Des numéros de CB de clients ont circulé sur Internet. Les dirigeants de ce site d'immobilier continuent à nier toute faille.
Jusqu'à lundi, les coordonnées bancaires de clients d'Entreparticuliers.com, un site d'annonces se présentant comme le « premier site immobilier des particuliers », étaient accessibles sur Internet. Alors que les policiers de la Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI) ont été saisis par le parquet de Nanterre, la direction du site nie toute faille informatique.
En tâtonnant sur le site et en injectant une requête SQL, un pirate informatique a pu accéder à des dizaines de numéros de cartes bancaires de clients d'Entreparticuliers.com, avec date d'expiration, cryptogramme de sécurité et, bien sûr, nom du propriétaire. Le lien hypertexte nanti de la requête SQL a ensuite circulé sur Internet. Denise R., José M., Michèle G., Jean-Marie W. et plus d'une centaine d'autres clients, qui ont mis un bien immobilier en vente sur le site, peuvent s'inquiéter pour leur compte en banque.
Quarante-huit heures après le début de l'enquête de police, le parquet de Nanterre n'est pas en mesure de se prononcer sur ses premières orientations. Selon les recherches menées par Rue89, le problème rencontré par le site d'annonces ne pourrait avoir que deux explications : soit une faille dans le système de sécurité, soit une malveillance interne ayant conduit à la publication des données sur une partie ajoutée au site pour l'occasion.
Quatre tentatives de fraude sur une carte
D'après des clients concernés, les données qui étaient disponibles jusqu'à lundi sur le Web sont authentiques et correspondent à des cartes délivrées par des banques en France, aux Etats-Unis, en Suisse et en Géorgie, notamment. Ainsi, un des clients a passé une annonce sur le site le 8 février, en utilisant une e-Carte bleue. Moins de quinze jours plus tard, ses coordonnées bancaires ont été utilisées pour quatre tentatives de fraude, sur deux sites de vente de produits hi-tech différents. En vain, puisque cette e-Carte bleue était à usage unique.
Sur Internet, plusieurs blogueurs ont fait état de la publication de ces données, qu'ils
ont qualifiée de « faille ». Le PDG d'Entreparticuliers.com, Stéphane Romanyszyn, récuse totalement ce terme et affirme que ses données clients sont totalement sécurisées. Alors que des blogueurs publient des captures d'écran témoignant de la « faille », la direction du site réagit.
Guerre d'image
Entreparticuliers.com vient d'annoncer de brillants résultats pour 2007, avec notamment un chiffre d'affaires de 14,8 millions d'euros, en hausse de 63,7%, et un bénéfice net en hausse de 86,1%. Créé en 2000 par Stéphane Romanyszyn, qui reste premier actionnaire avec plus de 74% du capital, le site a toujours fait preuve d'un goût certain pour les annonces fracassantes. Entreparticuliers.com se présente ainsi comme « le n°1 des annonces de ventes immobilières entre particuliers sur Internet », ce qui n'est pas l'avis de son grand rival De particulier à particulier, qui serait le « premier site immobilier français » -et pas pour les professionnels, comme son nom l'indique.
Fin mars, Stéphane Romanyszyn déclarait aux Echos qu'un rapprochement entre De particulier à particulier et sa société présenterait « des synergies évidentes », ce que contestait très vite le concurrent.
Enfin, pour terminer cette semaine noire pour Entreparticuliers.com, un autre de ses concurrents, SeLoger.com, vient d'annoncer avoir déposé plainte contre ce site (parmi d'autres) pour « pillage substantiel » de sa base de données.
Vendredi 4 avril, elle publie un communiqué annonçant pour lundi le dépôt d'une plainte pour « faux et usages de faux, atteinte volontaire aux données d'un système informatisé, complicité et association de malfaiteurs informatiques » :
« La campagne de dénigrement, relayée et entretenue actuellement sur le Web par des internautes malveillants, au travers de prétendues captures d'écran, se fonde sur la production de faux grossiers et sur la communication de fausses informations gravement mensongères.
