Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions

Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions

Le partage de confiance

35

Darty : des devis client fuitent sur Internet, le revendeur répond à nos questions

Des devis de clients Darty se sont retrouvés référencés par Google, laissant fuiter des données personnelles. Contacté par nos soins, le revendeur a corrigé le souci. Il nous expose son « hypothèse la plus probable » pour l'expliquer et annonce un renforcement de sa sécurité.

Les fuites de données sont malheureusement de plus en plus monnaie courante, certaines étant plus graves que d'autres. Le cas dont il est question aujourd'hui est assez particulier. En effet, via une simple requête sur des moteurs de recherche, il était possible de trouver des devis de clients Darty contenant des informations personnelles.

Hébergés sur le site du revendeur, ils étaient librement accessibles. Ce n'est désormais plus le cas et nous avons bien entendu attendu que le cache des moteurs de recherche se vide avant de publier cette actualité. Contacté par nos soins, Darty nous donne des pistes pour expliquer cette fuite, qui ne concerne qu'une poignée de clients. 

Explication probable : un copier/coller malheureux

En effet, 26 devis au format PDF appartenant à 25 clients différents étaient disponibles sur Darty.com. À l'intérieur, les nom, prénom, adresse, email, numéro de dossier, référence de l'appareil concerné (avec numéro de série, date d'achat, date de fin de garantie...), explication du problème, tarif de la réparation, etc. 

Les devis « sont transmis aux clients via des URL aléatoires » nous explique un responsable du revendeur, ajoutant qu'il ne comprenait du coup pas comment ils avaient pu être référencés par Google. De plus, seuls 26 devis sont concernés alors que la plateforme en regroupe plusieurs dizaines de milliers.

Voici un exemple d'URL utilisé par Darty pour transmettre un devis à un client :

https://xxxx.darty.com/yyy/zzz/OGM0MzU2NWIxOTFiMGM1MWIyOWU2YzBkY2Y1xxxxxxx/22143yyyy.pdf

« L'hypothèse la plus probable étant que les liens ont été copiés/collés sur des forums » par les clients eux-mêmes, et ensuite repérés par les moteurs de recherche. « A priori, c'est techniquement la seule façon dont cela a pu se produire » ajoute le revendeur. On s'étonne tout de même qu'une telle section ne soit pas interdite aux moteurs ou qu'aucune vérification ne soit mise en place concernant l'accès à ces documents.

Lors de ses investigations, Darty est également tombé sur des devis uploadés tels quels sur des forums par des clients, ce qui le conforte dans son hypothèse de départ. « Sauf nouvelle hypothèse émise par notre DSI, c'est vraiment [les clients] qui ont volontairement mis les URL en ligne » nous confirme Darty

Devis DartyDevis Darty

La sécurité va être renforcée, les clients prévenus par email 

Dans tous les cas, le revendeur nous précise qu'il « va sécuriser davantage ses devis, probablement avec un système de mot de passe ». Les 25 clients concernés vont être contactés via email par le revendeur. Ce dernier leur proposera au passage « un rappel à la prudence » pour éviter que cela ne se reproduise. 

Une mesure de bon sens que chacun devrait suivre : il faut toujours être très prudent quant aux données personnelles, aux fichiers et aux liens que l'on peut transmettre en public sur Internet. Le cas d'aujourd'hui est le parfait exemple de documents qui se sont retrouvés référencés sur les moteurs de recherche, alors que cela n'aurait pas dû être le cas.

Comme toujours en pareille situation, le principal risque est une attaque par phishing : un pirate pourrait essayer de se faire passer pour Darty (en exploitant les informations contenues dans le devis) et ainsi tenter récupérer d'autres données, comme les identifiants et mot de passe du compte d'un client.

Commentaires (35)




Contacté par nos soins, le revendeur a corrigé le souci. Il nous expose son « hypothèse la plus probable » pour l’expliquer et annonce un renforcement de sa sécurité.





