Fnac.com : des données bancaires stockées en clair

Le par  |  11 commentaire(s)
fnac

La Commission nationale de l'informatique et des libertés adresse un avertissement à l'éditeur de Fnac.com pour manquements dans la conservation des données bancaires des clients. Certaines informations étaient conservées sous forme non chiffrée.

La bonne nouvelle, la Cnil veille au grain dans le secteur du commerce en ligne. La mauvaise, des manquements sont encore constatés. En l'occurrence, l'exploitant du site Fnac.com ( Fnac Direct ) vient de se faire taper sur les doigts.

Un simple avertissement mais étalé sur la place publique. Dans le cadre de mise en demeure non respectée, l'autorité administrative a le pouvoir de prononcer une sanction pécuniaire de jusqu'à 150 000 euros ( et 300 000 € pour récidive ).

Lors d'un contrôle qui a eu lieu en février 2012, la Cnil a constaté des manquements dans la conservation des données bancaires des clients du site Fnac.com.

fnacPlusieurs manquements dont des délais d'archivage des données trop longs, et qui plus est au mépris d'obligations de sécurité. Cela fait froid dans le dos alors que récemment plusieurs cas de fuites de données ont été mis au jour. Pour le cas de Fnac.com, révéler quelques données sensibles n'aurait pas posé de problème puisqu'elles étaient sauvegardées dans une base en clair.

Des données relatives à plusieurs millions de cartes bancaires dont certaines étaient toujours en cours de validité : nom du titulaire de la carte utilisée pour une transaction sur le site, date de validité, cryptogramme visuel. Et dans un format jugé insuffisamment sécurisé... le numéro de la carte.

Ouf de soulagement, il n'y a aucun préjudice pour les clients. Depuis, Fnac Direct a indiqué avoir mis en place un système de traitement et de conservation des données avec un haut niveau de sécurité.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #996591
Bien, classe pour l'un des plus gros sites de vente en ligne Français !
Ça inspire la confiance dans l'e-commerce ce genre de nouvelle, même si en cas de vol de ces données se sont les banques qui sont obligées (en théorie) de rembourser les clients lésés.
Le #996601
Comme quoi cela me rassure de payer par Paypal, même sur des sites comme la Fnac
Anonyme
Le #996631
spamnco a écrit :

Bien, classe pour l'un des plus gros sites de vente en ligne Français !>Ça inspire la confiance dans l'e-commerce ce genre de nouvelle, même si en cas de vol de ces données se sont les banques qui sont obligées (en théorie) de rembourser les clients lésés.


Pas exactement. La banque rembourse certes, mais elle demande derrière au fournisseur de la rembourser.
patheticcockroach Hors ligne VIP 7663 points
Le #996711
Surtout, depuis quand les sites (non bancaires) français s'amusent à stocker les numéros de CB ? Je croyais que ça se faisait que chez les barbares, ce genre de pratiques... (genre Amazon, 1&1, etc)
Le #996791
J'aurais préféré qu'ils se tapent une amende encore plus salé.
Le #996801
C'est pas le seul à conserver des traces. Steam par exemple conserve les données du formulaire d'achat afin de soit disant vous faciliter la vie pour vos futurs achats. Et le plus vicieux la dedans c'est que la case proposant de garder les infos, toute petite, est cochée d'avance. Et tout est en clair! C'est pas encore pareil que la Fnac, mais ça montrer qu'il est rapide de laisser des traces si on fait pas attention parfois.
Le #996921
Encore heureux qu'il n'est pas eu de fuite. Mais quel site est vraiment bien protégé?
patheticcockroach Hors ligne VIP 7663 points
Le #997171
Zébu29 a écrit :

C'est pas le seul à conserver des traces. Steam par exemple conserve les données du formulaire d'achat afin de soit disant vous faciliter la vie pour vos futurs achats. Et le plus vicieux la dedans c'est que la case proposant de garder les infos, toute petite, est cochée d'avance. Et tout est en clair! C'est pas encore pareil que la Fnac, mais ça montrer qu'il est rapide de laisser des traces si on fait pas attention parfois.


A l'étranger c'est classique, en France c'est à ma connaissance plus inhabituel...
Le #997481
Comment de grosses entreprises en e-commerce peuvent avoir des failles aussi "grotesques" ? Ils ont quoi comme informaticien ces gars là ? Le fils du voisin qui sait comment installer le plugin flash sur Firefox ? Mais soyons positif, cela démontre bien que le "https://" n'est pas un gage de sécurité des données bancaires transmises car trop nombreux sont ceux qui se sentent rassurés en voyant ce protocole !
Le #998351
Ulysse2K a écrit :

Comment de grosses entreprises en e-commerce peuvent avoir des failles aussi "grotesques" ? Ils ont quoi comme informaticien ces gars là ? Le fils du voisin qui sait comment installer le plugin flash sur Firefox ? Mais soyons positif, cela démontre bien que le "https://" n'est pas un gage de sécurité des données bancaires transmises car trop nombreux sont ceux qui se sentent rassurés en voyant ce protocole !


Bah, il suffit de bosser en SSII pour comprendre. La sécurité est rarement l'enjeu numéro 1 pour ce genre de boite (en fait ça l'est très rarement, même pour d'autres), la stratégie marketing, en revanche c'est autre chose!

Donc vu que ceux qui développent ne sont que des prestataires interchangeables à volonté, et que ceux qui testent ou qui valident sont des personnes à qui l'on demande surtout que les releases arrivent dans les temps, pas étonnant que les 3/4 des sites sous traités soient finis à la pisse.

Bref pour moi le plus sûr c'est e-carte bleue. Comme ça qu'ils stockent ou pas mon numéro de CB, je m'en cogne. Et en plus ça évite d'autres mauvaises surprises, style abonnements reconduits tacitement etc.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]