Attention : les messages Ebay, les informations de compte et l'activité des utilisateurs ne sont pas sécurisés par HTTPS. Cela viole-t-il la loi sur la confidentialité RGPD ?
Les clients Ebay doivent être extrêmement prudents lorsqu'ils accèdent à l'activité de leur compte, à leurs informations personnelles et aux messages stockés sur Ebay. Des sources nous ont récemment fait remarquer que de nombreuses pages du site, qui nécessitent une saisie de l'utilisateur ou contiennent leurs informations personnelles, ne sont pas cryptées en HTTPS.
Ebay utilise un contenu de page Web mixte, ce qui signifie que certaines pages utilisent des connexions cryptées tandis que d'autres ne le font pas. HTTPS s'appuie sur le cryptage pour garantir que personne qui intercepte les informations circulant entre un site Web et un utilisateur ne puisse être déchiffré. Les pages cryptées HTTPS sont signalées par un cadenas vert ou « https:// » dans la barre d'URL d'un navigateur Web. En tant que bonne pratique standard, toutes les pages qui nécessitent une saisie de l'utilisateur ou contiennent des données personnelles doivent être cryptées par HTTPS.
Bien qu'Ebay utilise HTTPS sur ses pages les plus critiques, telles que celles où les informations de paiement ou d'adresse sont saisies, il manque de cryptage sur plusieurs pages moins critiques, mais toujours sensibles.
Lorsque les clients envoient et reçoivent des messages de vendeurs, par exemple, leurs communications ne sont pas envoyées via un canal privé. Non seulement un pirate informatique pourrait intercepter et lire des messages, mais il pourrait également les modifier dans le cadre de ce que l’on appelle une attaque « de l’homme du milieu ». Cela pourrait entraîner une fraude ou l'envoi de spam à partir des comptes d'utilisateurs.
Ebay bloque l'échange de certains types d'informations via son système de messagerie interne. C'est politique de contact de membre à membre États:
Nous n'autorisons pas non plus les membres à échanger des adresses e-mail, des numéros de téléphone ou d'autres informations de contact, adresses Web ou liens dans les systèmes de messagerie d'eBay.
Il s'agit principalement d'empêcher les acheteurs et les vendeurs d'organiser des transactions en dehors du système Ebay. Cela aide à protéger la confidentialité des utilisateurs dans une certaine mesure, mais ce n’est qu’une demi-mesure par rapport au cryptage complet du canal fourni par HTTPS.
L'ensemble du tableau de bord My Ebay ne dispose pas du cryptage HTTPS. Cela inclut l'activité du compte, les détails, les paramètres, les préférences, etc. Une grande partie des informations personnelles sur ces pages sont obscurcies ; par exemple, mon e-mail s'affiche sous la forme « p…[email protected] » au lieu de l'adresse e-mail complète. Mais d’autres informations ne sont pas si cachées.
Par exemple, toutes les questions secrètes sont affichées dans leur intégralité, mais pas leurs réponses. Pourtant, si un pirate informatique connaissait à l’avance les questions secrètes, il pourrait probablement chercher les réponses. Les informations sur les amis, les animaux de compagnie et la famille ne sont probablement pas si difficiles à trouver. Une fois cela fait, le pirate informatique peut modifier le mot de passe de l’utilisateur et reprendre son compte.
Les journaux d'activité du compte ne sont pas non plus protégés. Tout ce que vous achetez, vendez et regardez peut être consulté par les pirates.
« eBay a déployé une myriade de technologies propriétaires pour détecter et empêcher les tentatives d'utilisation abusive de compte. Ces technologies fonctionnent en coulisses pour protéger les comptes de nos utilisateurs contre tout accès illégitime », a déclaré la société à Comparitech dans un communiqué. « Nous investissons continuellement à grande échelle dans la sécurité de notre site. Cela inclut le développement de nos technologies pour identifier et prévenir les tentatives d'utilisation abusive de compte, ainsi que l'expansion de l'utilisation de SSL sur notre site, ce qui est une priorité clé pour eBay.
eBay est ce n'est pas le seul site Web à ne pas avoir de cryptage HTTPS , mais étant donné que les détails du compte et les messages entre acheteurs et vendeurs sont menacés, la nécessité du HTTPS est claire. Nous exhortons Ebay à mettre en œuvre le cryptage HTTPS sur toute page nécessitant une saisie de l'utilisateur ou fournissant des informations personnelles à partir d'une base de données client dès que possible.
Apprenez-en davantage sur HTTPS dans notre guide du cryptage SSL .
Ebay et le RGPD
L’absence de cryptage HTTPS sur les messages et les informations privées des clients sur eBay pourrait aller à l’encontre des lois sur la protection des données des consommateurs, telles que le prochain RGPD.
Le Règlement général sur la protection des données (RGPD), qui entre en vigueur en mars 2018 et couvre l’ensemble de l’Union européenne, comprend un article « vie privée dès la conception » qui exige que les paramètres de confidentialité soient définis par défaut à un niveau élevé. Dans ses directives destinées aux organisations qui doivent se conformer au RGPD, le bureau du commissaire à l’information du Royaume-Uni déclare que « seules les personnes autorisées peuvent accéder, modifier, divulguer ou détruire les données personnelles ».
Bien que les détails concernant l’obligation du HTTPS et d’autres formes de cryptage en transit n’aient pas encore été entièrement précisés dans le RGPD, les experts estiment le cryptage des données personnelles en transit sera une mesure technique minimale en vertu de la nouvelle loi.
Utilisez un VPN
Si vous souhaitez acheter et vendre sur Ebay mais que vous êtes préoccupé par votre vie privée, nous vous recommandons de vous connecter à un VPN avant d'envoyer des messages ou d'accéder à votre tableau de bord My Ebay. Un VPN crypte tout le trafic Internet de votre appareil et l’achemine via un serveur intermédiaire situé à l’emplacement de votre choix. Cela permet d'obtenir un niveau de sécurité similaire à celui du HTTPS, et de masquer votre adresse IP pour plus de confidentialité.
Les VPN les plus réputés sont des services d’abonnement qui nécessitent l’installation d’une application. Une fois inscrit et le logiciel exécuté, choisissez simplement un serveur et connectez-vous. Une fois la connexion établie, les pirates qui surveillent le réseau entre votre appareil et le serveur VPN ne pourront pas déchiffrer le trafic qu'ils interceptent. Consultez notre classements de plus de 20 normes de confidentialité et de sécurité des VPN pour apprendre plus.
Les VPN sont particulièrement prudents lorsqu’ils sont connectés à un réseau Wi-Fi non sécurisé ou inconnu, comme dans un café, un aéroport ou un hôtel.
' eBay » de Mike Knell sous licence CC BY-SA 2.0