La contrat de confesse <img data-src=" />


“Les devis «&nbsp;sont transmis aux clients via des URL cryptées et aléatoires&nbsp;»”<img data-src=" />


Ya un SEO qui va se faire tapper sur les doigts pour ne pas avoir demandé de disallow pour les robots sur cette partie du site :p


un problème de fuites, appellez dart……. ha bas nan en fait


<img data-src=" /> ça n’a jamais été leur métier <img data-src=" />


alors&nbsp; :

cryptées : -5 on dit chiffrées en français

Url chiffrés : -5 on peut chiffrer des paramètres mais jamais une url, une url est quelquechose de fixe et référencable ce n’est pas secure, un bon parc de zombie aurait pu aspirer le tout

“C ‘est techniquement la seule façon dont cela a pu se produire” :&nbsp; -10, non il y aussi pu avoir des typiaks qui ont sniffés le tout pour récupérer les données et ont posté sur diiférents sites (pastebin ?) pour pouvoir s’amuser.



&nbsp;bon ben 0/20 pour darty <img data-src=" />

&nbsp;


mal foutu leur truc.. qu’on envoie le devis par mail ok, mais il devrait pas rester accessible comme ça, ou alors via le compte client, et pas style passoire



quoique les clients, à coller les devis sur des forums avec infos persos, ça me semble bien mérité aussi <img data-src=" />


ça aurait pu être pire, ce n’est pas juste un compteur qui s’incrémente facture00001.pdf puis facture00002.pdf etc. (et oui on a déjà vu ça <img data-src=" /> )








jpaul a écrit :



<img data-src=" /> ça n’a jamais été leur métier <img data-src=" />







c’est vrai eux ils s’occupent des belle-mères qui s’électrocutent sur les machines à laver



Ça a commencé avec le Y de Yahoo.



Ça a fini avec le Y de Darty.



Ça recommencera avec le Y de qui du coup??&nbsp;<img data-src=" />

&nbsp;








jb18v a écrit :



mal foutu leur truc.. qu’on envoie le devis par mail ok, mais il devrait pas rester accessible comme ça, ou alors via le compte client, et pas style passoire





Notamment, ils peuvent avoir des ennuis juidiciaires avec cette histoire (Loi 78-17 et Règlement UE 2016679)









XMalek a écrit :



Url chiffrés : -5 on peut chiffrer des paramètres mais jamais une url, une url est quelquechose de fixe et référencable ce n’est pas secure, un bon parc de zombie aurait pu aspirer le tout



"C 'est techniquement la seule façon dont cela a pu se produire" :&nbsp; -10, non il y aussi pu avoir des typiaks qui ont sniffés le tout pour récupérer les données et ont posté sur diiférents sites (pastebin ?) pour pouvoir s'amuser.&nbsp;      

&nbsp;







De quoi tu parles quand tu dis “aspirer” et&nbsp; “sniffer” ?

Si c’est en https, on ne peut que voir l’IP ou le nom de domaine du serveur et pas le reste de l’URL.

&nbsp;Donc sauf faille ou autre problème de sécurité, on ne peut pas récupérer les URL en sniffant les paquets qui transitent.



Tout ce qu’on peut faire, c’est tenter de les trouver en mode brutforce. Mais disons que c ‘est par exemple 50 caractères aléatoires en base 64, ça fait 64^50 possibilités, cad environ 10^90. Bonne chance.

Et si les choses sont bien faites, il y a des mesures pour se protéger un peu de ce genre d’attaque.



Bref, pas terrible que ça soit référencer, mais mis à part ça, ça ne me choque pas. C’est assez courant d’avoir des URL “privés” mais accessibles publiquement. Ça permet aux gens d’éviter à avoir à se connecter et/ou de partager simplement.



PS: Bon j’admet, c’est peut etre pas addapté pour des devis.



Et sinon, concernant ces fuites sur internet, on va faire une enquête ?



google site:gouv.fr “ne pas diffuser”



Je n’ose même pas cliquer sur un de ces liens vu ce qui est arrivé à bluetouff il y a 2 ans.








js2082 a écrit :



Ça a commencé avec le Y de Yahoo.



