Category Archives: vie privée

Allongez votre URL

Une petite preuve de concept plutôt rigolotte (via Stéphane) :

http://long.rezo.net/

Et en plus c’est original.

Je ne suis que très partiellement convaincu par l’argumentaire sur la question, mais un petit service de ce style permet au moins de mettre le doigt sur ce qui se passe en « arrière-boutique » des raccourcisseurs, qui ne sont souvent qu’un mauvais palliatif pour transmettre des adresses via des formats étriqués (Twitter, SMS, mail…) qu’il vaudrait mieux directement améliorer ou remplacer, suivant le cas.

J’aime beaucoup la liste des URL récentes… qui présente cependant exactement deux des problèmes signalés dans l’argumentaire contre les raccourcisseurs 🙂

La sécurité des paiements chez rueducommerce.com

Parfois la sécurité informatique telle qu’elle est mise en oeuvre par les commerçants en ligne me fait rigoler… jaune.

Hier soir j’ai réalisé une commande de Noël payée par carte bancaire sur www.rueducommerce.com.

Ce matin je reçois de leur part un courrier électronique dont voici un extrait :

Nous vous demandons de nous adresser, afin de valider votre commande, une copie recto verso de la carte bancaire ayant servi au règlement de votre commande en prenant soin de ne laisser apparaître que les 4 premiers et 2 derniers chiffres du numéro sur l’avant et en masquant le cryptogramme sur l’arrière de la carte (ce qui garantit la sécurité totale de votre envoi et empêche toute utilisation de la carte). Nous vous remercions d’accompagner ce document d’une copie de votre pièce d’identité.

Je passe sur les entêtes MIME incomplets du courrier en question qui bousillent la visibilité correcte des accents, et sur le laïus habituel « c’est pour votre sécurité ».

J’ai l’impression que rueducommerce.com se bidouille elle-même sa propre procédure de sécurité avec un résultat imparfait : je n’ai jamais vu ça ailleurs. En somme, rueducommerce.com me demande de compromettre ma propre sécurité au bénéfice de la sienne. Ce n’est pas explicité dans les conditions générales de vente, qui parlent uniquement de justificatif de domicile et d’identité et se gargarisent de l’utilisation de SSL pour protéger la transaction ; ce n’est pas non plus cité dans les engagements de la société. Je trouve ce procédé limite en ce qui concerne la franchise préalable à l’égard du client potentiel. Et alors que ma banque prévoit une vraie procédure de sécurité renforcée avec mot de passe à utilisation unique pour protéger les transactions carte bancaire via leur site web, celle-ci n’a pas été utilisée par rueducommerce.com. D’autres banques proposent des procédures similaires (vérification de la date de naissance du porteur, etc).

D’ailleurs, petit jeu : qui voit où est le problème de sécurité si on applique à la lettre les instructions ci-dessus ? C’est tout bête.

Apparemment cette procédure n’est pas nouvelle et je ne suis pas le seul à la trouver pénible.

Extraits de la réponse du modérateur de leur forum :

La vérification d’identité est pratiquée par tous les grands sites internet dans le monde, pour lutter contre la fraude à la carte bancaire

Faux : amazon, un des plus gros sites de vente, ne le fait pas.

Si notre service vous demande des pièces et que l’adresse est de RueDuCommerce, alors la demande est valable.

Faux : si on pouvait compter sur l’adresse d’origine indiquée dans les mails, ça se saurait… rueducommerce.com ne semble pas connaître le phishing.

Je n’ai rien contre les mesures de sécurité, mais encore faut-il qu’elles ne soient pas à moitié stupides… J’espère au moins que cette procédure surprise qui a déjà fait perdre une journée à ma commande ne me fera pas louper la livraison avant Noël. Si vous faites des commandes de dernière minute sur leur site, méfiez-vous !

 

Mise à jour 5 juin 2014

Laurent Penou me signale sur twitter que la recommandation suivante a été adoptée en novembre 2013, J.O. du 6 décembre 2013 :

La commission considère également que le responsable de traitement, ou son prestataire, ne peut demander la transmission de la photocopie ou de la copie numérique du recto et/ou du verso de la carte de paiement même si le cryptogramme visuel et une partie des numéros sont masqués. En effet, la transmission de ce document n’est pas compatible avec les obligations de sécurité et les conditions d’utilisation que doit respecter le titulaire de la carte de paiement conformément à l’article L. 133-16 du code monétaire et financier.