“La diffusion de ces fausses informations, dans un objectif délibéré de déstabilisation commerciale de la société, laisse croire qu'Entreparticuliers.com dévoilerait les données bancaires de ses clients et serait défaillante quant à la capacité d'en assurer la protection et la confidentialité.
Entreparticuliers.com rappelle que les flux de données échangés sur son site Internet lors de transactions commerciales sont confidentiels et protégés, le système d'information du site www.entreparticuliers.com étant parfaitement sécurisé, conformément à la norme.”
L'entreprise rappelle aussi quel est son modèle économique : “Le paiement de l'annonce déposée par le vendeur du bien et un accès gratuit pour les acheteurs potentiels.” Le communiqué se termine sur ce rappel : “Entreparticuliers.com est coté sur Alternext de NYSE Eeuronext depuis février 2007.”
La société nie la faille, le cours en Bourse remonte
Lundi, ce communiqué a été repris sans broncher par des dizaines de sites d'information financière. Pour Entreparticuliers.com, le tour est joué : les investisseurs sont rassurés et le cours remonte de 1,5%. Depuis le 1er janvier, il a perdu 14,76%.
Joint par Rue89, Stéphane Romanyszyn nie avoir reconnu la faille auprès de 01net et se réserve le droit de poursuivre le journaliste qui l'avait cité dans son article. Le PDG estime avoir “affaire à un complot” :
“Il ne s'agit pas d'une faille mais d'actes malveillants. On ne sait pas s'il y a eu une complicité interne. On dérange des concurrents en perdition, des intermédiaires immobiliers. Si quelqu'un voulait flinguer le cours en Bourse, il ne s'y prendrait pas autrement. Nous respectons le standard PCI-DSS, et conformément à l'évolution de cette norme, les données bancaires de nos clients, qui sont sur nos serveurs et pas en ligne, sont en cours de cryptage. En juin, elles seront stockées sur le serveur de la banque.”
Le site n'en est pas à ses premiers échanges d'amabilités avec la blogosphère : il y a tout juste un an, il avait obtenu le retrait d'un post contestant ses méthodes commerciales. Des méthodes aussi contestées par l'UFC-Que Choisir dans une enquête publiée début avril.
4
De DidierB63
Devant un écran | 21H13 | 09/04/2008 |
Faille de sécurité ou actes malveillants, il y a de toute façon quelque chose de pourri au royaume merveilleux de Entreparticuliers.com et on joue sur les mots pour se protéger.
Soit c'est une faille technique, soit c'est une faille humaine, mais cela reste une faille de sécurité.
Leurs dénégations me rappellent un peu celles de la Société Générale dans l'affaire Kerviel.
Là aussi il ne s'agissait pas d'une faille… Mais si, quand même !
http://polemiquons.over-blog.com/
De pene-r
21H20 | 09/04/2008 |
Ben, je trouve un peu bizarre qu'ils gardent toutes les données de la carte bleue, sur une base SQL et sans cryptage ! ! …
Date d'expiration et crypto ! !
De had
voyageur | 21H25 | 09/04/2008 |
finalement, c'est assez commun. Rares sont les sites de vente en ligne qui cryptent toutes les données personnelles des clients.
(pour ceux qui les récupèrent bien entendu : lorsque vous payer directement sur le site d'une banque, ou avec paypal, le vendeur ne sait rien de vos données banquaires, juste que son compte a été crédité)
la sécurité en ligne est une course constante, et les hackers (black hat) ont malheureusement tjs une longueurs d'avance !
De pene-r
21H51 | 09/04/2008 |
Ce qui me surprend c'est qu'ils stockent ces données non cryptés, et pourquoi ne passent-ils pas déjà par une banque (si ils sont pas capable au minimum de les crypter) ?
Je suppose qu'ils en ont les moyens et si il y a un problème de ce genre (hack) c'est la banque responsable.
Peut être le coût sur un gros volumes de transactions ? M'enfin, on parle d'une société côté en bourse quand même ! !