Cookies de connexion, tracking des utilisateurs : les failles (corrigées) de Boursorama
Le 31 août 2020 à 08h45
3 min
Internet
Au milieu de l’été, Pixel de tracking a découvert une faille de sécurité sur les données de connexion de la banque en ligne : « la filiale de la Société Générale permet à AT Internet et à Smart AdServer d'accéder à votre compte bancaire », affirme le site.
Pour résumer, l’explication se trouve dans la gestion des cookies et le suivi des utilisateurs. AT Internet (ex-Xiti) « se dissimule donc chez Boursorama : un sous-domaine Boursorama qui n'attire pas l'attention (c0011.boursorama.com), mais qui pointe vers un obscur domaine (at-o.net) ». On retrouve plus ou moins la même chose avec Smart AdServer.
Les risques sont importants : « Si le site partenaire n'a pas pris ses précautions, AT Internet peut lire tous les cookies déposés, et pas simplement les cookies créés par AT Internet ». C’est notamment le cas de ceux servant à rester connecté. Le danger reste limité, car la session expire au bout d'un certain temps, mais « cela veut dire qu'un employé mal intentionné d'AT Internet peut se connecter au compte Boursorama Banque de n'importe qui. Menace théorique bien sûr, cet employé devra avoir les compétences techniques et le bon niveau d'autorisation pour analyser les logs serveurs ».
Dans une mise à jour du 11 août, Pixel de tracking précise que le problème est résolu : « les données envoyées à AT Internet passent désormais par le domaine c0012.brsimg.com, celles envoyées à Smart AdServer passent par plusieurs domaines dont ww16.smartadserver.com ». Mais ce n’était pas le seul point noir identifié : si vous « refusez le pistage, Boursorama n'en tient pas compte ». La situation s’est également améliorée : « Boursorama respecte maintenant votre choix si vous refusez d'être pisté sur le web (excepté pour AT Internet qui dispose d'une exemption de la CNIL) ».
Il reste néanmoins du travail pour notre confrère : « Boursorama a toujours une attitude hostile envers les utilisateurs d'adblock, et ne vous permet pas de refuser le pistage sur son App iOS, mais c'est déjà un gros progrès ». Il a d'ailleurs depuis publié un nouvel article en s'intéressant aux pratiques du site du journal Le Monde.
Le 31 août 2020 à 08h45
Commentaires (4)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 31/08/2020 à 11h17
#1
Ouais le popup à chaque connexion à son compte bancaire: veuillez désactiver votre bloqueur de publicité… heureusement que c’est “gratuit” (sans compter les commissions CB qu’on paie aux commerçants), sinon j’aurais fuit ailleurs depuis longtemps
Le 31/08/2020 à 11h36
#2
Et pour l’article qui détail les pratiques du monde.fr : les premiers à donner des leçons aux autres (cons d’électeurs contre la constitution néolibéraliste de l’UE en 2005…), sont les premiers à violer la loi de cette UE (RGPD) dans le dos de leurs lecteurs
Le 31/08/2020 à 15h21
#3
Caisse d’Epargne fait pire : si tu désactives pas ton adblocker, la page de saisie du mdp ne charge pas (et aucune info pour te prévenir)
Le 01/09/2020 à 12h10
#3.1