Mise à jour 6 juin 2014

@bituur_esztreym sur twitter me signale cette délibération n°2013-045 du 28 février 2013 qui demande explicitement l’arrêt du système par courriel :

Par ailleurs, la société RdC reçoit les pièces justificatives susmentionnées par courriel.
Or, l’article 34 de la loi du 6 janvier 1978 modifiée dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Conformément à ces dispositions, la société RdC s’est engagée à assurer une transmission sécurisée des pièces justificatives en mettant à la disposition de ses clients, sur la page de leur compte individuel en ligne, un formulaire spécifique permettant le téléchargement de ces pièces.

Google, Internetactu et OVH…

Exemple vécu ce jour, qui (m’)aide à comprendre en quoi le DNS Google peut, éventuellement, servir à quelque chose. Les fournisseurs d’accès ont bon dos (il est de bon ton de leur tirer dessus, et ni Google ni OpenDNS ne se sont gênés), mais souvent ce sont les sites d’origine qui ne gèrent pas correctement leur DNS.

Ainsi, aujourd’hui tous les serveurs DNS du site internetactu.net (deux serveurs DNS chez l’hébergeur à bas coût OVH) sont actuellement en carafe :

% dig www.internetactu.net
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 17958

% dig ns internetactu.net
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 14783

% dig +norecurse ns internetactu.net
;; AUTHORITY SECTION:
internetactu.net.       172652  IN      NS      ns352862.ovh.net.
internetactu.net.       172652  IN      NS      sdns1.ovh.net.

Qu’en pense OpenDNS ?

% dig @208.67.222.222  www.internetactu.net
;; connection timed out; no servers could be reached

Pas glorieux…

Qu’en pense Google Public DNS ?

% dig @8.8.8.8 www.internetactu.net
www.internetactu.net.   72852   IN      A       91.121.87.216

La bonne réponse.

La question « naturelle » que l’on peut se poser, et qui n’est pas neutre au vu de ce qui précède : est-ce un effet « normal » de cache DNS, ou Google effectue-il de la mise en cache « agressive » et au delà des spécifications du DNS pour donner des réponses de meilleure qualité ? (la mise en cache agressive est avérée, elle a été annoncée lors de l’ouverture du service).

Ironie suprême, j’ai découvert la panne qui précède en tentant d’aller consulter sur ledit site des articles sur la Googlisation de nos vies (trouvés via un article du Standblog trouvé via Stéphane).

Le cannois déchaîné ne tient pas ses promesses

Le 24 février 2009, suite à un commentaire de leur part posté sur ce billet, j’envoyais au spammeur cannois déchaîné, qui mettait explicitement en cause Vélib (« interrogez-vous sur le fait que Vélib fourni [sic] apparemment les adresses de certains de ses abonnés à des entreprises partenaires »), le mail suivant :

Bonsoir très cher Le Cannois Déchaîné,

J’ai lu avec intérêt votre commentaire sur mon blog, et j’y ai
répondu.

Puisque vous assurez être en mesure de retracer l’origine des
adresses que vous détenez, je vous remercie de bien vouloir m’indiquer
par quel miracle mon adresse xxxx@yyyy s’est retrouvée
dans vos fichiers.

Très cordialement,

J’attends toujours la réponse à cette question bien précise… et je continue de recevoir évidemment lesdits spams. Le cannois déchaîné a donc bel et bien les mêmes pratiques que les spammeurs.

Hadopi…trerie

Je n’ai jamais parlé de la loi Hadopi ici : son absurdité est avérée, comme l’était celle de la loi DADVSI qui l’a précédée, d’autres en parlent très bien et je n’ai rien à ajouter à la polémique qui changerait quoi que ce soit à la question ; la loi vient d’être adoptée (ce qui ne faisait aucun doute) et sera inapplicable, comme beaucoup d’autres (dont la DADVSI, donc).

Mais là tout de même, on atteint des sommets proprement inimaginables : « pour contester une sanction de la HADOPI, un internaute devra envoyer son disque dur pour qu’il soit vérifié ».

Il serait temps que nos décideurs (les politiques mais pas qu’eux, j’ai en ce moment l’occasion de le constater chez mon employeur) entrent dans le XXe siècle ; à défaut du XXIe, ça serait au moins un début.

Il est peut-être bon de rappeler que la loi Hadopi s’appuie sur les conclusions du rapport Olivennes (d’ailleurs co-rédigé avec l’organisme de tutelle de mon employeur…) qui, s’il a recommandé effectivement la mise en place de filtrage (impraticable de manière efficace), n’a pas poussé la stupidité jusqu’à réclamer les disques durs en cas de contestation…

Qui revend les fichiers d’e-mail de Vélib ?

