mercredi 7 décembre 2016
 

Données bancaires: Cdiscount sanctionné pour défaut de sécurité

La Commission nationale de l'informatique et des libertés (Cnil) a sanctionné mercredi la plateforme de commerce en ligne Cdiscount pour défaut de sécurité de données bancaires et l'a mise en demeure pour d'autres "manquements graves".

Un employé de Cdiscount à Cestas (Gironde) le 14 décembre 2012

La Cnil a décidé "en raison de la gravité particulière des manquements constatés" d'engager une procédure de sanction contre la filiale de Casino sous la forme d'un "avertissement public", explique-t-elle dans un communiqué.

Cdiscount a conservé plus de 4.000 données bancaires, associées pour certaines à des cryptogrammes visuels, de façon non sécurisée. 

Ces informations issues de l'activité de vente par téléphone de Cdiscount étaient conservées en clair dans un champ commentaire de sa base de données, ce qui les rendait potentiellement accessibles à des prestataires externes. La société a aussi conservé plusieurs millions de comptes d'anciens clients et prospects pendant une durée excessive.

Ces deux manquements à la loi Informatique et Libertés ont débouché sur un avertissement, même si la société a depuis remédié à la situation. La Cnil a aussi mis en demeure Cdiscount de corriger une dizaine de manquements dans un délai de trois mois.

- Commentaires non pertinents -

Les contrôles ont ainsi permis de révéler des pratiques de lutte contre la fraude à la carte bancaire non autorisées par la Cnil et la présence de commentaires non pertinents dans la base de données tels que: "client a une maladie cardiaque", "client raciste", etc.

La Cnil a aussi noté que des coordonnées bancaires de clients avaient été enregistrées lors d'appels téléphoniques reçus par la société et que Cdiscount avait conservé les données bancaires de ses clients, sans leur demander leur consentement.

Enfin, la Cnil a tancé Cdiscount pour le dépôt de cookies (fichiers enregistrant la navigation de l'internaute) pendant des durées excessives, pouvant aller jusqu'à 30 ans, et une politique de mots de passe pas assez robustes.

Dans un communiqué publié mercredi soir, Cdiscount indique qu'une enquête interne a "montré que ces dysfonctionnements étaient limités à un seul centre d'appels auquel il a retiré l'activité depuis plusieurs mois. Dans le même temps, des contrôles quotidiens ont été renforcés pour veiller au strict respect des règles", affirme-t-il.

Le groupe souligne que "ces pratiques demeurent isolées et sont contraires aux valeurs de Cdiscount qui les juge inadmissibles et comprend qu'elles aient pu choquer", évoquant notamment des "commentaires inadaptés".

Il précise cependant qu'"aucune faille de sécurité n'a été relevée" concernant les mots de passe des clients, et que le renforcement de leur complexité, demandé par la Cnil, "est effectif depuis mars dernier".

La Cnil a indiqué avoir reçu 80 plaintes depuis 2015 contre Cdiscount concernant des défaillances techniques qui ont entraîné la divulgation de données à des tiers non autorisés. Elle a effectué plusieurs missions de contrôle entre février et mars 2016.

Cdiscount, qui appartient au groupe Casino, a réalisé un chiffre d'affaires de 2,7 milliards d'euros en 2015.

Source : AFP

Noter cet article (de 1 = Nul à 5 = Excellent) Valider
/// Actuellement à la Une...
Après un premier partenariat, le spécialiste des containers annonce qu’il rachète finalement la start-up française Infinit et sa technologie qui permet d’unifier les espaces en créant un disque dur unique.
L’éditeur a livré sa feuille de route pour 2017, avec toujours cette volonté d’améliorer les performances de ses produits de visualisation des données mais aussi de nouveaux outils en dehors de son cœur de métier.
Le Sommet de l’Open Government Partnership s’est ouvert aujourd’hui à Paris. 70 Etats y sont représentés et des centaines d’organisations et d’entreprises y participeront. Mais certaines associations françaises ont choisi de boycotter l’événement, pointant la contradiction entre les principes de l’OGP et les politiques françaises en matière de numérique.
Tous les bureaux et datacenters de Google seront alimentés en énergies vertes (vent et solaire) d’ici la fin de l'année prochaine, ce qui représente environ 2,6 Gigawatts. 
On l’oublie souvent, Parrot ne fait pas que des drones. L’entreprise française conçoit et commercialise également des objets connectés, des casques audio ainsi que des équipements automobiles (kits main libres, autoradio…). C’est cette activité que Parrot est sur le point de vendre à Faurecia.
40 clients des secteurs de la finance, de l’éducation et de la santé vont participer à un programme bêta. Selon IBM, les systèmes cognitifs sont cités comme une nouvelle priorité par quasiment 60% des professionnels de la sécurité. Durant les deux dernières années, IBM a recruté 2000 experts du domaine de la sécurité, développeurs, consultants et chercheurs, dont 600 aux Etats-Unis.
Verizon débute sa stratégie de recentrage sur les réseaux, son cœur de métier, et cède 29 datacenters répartis sur 24 sites aux Etats-Unis et en Amérique Latine. 
C’est un peu une carte Arduino ou Raspberry Pi, en plus simple. Thingz, produit conçu et commercialisé par la start-up toulousaine éponyme – sis à Labège – permet d’imaginer, fabriquer et programmer un objet électronique.
Simultanément, Open AI, une entreprise soutenue notamment par Elon Musk, et DeepMind de Google, viennent de décider de livrer certains éléments de leur plateforme en accès ouvert sur Github.
Dans le cadre du programme « EU Free and Open Source Software Auditing », les logiciels libres bénéficieront du soutien de l’UE pour chasser les bugs de leur code. Après un an d’audit, le programme est en effet maintenu, son budget doublé et sa mission élargie aux bug bounties.
Derniers commentaires
/// DERNIERS MAGAZINES PARUS

RÉALITÉ VIRTUELLE : Ce que vous pouvez en attendre - ESPORT : l'informatique derrière le phénomène planétaire - Windows et Android, les meilleurs ennemis - Les promesses de Java 9 - OpenStack : une plateforme Cloud mature mais ambiguë - Shopping Tech : coups de coeur pour Cubetto, Orbi et Thingz...

 

UN FUTUR SANS WINDOWS ? : Comment les entreprises s'émancipent peu à peu - Vendée Globe : l'informatique hors-normes - Ces SSII et ESN où il ne fait pas bon être informaticien - "Il faut un ministère du Numérique" (Bertrand Diard, président de Tech In France)...

 

SÉCURITÉ DES MOBILES : les menaces qui ciblent les entreprises - VOITURES CONNECTÉES : comment elles carburent à la data, Qwant côté cuisine, Découverte Azure DocumentDB, JBoss le serveur d'applications open source, Rencontre avec Mounir Mahjoubi...