Jump to content

Sécurisation des versions 1.4 et futures

le-lutin31

By le-lutin31
in Discussion générale

 Share

Recommended Posts

le-lutin31 Newbie

le-lutin31

Posted
Posted

Bonjour,

 

Prestashop a été victime d'une intrusion et un virus a saccagé nos boutiques.

Au fil de divers témoignages j'ai pu comprendre que cette intrusion était due à du script qui permet de collecter nos données.

 

Je fais ici un rappel à loi pour Prestashop.

 

Pour collecter des données il faut être :

-inscrit à la CNIL

-que le numéro d'inscription soit visible sur le site.

-il faut avoir une durée des conservations des données

-le consentement de la personne pour pouvoir les récolter

-le degré de protection technique de ses données

-l'obligation d'information

 

En gros pour faire un fichage, ou des statistiques il faut que l'utilisateur soit informé, d'accord et qu'il soit sûr que ses coordonnées ne seront pas divulguées à autrui.

Donc Prestashop a enfreint une loi française et ça c'est très grave car en enfreignant cette loi pour un but purement financier il a permis la destruction de nos boutiques, alors on ne peut que s'interroger sur la sécurité de nos données et de nos boutiques.

 

Prestashop, avance toujours plus vite, le version 1.4.0 était sortie, pleine de bug et impossible à installer que déjà la 1.4.1 était téléchargeable, donc je m'inquiète.

 

Prestashop est une immense communauté basée sur la confiance où gens de la Team et utilisateurs des boutiques se tutoient et se font confiance, mais pouvons nous encore avoir confiance en Prestashop, lorsque ses dirigeants ne répondent plus à nos questions, ne s'expliquent pas sur ce qui s'est passé, enfreint les lois françaises et ne nous donnent pas des garanties de SECURITÉ.

 

Prestashop a pondu dans la panique un patch correctif pour les boutiques infestées, bonne réaction et après ?

 

Prestashop et les utilisateurs se sont rendu compte de cette faille, mais n'y a t-il pas d'autres failles ailleurs ?

Que compte faire Prestashop pour sécuriser encore plus les boutiques 1.4 et supérieures ?

Prestashop cessera-t-il ces collectes de données illégales en modifiant son script ?

À quoi servent ces donées collectées ?

La direction de Prestashop viendra-t-elle s'expliquer et nous donner des garanties ?

 

Voilà, les garanties et les explications que moi je voudrais avant de passer à la version 1.4.4.1

  • Like 1
Link to comment
Share on other sites
coeos.pro Community Regular

coeos.pro

Posted
Posted

pouipouic, tu t'enflammes pour rien :

8ABG.png tu vois le petit i en haut à droite, voici ce qu'il donne comme info :

Les informations recueillies font l’objet d’un traitement informatique destiné à répondre à votre demande le plus précisément possible.

 

Les destinataires des données sont l'équipe de PrestaShop SA et ses partenaires. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à [email protected].

 

Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant

 

 

-que le numéro d'inscription soit visible sur le site.
tu me dire ou c'est précisé sur le site de la CNIL ?

 

Ensuite si tu n'es pas à l'aise avec prestashop tu peux toujours allez voir ailleurs avec tout ce que ça implique

  • Like 1
Link to comment
Share on other sites
le-lutin31 Newbie

le-lutin31

Posted
  • Author
Posted

@ coeos.pro,

 

pour la CNIL, vérifie toi même. Ton texte n'explique en rien, ce qu'ils font avec nos données et ne nous dit pas si la sécurité sera renforcée.

 

Qui t'as parlé de quitter Prestashop ? Je n'ai pas à aller voir ailleurs.

 

Moi, les autorités compétentes m'imposent des normes draconiennes pour ma marque et mes sites et le respect des données appartenant à autrui en font partie.

 

Prestashop impose aux développeurs indépendants des normes draconiennes pour accepter leur modules, j'estime dans ce cas, que nous aussi nous sommes en droit de demander de la rigueur de leur part au niveau sécurité des boutiques.

 

Moi, je demande le respect des lois françaises et renforcement de la sécurité, c'est tout !!!!!!

Link to comment
Share on other sites
le-lutin31 Newbie

le-lutin31

Posted
  • Author
Posted

@ coeos.pro, Prestashop, sait très bien que lorsque les gens téléchargent les boutiques 8 fois sur 10 les infos sont bidons. Tu peux télécharger Prestashop, sous le nom de POULET FRITE et avec une adresse Yopmail. Donc pour pomper les coordonnées il faut rentrer à la source et la source c'est la boutique du e-commerçant. C'est un peu comme si moi, je te vendais un ordi avec dedans un logiciel pour t'espionner, tout ça sans te le dire.

Link to comment
Share on other sites
coeos.pro Community Regular

coeos.pro

Posted
Posted

Bonsoir

Peut-être ici

 

http://www.cnil.fr/vos-responsabilites/vos-obligations/

Bonne soirée

Yannick

J'ai déjà vu cette page, mais au mieux il y a :

Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées.

