Publié le 08-09-2012 à 15:10:44 dans le thème Authentification

Pays : International - Auteur : Albert Einstein

Pub : Logiciels de sécurité et de protection Internet

Le spécialiste des pièces automobile corrige une fuite de données sur son espace client. L'alerte aura été rapidement prise en compte pour le numéro 1 de la pièce automobile Oscaro.com. Deux clients de cette boutique ont souhaité passer par le protocole d'alerte de ZATAZ.COM [HaideD 1562 en juillet 2012, puis début septembre, NDLR ZATAZ.COM] afin de faire corriger une fuite de données clients concernant les factures de ces derniers. ZATAZ.COM n'expliquera pas le comment du bug.

Il suffisait juste d'un navigateur et de l'url officiel de la boutique. A partir de ces éléments il était possible d'accéder aux factures clients avec numéro de commande, montant de l'achat, piéce acquise, adresse de livraison. Aucunes données sensibles de type données bancaires ou mot de passe n'étaient accessibles. A la connaissance de ZATAZ.COM aucune utilisation malveillante de cette faille n'est à déplorer.

L'obligation de notification
L'article 38 de l'ordonnance du 24 août 2011 intègre un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de données personnelles (Data Security Breach). L'obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public », ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d'identification ». Selon l'ordonnance, la violation de données personnelles constitue toute situation de violation de la sécurité du système d'information entraînant, de façon accidentelle ou illicite : la destruction, la perte, l'altération, la divulgation, ou encore l'accès non autorisé à des données personnelles par un tiers. L'obligation de notification doit être faite « sans délai ». A noter que ZATAZ.COM notifie les entreprises via son protocole d'alerte. En cas de violation, l'ordonnance prévoit une notification sans délai : à la CNIL et aux intéressés (clients, membres, ...). L'obligation sans délai de notification aux intéressés par le fournisseur est obligatoire dès lors que cette violation est susceptible de porter atteinte aux données personnelles ou à la vie privée de l'abonné ou d'une autre personne physique. L'absence de notification est punie d'une peine pouvant aller jusqu'à 5 ans de prison et 300.000 euros d'amende (insertion d'un nouvel alinéa à l'article 226-17 du code pénal).

# Liens connexes

Haided 1562

Tweet

L'espace d'authentification de Numéricâble dangereux

23-05-2013 à 14:53 - 0 commentaire(s)

Client de Numéricâble, prudence. L'espace d'authentification peut être piégé par un pirate informatique.

Fuite de données : la justice accuse les admins

23-05-2013 à 14:26 - 0 commentaire(s)

Si un administrateur d'un système informatique ne protège pas ses données, le "découvreur" ne risque plus d'être poursuivi pour piratage.

Skimmeur dans le Tarn

23-05-2013 à 12:30 - 0 commentaire(s)

Plusieurs dizaines de comptes bancaires piratés dans le Tarn. Un skimmeur a encore frappé.

Double authentification Twitter... ou pas

23-05-2013 à 09:39 - 0 commentaire(s)

Twitter annonce une sécurité renforcée via une double authentification. Et les autres failles ?

Danger via MySpace et DailyMotion

21-05-2013 à 09:47 - 0 commentaire(s)

Potentialités malveillantes à partir des sites communautaires MySpace et DailyMotion.

Un espace web Nestlé dangereux

21-05-2013 à 09:37 - 0 commentaire(s)

Un espace Nestlé, dédié aux bébés, propose des potentialités malveillantes aux pirates

Le site de George W. Bush dangereux

21-05-2013 à 08:28 - 0 commentaire(s)

Une faille sur le site Internet de l'ancien président américain, George W. Bush, permet de piéger les internautes.

Cyber attaque à coups de PDF malveillants

21-05-2013 à 08:19 - 0 commentaire(s)

Une cyber-attaque principalement orientée vers le Pakistan à travers de faux documents PDF attachés.

Microsoft espionnerait-il via Skype ?

Le rachat de Skype par Microsoft est-il un moyen pour l'Oncle Sam de pouvoir espionner les utilisateurs de l'outil de téléphonie via Internet ?

Un loup, des mules et des pigeons

Contrat de travail, salaire... mais derrière cet emploi Internet proposé sous le nom de la marque Roche Bobois se cache une arnaque.

Le FBI veut écouter, tout écouter

Un projet de loi aux USA se prépare à condamner de 25.000$ par jour toute entreprise qui ne pourra pas permettre une écoute téléphonique.

Tu n'as pas d'amis, achètes des Followers

50 cent, Diddy, mais aussi Pepsi Cola, Mercedes ou Vuitton se sont achetés des Followers histoire de faire gonfler leurs pseudos notoriétés sur le web.

Internet traque le/les terroristes de Boston

Sur le forum 4chan, les internautes se sont lancés dans la traque du/des terroristes de Boston. Impressionnant !

Un pirate russe arrêté après le piratage de Darkode ?

Le forum underground Darkode piraté. Les premières arrestations se feraient sentir en Russie.

Département anti-piratage pour les 007 Allemands

Les services secrets Allemands mettent en place un département dédié à la lutte contre le piratage informatique.

Créez facilement votre lettre de résiliation avec Ariase.com

Depuis octobre 2002, Ariase.com est devenu une référence dédiée aux fournisseurs d'accès à Internet (ADSL, fibre optique, internet par satellite, wimax).

Réagissez à ce contenu