Ça a fini avec le Y de Darty.



Ça recommencera avec le Y de qui du coup?? <img data-src=" />





Yarthy. <img data-src=" />



Oui, au moins le fait que le paramètre dans l’url soit un tant soit peu chiffré limite un peu la portée.

Y a des plus gros groupes qui font pire avec juste un id qui s’incrémente…

Je sais pas trop si c’est le genre de “faille” qu’on peut remonter à l’anssi.








Gats a écrit :



Et sinon, concernant ces fuites sur internet, on va faire une enquête ?



google site:gouv.fr “ne pas diffuser”



Je n’ose même pas cliquer sur un de ces liens vu ce qui est arrivé à bluetouff il y a 2 ans.





En fait, la transparence est là depuis longtemps. <img data-src=" />



Ne pas diffuser ne veut pas dire ne pas consulter. <img data-src=" />


<img data-src=" />


Ton commentaire tout comme la phrase”On s’étonne tout de même qu’une telle section ne soit pas interdite aux moteurs” de l’article m’interpellent : n’avais-je point lu qu’on ne pouvait pas vraiment interdire quoi que ce soit aux robots d’indexation ? On peut leur demander gentiment de passer leur chemin, mais rien ne les oblige à obéir, semble-t-il.

(C’est d’ailleurs ce que dithttps://fr.wikipedia.org/wiki/Protocole_d%27exclusion_des_robots )








Chicxulub a écrit :



Ton commentaire tout comme la phrase”On s’étonne tout de même qu’une telle section ne soit pas interdite aux moteurs” de l’article m’interpellent : n’avais-je point lu qu’on ne pouvait pas vraiment interdire quoi que ce soit aux robots d’indexation ? On peut leur demander gentiment de passer leur chemin, mais rien ne les oblige à obéir, semble-t-il.

(C’est d’ailleurs ce que dithttps://fr.wikipedia.org/wiki/Protocole_d%27exclusion_des_robots )





Oui enfin une case où il faut mettre un code de 4 chiffres ou même, allez soyons fous, une erreur si le user agent est celui d’un indexeur n’aurait pas été du luxe



Captain Obvious à la rescousse : Il aurait du faire autrement








jb18v a écrit :



mal foutu leur truc.. qu’on envoie le devis par mail ok, mais il devrait pas rester accessible comme ça, ou alors via le compte client, et pas style passoire



quoique les clients, à coller les devis sur des forums avec infos persos, ça me semble bien mérité aussi <img data-src=" />





Difficile d’être si catégorique.

Aujourd’hui, l’une des bonnes pratiques pour l’enregistrement d’un client, c’est qu’au lieu de lui envoyer un couple user/password, on lui génère un lien qui lui permette de se connecter directement à son compte. Libre à lui de se créér un mot de passe par la suite.



S’il transmet bêtement ce lien sur un forum, c’est qui le coupable ?



Celui-ciau moins peut être lu sans problème.



C’est un communiqué qui ne devait pas être diffusé dans certains pays.



Idem pour celui-là








Ler van keeg a écrit :



Difficile d’être si catégorique.

Aujourd’hui, l’une des bonnes pratiques pour l’enregistrement d’un client, c’est qu’au lieu de lui envoyer un couple user/password, on lui génère un lien qui lui permette de se connecter directement à son compte. Libre à lui de se créér un mot de passe par la suite.



S’il transmet bêtement ce lien sur un forum, c’est qui le coupable ?





Oui enfin ce genre de trucs quand c’est fait correctement c’est un lien à usage unique limité dans le temps.





On s’étonne tout de même qu’une telle section ne soit pas interdite aux moteurs ou qu’aucune vérification ne soit mise en place concernant l’accès à ces documents.



C’est étonnant, mais il est peu évident de bloquer l’accès à des documents aux moteurs de recherche, en particulier à Google.