Mais il ne précisent pas qu'il faut obligatoirement indiquer son numéro CNIL...

Link to comment
Share on other sites
le-lutin31 Newbie

le-lutin31

Posted
  • Author
Posted

Selon la loi Informatique, fichiers et libertés de 1978, lorsqu'il s'agit du secteur privé, ces données ne peuvent être collectées, traitées et conservées par un organisme ou une entreprise que si la personne ou le service qui est responsable de ces opérations a effectué au préalable une déclaration à la CNIL, qui doit être validée par l'attribution d'un numéro d'enregistrement. Ce numéro doit être indiqué sur le site web en plus de l'adresse de contact du service qui va gérer le fichier des données personnelles.

 

La loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978

 

Source droit pénal DALLOZ 2011

Link to comment
Share on other sites
le-lutin31 Newbie

le-lutin31

Posted
  • Author
Posted

Non, téléphone juste à la CNIL à Paris ou à ton avocat qui te le diront, ou fait comme moi achète le droit pénal 2011 de DALLOZ, c'est le bouquin rouge qu'utilisent les avocats, les mairies et les juges des tribunaux.

 

Ces questions ne me donnent aucune réponse sur la sécurité.

Link to comment
Share on other sites
Guest Divxman

Guest Divxman

Posted
Posted

personnellement quand je me suis inscrit a la cnil, j'ai eu un conseiller au téléphone et obligatoire de noter le numero cnil

 

cordialement

Link to comment
Share on other sites
le-lutin31 Newbie

le-lutin31

Posted
  • Author
Posted

personnellement quand je me suis inscrit a la cnil, j'ai eu un conseiller au téléphone et obligatoire de noter le numero cnil

 

cordialement

 

Oui à moi aussi. J'ai beau chercher le texte de loi officiel partout pour coeos.pro, je ne le trouve pas, tous les sites juridiques mentionnent que la déclaration à la CNIL doit être faite, donc ça coule de source qu'il faut afficher le numéro. En affichant le numéro, le client peut à tout moment vérifier la déclaration faite à la CNIL et voir que ses données personnelles sont protégées.

 

C'est dans un texte de loi, je l'avais vu en 2008 et dans mon DALLOZ 2009, mais où je ne me souviens plus. C'est peut être dans la loi Chatel 2008, dans la partie informations à fournir sur les sites web ( nom, raison sociale, siren, mail, ), désolée je ne le trouve plus et ne m'en souviens plus.

Link to comment
Share on other sites
a-prods Newbie

a-prods

Posted
Posted

pouipouic, tu t'enflammes pour rien :

8ABG.png tu vois le petit i en haut à droite, voici ce qu'il donne comme info :

Les informations recueillies font l’objet d’un traitement informatique destiné à répondre à votre demande le plus précisément possible.

 

Les destinataires des données sont l'équipe de PrestaShop SA et ses partenaires. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à [email protected].

 

Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant

 

 

-que le numéro d'inscription soit visible sur le site.
tu me dire ou c'est précisé sur le site de la CNIL ?

 

Ensuite si tu n'es pas à l'aise avec prestashop tu peux toujours allez voir ailleurs avec tout ce que ça implique

Pour télécharger prestashop, tu n'est pas oblige de remplir tes coordonnées, il sufit d’appuyer sur le bouton directement.

Le fait de le télécharger ne veux pas dire que tu va mettre un site en prod, ou même au contraire, tu le télécharger 1 fois et l'installer X fois pour tes clients.

Donc les donnes ne sont pas récoltés par ce biais mais directement sur les install faite,

  • Like 1
Link to comment
Share on other sites
le-lutin31 Newbie

le-lutin31

Posted
  • Author
Posted

Pour télécharger prestashop, tu n'est pas oblige de remplir tes coordonnées, il sufit d’appuyer sur le bouton directement.

Le fait de le télécharger ne veux pas dire que tu va mettre un site en prod, ou même au contraire, tu le télécharger 1 fois et l'installer X fois pour tes clients.

Donc les donnes ne sont pas récoltés par ce biais mais directement sur les install faite,

 

Exact ! Les webmasters téléchargent pour leur clients des versions qu'ils installent. Il faudrait donc qu 'un webmaster qui installe nous dise si les boutiques 1.4 de ses clients ont été infestées, si c'est le cas les coordonnées pompées sont bien pompées dans la boutique du e-commerçant et la déclaration de la CNIL trouvée par coeos.pro est donc mal placée, car non vue par le e-commerçant qui paie un prestataire pour se faire installer sa boutique.

  • Like 1
Link to comment
Share on other sites
le-lutin31 Newbie

le-lutin31

Posted
  • Author
Posted

Bonjour Yoya,

 

en fait ces questions c'est à la direction de Prestashop que je les pose. Tout ce que je veux c'est être sûre qu'il n'y a plus de faille, que tout est sécurisé, qu'ils ont bien tout vérifié et je veux qu'ils me disent si oui ou non nos coordonnées sont pompées par le biais d'un script, voilà c'est tout....... B)

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...