robots : spécifique au HTML, alors qu’il est question de PDF ici, donc non applicable ;

  • entête HTTP X-Robots-Tag : entête peu connu, il réclame la configuration du serveur web et ne garantit pas sa prise en compte par tous les moteurs de recherche.





    Ici, pour empêcher Google d’indexer les devis, il aurait fallu employer l’entête HTTP. Toutefois, celui-ci n’étant pas nécessairement généralement reconnu, on est plutôt amené à opter pour robots.txt, plus général. Malheureusement, robots.txt aurait empêché Google de lire l’entête HTTP, le rendant caduc. Certes, dans ce cas, les devis n’auraient pas fini dans le cache de Google.



    D’autres solutions, peut-être plus simples, existent, comme l’exigence d’une connexion préalable à l’accès aux documents (mais cela rend l’accès moins intuitif, faisant abandonner certains clients), ou encore l’attachement du PDF aux emails de notification, au lieu d’une simple URL à cliquer (à supposer que l’URL transite à l’origine par email).

votre avatar

Et tout le monde y va de son petit commentaire. “trop des nazes Darty”, “+1 lawl, Boulet de Darty”, et j’en passe.

Ce qui occasionne quelques petits recadrages; merci Amabka.



Typiquement le genre de personnage qui probablement utilise des services encore plus pourris sans pour autant le savoir (ou le comprendre).



Rappel de l’article; paragraphe 2:

&nbsp;“Les fuites de données sont malheureusement de plus en plus monnaie courante”

votre avatar

Suivre les indications du robots.txt est facultatif. Les moteurs de recherche sérieux le suive (et Google aussi donc)

votre avatar

Tu peux expliquer en quoi c’est pas bien ?

votre avatar

Précision d’ailleurs sur la non indexation de ces résultats : en dehors de la secu des données ça serait CARRÉMENT rentable pour Darty de bloquer ces pages qui n’ont pas vocation a été indexées pour ne pas “pourrir” leur budget de crawl chez Google et donc diluer le crawl des pages qui ont réellement besoin d’être crawlés et indexés.



C’est con ‘javais une amie au SEO de Darty mais elle s’est barrée il y a des mois j’aurai pu la vanner facilement :p

votre avatar

si elle s’est barré il y a des mois, c’est peut-être toujours ce qu’elle a fait qui est en place! <img data-src=" />

votre avatar







Minikea a écrit :



si elle s’est barré il y a des mois, c’est peut-être toujours ce qu’elle a fait qui est en place! <img data-src=" />





J’osais pas le dire mais je comptais bien l’emmerder sur le sujet :p


votre avatar







Gats a écrit :



Et sinon, concernant ces fuites sur internet, on va faire une enquête ?



google site:gouv.fr “ne pas diffuser”



Je n’ose même pas cliquer sur un de ces liens vu ce qui est arrivé à bluetouff il y a 2 ans.







oui faut pas… mais bon si tout plein de gens cliquent ça va pas être bien grave. Pour le pauvre bluetouff c’est qu’il était bien seul à avoir trouver le truc et avoir diffuser l’info sur son site (de mémoire)


votre avatar

Sont cons les gens aussi…

votre avatar







sylvere a écrit :



ça aurait pu être pire, ce n’est pas juste un compteur qui s’incrémente facture00001.pdf puis facture00002.pdf etc. (et oui on a déjà vu ça <img data-src=" /> )





Non t’inquiète, ça c’est la génération des couples identifiants / mots de passes pour les nouveaux comptes à BNP Entreprises…


votre avatar

samsung a fait une bourde dans le genre il y a quelques mois sur un lien de maj d’un compte pour une odr. a chaque refresh de la page, j’avais les coordonnées du dernier type qui avait tenté de s’enregistrer… et sur ce coup, le client n’y était pour rien, c’était entièrement la faute de samsung

votre avatar



Contacté par nos soins, le revendeur&nbsp;a corrigé&nbsp;le souci. Il nous expose son&nbsp;« hypothèse la plus probable » pour l’expliquer et annonce&nbsp;un&nbsp;renforcement de sa sécurité.