La stupeur du jour : au milieu du monçeau de spam que je reçois quotidiennement, je m’aperçois qu’une feuille de chou de spammeurs cannois appelée Le Cannois Déchaîné, éditée par un certain Michel Émeriau, m’est expédiée chaque semaine depuis fin octobre… à une adresse e-mail spécifique de mon compte Vélib que je n’ai donnée à personne d’autre qu’à Vélib ! Inutile de dire que la plupart des règles légales listées sur le site de la CNIL sont allègrement piétinées et que le fichier utilisé par les cannois n’est probablement même pas déclaré comme il devrait l’être (s’il l’est, son numéro de déclaration n’est pas mentionné).

Le mail vient chaque semaine d’une boite Kimsufi (ks357064.kimsufi.com [91.121.144.197]). OVH ne semble donc pas avoir levé le petit doigt pour l’instant…

À part Vélib proprement dit, la seule autre société ayant logiquement légitimement connaissance de cette adresse est le prestataire effectuant les envois de mail pour Vélib, Edatis.

Pour résumer : Vélib dispose légitimement de mon adresse, Edatis l’obtient et s’en sert pour expédier les mailings légitimes de la Mairie de Paris concernant Vélib… et pouf, comme par magie, l’adresse se retrouve entre les mains d’une boite cannoise qui n’a rien à voir avec tout ça. Je me demande qui est le margoulin…

Mise à jour : je reçois aussi depuis lundi des spams de info@cinecroisette.com (ks357064.kimsufi.com [91.121.144.197] également).

Recommandations Olivennes : l’enterrement de la loi DADVSI

Suite à la publication du rapport de la mission Olivennes (PDG de la FNAC, gros vendeur de musique et vidéo), la signature de l’accord entre les fournisseurs d’accès à Internet et les professionnels de la musique fait l’actualité. Cet accord prévoit, après plusieurs avertissements, la coupure des connexions Internet des internautes piratant des contenus. Le procédé est déjà de nature à faire lever quelques sourcils : pourquoi, tant qu’on y est, ne pas faire carrément couper l’abonnement électrique (tout autant nécessaire pour le piratage des oeuvres) des personnes concernées ? Ou interdire à celles-ci l’utilisation d’un ordinateur ? Pourtant, la lecture du rapport complet montre que le fort médiatique accord cité plus haut n’est que la partie émergée de l’iceberg.

Continue reading Recommandations Olivennes : l’enterrement de la loi DADVSI

Facebook tombe le masque

Dans un article titré Le site Facebook vend le profil de ses internautes aux publicitaires, Le Monde (qui en fait même sa une du 11 novembre) évoque une lettre récente du fondateur du réseau Facebook à ses annonceurs, leur proposant explicitement l’exploitation des données personnelles de ses utilisateurs à des fins marketing.

Cela était totalement prévisible puisque toute l’architecture technique de Facebook, depuis le lancement des applications tierces avec leur mode de diffusion viral, est conçue dans ce but, comme j’en ai déjà parlé.

L’expérience montre cependant que l’exploitation marketing un brin trop éhontée (et surtout lorsqu’elle devient un but en soi, comme c’est maintenant le cas chez Facebook) finit souvent par se retourner contre ses instigateurs. L’article du Monde évoque d’ailleurs les réactions défavorables des « défenseurs des données personnelles »…

CustomizeGoogle, l’extension Firefox du jour

Suite à mes inquiétudes concernant les informations que mon navigateur laisse en pâture à Google, je viens de m’apercevoir que l’extension CustomizeGoogle a déjà tout prévu, comme le montre cette copie d’écran de la section Privacy de sa configuration :

customizegoogle.png

Il existe bien d’autres réglages que ceux présentés ci-dessus. Hop, extension adoptée. Espérons qu’elle ne contient pas d’autres types de mouchards…

web social ouvert contre vie privée

Une initiative récente, A Bill of Rights for the Social Web, tente de répondre à l’expansion des sites où le contenu est produit par les utilisateurs. L’an dernier par exemple, ce fut une guéguerre entre Flickr et Zoomr sur la migration des données des utilisateurs d’un service à l’autre. Plus récemment, c’est le réseau Facebook qui est soupçonné de vouloir constituer une sorte de « web fermé » prenant en otage les utilisateurs et leurs données. En effet, les pages Facebook ne sont accessibles qu’aux abonnés Facebook.

On trouve chez Biologeek une bonne traduction et analyse de ce « Bill of Rights ». J’y reviens plus bas.

De son côté, Facebook a annoncé récemment l’accès public aux profils de ses utilisateurs, mesure peut-être destinée à rassurer les inquiets, mais aussi à accroître le nombre d’incitations à y ouvrir un compte. Cela ne correspond pas exactement à ce que demande le « Bill of Rights », mais cela répond à l’accusation de fermeture.

Là où le bât blesse, c’est que cela va dans le sens d’une exposition accrue des données personnelles des utilisateurs, plus ou moins à leur insu.

Continue reading web social ouvert contre vie privée