Le site de petites annonces immobilières a tardé à corriger une faille de sécurité, laissant la possibilité aux pirates de consulter son fichier clients.
Les clients du site Entreparticuliers.com l’ont échappé belle. Pendant plusieurs mois, leur numéro de carte bancaire était à la merci des pirates. Le service de petites annonces immobilières était en effet victime d’une faille informatique qui permettait d’accéder aux données bancaires de ses clients, y compris au fameux cryptogramme, ce code à trois chiffres inscrit à l’arrière des cartes bancaires et indispensable pour réaliser un achat en ligne.
Alerté par 01net., le site a colmaté la brèche hier, lundi 7 avril, en fin de matinée. Pour l’heure, aucune exploitation frauduleuse n’a été signalée, mais les clients du service sont invités à surveiller de près toute transaction anormale sur leur compte en banque.
Négligence
Le danger était d’autant plus important que la faille pouvait être exploitée à partir d’un simple navigateur, en saisissant une adresse spéciale. Le blogueur Arnaud Jeulin avait tiré la sonnette d’alarme, il y a plusieurs semaines déjà, en publiant sur son site une capture d’écran d’Entreparticuliers.com sur laquelle figuraient des informations relatives aux clients (les données bancaires étant volontairement cachées). Il avait également informé les responsables du service de sa découverte.
Malheureusement, ces derniers n’y ont pas cru. « Dès que nous avons aperçu ce document, confie Stéphane Romanyszyn, PDG d’Entreparticuliers.com, nous avons pensé à un faux. Une plainte a été déposée le 7 avril auprès du parquet de Nanterre », pour atteinte volontaire aux données d’un système informatisé, complicité et association de malfaiteurs informatiques, faux et usages de faux.
Une peine de 5 ans de prison
Dans un communiqué de presse publié le 4 avril dernier, le site faisait état d’une campagne de dénigrement orchestrée par plusieurs blogueurs, qui laisse « croire qu’Entreparticuliers.com dévoilerait les données bancaires de ses clients et serait défaillante quant à la capacité d’en assurer la protection et la confidentialité ».
Il aura fallu attendre ce lundi pour que le site reconnaisse son erreur et colmate la faille affectant ses serveurs. Pour sa défense, le PDG explique que sa société est régulièrement la cible de chantages de la part d’inconnus qui signalent d’hypothétiques problèmes de sécurité. « Nous avions bien reçu des courriers. Certains nous réclamaient de l’argent pour nous permettre de corriger. Nous ne répondons pas à ce type de chantage », se défend Stéphane Romanyszyn.
Une attitude un peu légère quand on sait que les responsables de la société risquent une peine de 5 ans d’emprisonnement et 300 000 euros d’amende pour ne pas avoir pris toutes les précautions afin de protéger les données de leurs clients. C’est le tarif prévu par l’article 34 de la Loi informatique et libertés. Les pirates, eux, risquent 5 ans d’emprisonnement et 382 000 euros d’amende.
Du rififi entre spécialistes de l’immobilier
Dans un communique publié ce mardi 8 avril, Seloger.com annonce qu’il assigne en justice entreparticuliers.com. Le spécialiste des petites annonces accuse son concurrent d’avoir récupéré sur son site, sans son accord, les petites annonces d’immobilier neuf. Les faits remonteraient à 2006. Seloger.com accuse également de pillage plusieurs métamoteurs (Solus-immo, Yakaz, Gloobot) qui récupèreraient « massivement les annonces immobilières de la base de données de Seloger.com contre la volonté de la société ». Des actions en justice ont également été intentées contre ces sites.
Damien Bancal, 01net., le 08/04/2008 à 11h50