Il existe plusieurs méthodes d’action pour limiter l’indexation d’un contenu web en ligne :





  • robots.txt : Google (et sans doute d’autres moteurs de recherche) l’interprète(nt) comme “ne pas visiter”, non comme “ne pas indexer”, avec pour conséquence de voir des contenus non visités dans les résultats de recherche (mais pas dans le cache, donc) ;

  • meta robots : spécifique au HTML, alors qu’il est question de PDF ici, donc non applicable ;

  • entête HTTP X-Robots-Tag : entête peu connu, il réclame la configuration du serveur web et ne garantit pas sa prise en compte par tous les moteurs de recherche.





    Ici, pour empêcher Google d’indexer les devis, il aurait fallu employer l’entête HTTP. Toutefois, celui-ci n’étant pas nécessairement généralement reconnu, on est plutôt amené à opter pour robots.txt, plus général. Malheureusement, robots.txt aurait empêché Google de lire l’entête HTTP, le rendant caduc. Certes, dans ce cas, les devis n’auraient pas fini dans le cache de Google.



    D’autres solutions, peut-être plus simples, existent, comme l’exigence d’une connexion préalable à l’accès aux documents (mais cela rend l’accès moins intuitif, faisant abandonner certains clients), ou encore l’attachement du PDF aux emails de notification, au lieu d’une simple URL à cliquer (à supposer que l’URL transite à l’origine par email).


Et tout le monde y va de son petit commentaire. “trop des nazes Darty”, “+1 lawl, Boulet de Darty”, et j’en passe.

Ce qui occasionne quelques petits recadrages; merci Amabka.



Typiquement le genre de personnage qui probablement utilise des services encore plus pourris sans pour autant le savoir (ou le comprendre).



Rappel de l’article; paragraphe 2:

&nbsp;“Les fuites de données sont malheureusement de plus en plus monnaie courante”


Suivre les indications du robots.txt est facultatif. Les moteurs de recherche sérieux le suive (et Google aussi donc)


Tu peux expliquer en quoi c’est pas bien ?


Précision d’ailleurs sur la non indexation de ces résultats : en dehors de la secu des données ça serait CARRÉMENT rentable pour Darty de bloquer ces pages qui n’ont pas vocation a été indexées pour ne pas “pourrir” leur budget de crawl chez Google et donc diluer le crawl des pages qui ont réellement besoin d’être crawlés et indexés.



C’est con ‘javais une amie au SEO de Darty mais elle s’est barrée il y a des mois j’aurai pu la vanner facilement :p


si elle s’est barré il y a des mois, c’est peut-être toujours ce qu’elle a fait qui est en place! <img data-src=" />








Minikea a écrit :



si elle s’est barré il y a des mois, c’est peut-être toujours ce qu’elle a fait qui est en place! <img data-src=" />





J’osais pas le dire mais je comptais bien l’emmerder sur le sujet :p









Gats a écrit :



Et sinon, concernant ces fuites sur internet, on va faire une enquête ?



google site:gouv.fr “ne pas diffuser”



Je n’ose même pas cliquer sur un de ces liens vu ce qui est arrivé à bluetouff il y a 2 ans.







oui faut pas… mais bon si tout plein de gens cliquent ça va pas être bien grave. Pour le pauvre bluetouff c’est qu’il était bien seul à avoir trouver le truc et avoir diffuser l’info sur son site (de mémoire)



Sont cons les gens aussi…








sylvere a écrit :



ça aurait pu être pire, ce n’est pas juste un compteur qui s’incrémente facture00001.pdf puis facture00002.pdf etc. (et oui on a déjà vu ça <img data-src=" /> )





Non t’inquiète, ça c’est la génération des couples identifiants / mots de passes pour les nouveaux comptes à BNP Entreprises…



samsung a fait une bourde dans le genre il y a quelques mois sur un lien de maj d’un compte pour une odr. a chaque refresh de la page, j’avais les coordonnées du dernier type qui avait tenté de s’enregistrer… et sur ce coup, le client n’y était pour rien, c’était entièrement la faute de samsung


Fermer