BitDefender / Eptimum : attention au mot de passe !

[BigJoke]

Avertissement pour les éventuels nouveaux acheteurs de la solution de sécurité informatique BitDefender via la boutique en ligne Eptimum.

Veillez à n'utiliser qu'un mot de passe unique pour protéger votre compte utilisateur. Le mot de passe est stocké en clair dans la db de la boutique en ligne, et les collaborateurs sur lesquels on peut tomber en appelant le SAV ont ce même mot de passe devant les yeux à l'écran.

J'ai constaté ce que j'estime être un énorme problème de sécurité informatique lors de l'achat (renouvellement) de ma licence pour la solution de sécurité informatique BitDefender Internet Security 2014, via leur boutique en ligne gérée par Eptimum.

En effet, une fois la commande passée, j'ai reçu un mail contenant effectivement les liens de téléchargement de l'application. Mais contenant aussi, au titre de rappel de mes identifiants, mon login et mon mot de passe EN CLAIR.

J'ai contacté Eptimum. Le SAV m'indique que c'est tout à fait normal, que sans mon mot de passe "comment voulez-vous qu'on fasse ?". Ils n'ont pas l'air d'avoir jamais entendu parler des notions de chiffrement ou de salage, soit le b-a-ba de la sécurité informatique. Le gars m'a confirmé disposer de mon mot de passe, il me l'a d'ailleurs épelé au téléphone.

Je suis abasourdi d'être confronté à ce problème dans le cadre de l'achat d'une solution de sécurité informatique, ça me dépasse.

Pour tout dire, mon interlocuteur Eptimum est allé jusqu'à me dire que c'était ma faute, que je n'avais qu'à ne pas utiliser le même mot de passe partout (bien que, quand même, mon paypal et autres trucs hyper importants ne sont pas concernés). Ce n'est pas entièrement faux, mais d'abord en tant qu'utilisateur je ne suis pas tenu d'être un spécialiste de la sécurité informatique, de deux il faudrait voir aussi à tenir compte des usages là où je ne sais combien d'utilisateurs en sont toujours à écrire leur mot de passe sur un post-it sur l'écran ou à utiliser un mot de passe genre prénom_de_ma_fille_date_de_naissance (alors un mot de passe fort par compte utilisateur, vous pensez !), et de trois, il ne me semble pas que cela les dédouane de leur responsabilité de mettre en place le strict minimum du code de bonne pratique admis partout. Je pourrais encore comprendre sur un petit forum consacré à la culture du ravioli au Groenland, mais sur un site de vente de solutions de sécurité informatique, je trouve ça moyen.

Je n'ai jamais demandé à entrer en relation commerciale avec Eptimum. Je voulais _juste_ acheter BitDefender. Je l'ai fait sur le site http://www.bitdefender.fr/ et le mail sur lequel apparait mon mot de passe en clair mentionne "Boutique officielle BitDefender".

J'ai contacté par téléphone la société mère BitDefender, en Roumanie. Je leur ai expliqué le problème, mon interlocutrice m'a dit ne pas trouver la situation normale mais qu'ils ne pourront probablement pas faire grand chose puisque le problème n'est pas directement lié à BitDefender mais à l'éditeur français et que je suis le premier à soulever le problème. On m'a dit faire remonter l'information. On me l'a dit, oui, de là à ce que ça se fasse...

J'ai ensuite contacté le SAV de BitDefender par téléphone. Pour eux, au début de la conversation c'était : "bah, où est le problème ?". Puis devant mon insistance à pointer la négligence, "oui mais c'est pas nous, c'est eux". Puis quand je leur ai indiqué à quel point cela pouvait engendrer une image négative pour leur société, là c'est devenu aussi "bon ben je remonte l'information".

Si un informaticien lit ce message... je ne sais pas ce que vous en pensez, mais pour ma part, je ne m'en suis pas encore remis.

Bref, je ne sais pas quoi faire. Je ne demande rien d'autre sinon que cette pratique cesse dans les plus brefs délais. De toute façon le mal est fait, mon mot de passe est compromis.