La contrat de confesse <img data-src=" />

votre avatar

“Les devis «&nbsp;sont transmis aux clients via des URL cryptées et aléatoires&nbsp;»”<img data-src=" />

votre avatar

Ya un SEO qui va se faire tapper sur les doigts pour ne pas avoir demandé de disallow pour les robots sur cette partie du site :p

votre avatar

un problème de fuites, appellez dart……. ha bas nan en fait

votre avatar

<img data-src=" /> ça n’a jamais été leur métier <img data-src=" />

votre avatar

alors&nbsp; :

cryptées : -5 on dit chiffrées en français

Url chiffrés : -5 on peut chiffrer des paramètres mais jamais une url, une url est quelquechose de fixe et référencable ce n’est pas secure, un bon parc de zombie aurait pu aspirer le tout

“C ‘est techniquement la seule façon dont cela a pu se produire” :&nbsp; -10, non il y aussi pu avoir des typiaks qui ont sniffés le tout pour récupérer les données et ont posté sur diiférents sites (pastebin ?) pour pouvoir s’amuser.



&nbsp;bon ben 0/20 pour darty <img data-src=" />

&nbsp;

votre avatar

mal foutu leur truc.. qu’on envoie le devis par mail ok, mais il devrait pas rester accessible comme ça, ou alors via le compte client, et pas style passoire



quoique les clients, à coller les devis sur des forums avec infos persos, ça me semble bien mérité aussi <img data-src=" />

votre avatar

ça aurait pu être pire, ce n’est pas juste un compteur qui s’incrémente facture00001.pdf puis facture00002.pdf etc. (et oui on a déjà vu ça <img data-src=" /> )

votre avatar







jpaul a écrit :



<img data-src=" /> ça n’a jamais été leur métier <img data-src=" />







c’est vrai eux ils s’occupent des belle-mères qui s’électrocutent sur les machines à laver


votre avatar

Ça a commencé avec le Y de Yahoo.



Ça a fini avec le Y de Darty.



Ça recommencera avec le Y de qui du coup??&nbsp;<img data-src=" />

&nbsp;

votre avatar







jb18v a écrit :



mal foutu leur truc.. qu’on envoie le devis par mail ok, mais il devrait pas rester accessible comme ça, ou alors via le compte client, et pas style passoire





Notamment, ils peuvent avoir des ennuis juidiciaires avec cette histoire (Loi 78-17 et Règlement UE 2016679)


votre avatar







XMalek a écrit :



Url chiffrés : -5 on peut chiffrer des paramètres mais jamais une url, une url est quelquechose de fixe et référencable ce n’est pas secure, un bon parc de zombie aurait pu aspirer le tout 



"C 'est techniquement la seule façon dont cela a pu se produire" :&nbsp; -10, non il y aussi pu avoir des typiaks qui ont sniffés le tout pour récupérer les données et ont posté sur diiférents sites (pastebin ?) pour pouvoir s'amuser.&nbsp;      


&nbsp;






De quoi tu parles quand tu dis “aspirer” et&nbsp; “sniffer” ?

Si c’est en https, on ne peut que voir l’IP ou le nom de domaine du serveur et pas le reste de l’URL.

&nbsp;Donc sauf faille ou autre problème de sécurité, on ne peut pas récupérer les URL en sniffant les paquets qui transitent.



Tout ce qu’on peut faire, c’est tenter de les trouver en mode brutforce. Mais disons que c ‘est par exemple 50 caractères aléatoires en base 64, ça fait 64^50 possibilités, cad environ 10^90. Bonne chance.

Et si les choses sont bien faites, il y a des mesures pour se protéger un peu de ce genre d’attaque.



Bref, pas terrible que ça soit référencer, mais mis à part ça, ça ne me choque pas. C’est assez courant d’avoir des URL “privés” mais accessibles publiquement. Ça permet aux gens d’éviter à avoir à se connecter et/ou de partager simplement.



PS: Bon j’admet, c’est peut etre pas addapté pour des devis.


Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions

  • Explication probable : un copier/coller malheureux

  • La sécurité va être renforcée, les clients prévenus par email 

Fermer