Merci pour votre lecture et pour vos éventuels commentaires.

[Eptimum]

Bonjour,

Je m’adresse à vous au titre de responsable du service clientèle de la société Eptimum.

En tant que société leader dans son domaine, nous sommes attentifs aux demandes de nos clients, et encore plus quand il s’agit de sécurité.

Nous comprenons entièrement votre étonnement et votre inquiétude quant au fait de recevoir votre mot de passe en clair dans l’e-mail récapitulatif de commande.

Nous faisons le nécessaire tous les jours afin que notre boutique ainsi que les informations de notre base de données soient aux normes du secteur. D’ailleurs, les mots de passe sont évidemment chiffrés dans notre base de données.

Faisant suite à votre avertissement, nous avons décidé de revoir le point que vous soulevez et de supprimer ces informations présentes dans l’adresse e-mail (bien que nombre d’autres clients en aient l’usage).

De même, nous avons dès à présent revu le fonctionnement de l’outil permettant de consulter les informations client par notre équipe du service clientèle.

« Sauf que je n'ai jamais demandé à entrer en relation commerciale avec leur partenaire Eptimum. Je voulais _juste_ acheter BitDefender. »

Pour rappel, l’éditeur d’antivirus Bitdefender ne commercialise pas directement ses solutions. C’est pour cette raison simple que l’éditeur fait appel à notre entreprise pour distribuer ses différentes gammes.

« Si un informaticien lit ce message... je ne sais pas ce que vous en pensez, mais pour ma part, je ne m'en suis pas encore remis. »

« Bref, je ne sais pas quoi faire. Je ne demande rien d'autre sinon que cette pratique cesse dans les plus brefs délais. Je ne demande pas un geste commercial, de toute façon le mal est fait, mon mot de passe est compromis. »

Je pense qu’il faut pondérer votre réaction suite à votre remontée. Vos informations n’ont pas été compromises et seule une minorité de nos salariés ont eu accès à ces informations confidentielles.

Comme je vous le confirmais ci-dessus, votre mot de passe est directement chiffré dans notre base de données et notre outil interne est déjà modifié en conséquence.

« Une plainte ? A qui ? J'ai contacté vite fait notre association de consommateurs qui m'a proposé de contacter le Centre Européen des Consommateurs ; je le ferai demain. Voyez-vous autre chose, quelqu'un que je pourrais contacter, avec on peut rêver, une chance de mettre un terme à cette... faille de sécurité monstrueuse à laquelle on est confronté en achetant... une solution de sécurité ? »

Quant au fait que vous ayez contacté le « Centre Européen des Consommateurs », nous prendrons nos responsabilités auprès de cet organisme afin de prouver notre aptitude à sécuriser les informations de nos clients.

Nous vous remercions pour votre démarche, et sommes désolés qu’un dysfonctionnement dans la transmission de l’information ait pu aboutir à des incompréhensions. Comme vous pouvez le constater, nous sommes à l’écoute de nos clients et vous pouvez constater que tout a été mis en œuvre pour répondre au mieux à vos inquiétudes ainsi qu’à celles de tous nos clients.

Cordialement,

Nicolas S
Responsable Service Clientèle
Eptimum

[BigJoke]

Bonjour,

Suite à la conversation téléphonique que je viens d'avoir avec Nicolas, durant laquelle il m'a apporté des réponses et explications complémentaires entièrement satisfaisantes et de manière très aimable, le problème apparaît donc corrigé et le sujet est clos.

Merci à Eptimum pour la rapidité de sa réaction. L'erreur est humaine, ce qui compte c'est de la corriger quand on en prend conscience. C'est ce qu'a fait Eptimum, c'est tout à leur honneur.

Les associations de défense des consommateurs que j'avais contactées pour leur faire part du problème ont été averties de cette réaction d'Eptimum (et positivement étonnées, ce qui confirme que c'est tout à leur honneur) afin de clôturer le dossier, sauf une qu'il est trop tard pour contacter mais cela sera fait demain à la première heure.

Bonne continuation à tous.