Boursorama Banque fuite vos données de connexion

Via une faille de sécurité majeure, la filiale de la Société Générale permet à AT Internet et à Smart AdServer d'accéder à votre compte bancaire

Publié par Pixel de Tracking le 26 juil. 2020

EDIT 11 août 2020 : Boursorama ne fuite désormais plus vos données de connexion à AT Internet et Smart AdServer.

Boursorama CNAME Fix

Les données envoyées à AT Internet passent désormais par le domaine c0012.brsimg.com, celles envoyées à Smart AdServer passent par plusieurs domaines dont ww16.smartadserver.com. Ainsi, AT Internet et Smart AdServer n'ont plus accès aux cookies d'authentifications de Boursorama (domaine boursorama.com).

La correction a eu lieu avant le 4 août, cf cette réponse de Boursorama. Notez également la transparence de Boursorama dans cette réponse tardive. Aussi, Boursorama respecte maintenant votre choix si vous refusez d'être pisté sur le web (excepté pour AT Internet qui dispose d'une exemption de la CNIL). Tout n'est pas parfait : Boursorama a toujours une attitude hostile envers les utilisateurs d'adblock, et ne vous permet pas de refuser le pistage sur son App iOS, mais c'est déjà un gros progrès. Les e-mails clients, articles et tweets (le problème du CNAME sur Boursorama était déjà connu en novembre 2019) auront sans doute aidé à faire bouger Boursorama.

Boursorama vous traque sur l'espace client de son site web

Boursorama a une activité de banque en ligne très populaire et efficace, Boursorama Banque. Celle-ci a dépassé les 2 millions de clients fin 2019. Étant client, j'ai voulu vérifier si le site web de Boursorama Banque fuitait mes données personnelles, vous pouvez faire de même en suivant ces étapes :

Surprise, Boursorama Banque vous traque bien sur l'espace client :

Boursorama - espace client

Voici les sociétés qui récupèrent vos données personnelles :

  • AT Internet : via c0011.boursorama.com (nous reviendrons plus tard sur ce sous-domaine qui paraît anodin au premier abord), société historique d'analytics française, anciennement nommée Xiti, récupérant l'intégralité de votre navigation ainsi que les caractéristiques de votre appareil. L'outil d'analytics permet à Boursorama d'analyser les parcours utilisateurs et d'améliorer l'expérience de son site web.
  • Smart AdServer : société française proposant un adserveur éditeur et une solution de monétisation d'inventaires publicitaires (SSP). Quel intérêt d'appeler une solution publicitaire dans un espace client sans publicité ?
  • Rubicon : solution de monétisation d'inventaires publicitaires (SSP), a récemment fusionné avec Telaria pour former Magnite. Là encore, on ne comprend pas trop pourquoi Boursorama appelle une solution publicitaire.
  • Commanders Act : via trustcommander.net, anciennement TagCommander, société française proposant plusieurs produits dont historiquement un "Tag Manager" (permet de déclencher des tags marketing sans devoir faire appel à des développeurs, un véritable "cheval de Troie" pour les équipes marketing), une "Customer Data Platform" (centralise vos données personnelles) et une "Consent Management Platform" (solution de recueil du consentement).

AT Internet et Smart AdServer peuvent se connecter à votre compte Boursorama Banque

L'intégration des traceurs AT Internet n'est pas directement visible dans les requêtes envoyées depuis votre poste. On observe des requêtes vers c0011.boursorama.com mais il faut creuser pour se rendre compte que ce sous-domaine n'est pas géré par Boursorama, il a été délégué par Boursorama à AT Internet. Comment ? Via l'enregistrement d'un CNAME (un alias) pointant vers un domaine géré par AT Internet. Vous pouvez vérifier l'enregistrement CNAME sur ce site par exemple :

delegation boursorama at internet cname

Et vérifier ensuite le propriétaire du domaine at-o.net sur ce site :

AT

AT Internet se dissimule donc chez Boursorama : un sous-domaine Boursorama qui n'attire pas l'attention (c0011.boursorama.com), mais qui pointe vers un obscure domaine (at-o.net). AT Internet se cache ensuite derrière des domaines AWS sur le régistre WHOIS (seul l'enregistrement CNAME permet de remonter à la source) :

Whois AT

Cette présence dissimulée d'AT Internet (ex Xiti) sur Boursorama Banque avait déjà été remarquée par l'excellent Aeris en novembre 2019 (Boursorama n'a donc toujours pas réagit) :

Pourquoi AT Internet propose-t-il cette option et pourquoi est-elle adoptée par Boursorama ? Si l'on lit la documentation d'AT Internet sur le "domaine personnalisé" (CNAME), le but est simple : contourner les protections des navigateurs et des adblockers :

Pour garantir une collecte de données dans les meilleures conditions, nous proposons l'envoi de hits à nos serveurs avec un CNAME depuis un de vos sous-domaines. En utilisant un domaine personnalisé, vous conservez vos hits, et en conservant vos SLAs, vous pouvez même bénéficier de la meilleure configuration cookie (ITP).

Par "vous conservez vos hits", il faut entendre que les adblockers ne seront pas forcément à jour et ne bloqueront probablement pas les requêtes (pas de chance pour Boursorama, uBlock Origin bloque bien c0011.boursorama.com).

Par "vous pouvez même bénéficier de la meilleure configuration cookie (ITP)", il faut comprendre que les cookies AT Internet étant associés au domaine du site (1st party), ils ne sont pas bloqués par des mécanismes de navigateurs permettant de protéger votre vie privée tels que Safari Intelligent Tracking Prevention (ITP). AT Internet revient sur cette caractéristique dans son article :

Les navigateurs comme Safari requièrent désormais que les cookies soient first party (déposés depuis le domaine courant), server-side (déposés par un serveur, non par JavaScript) et sécurisés (https). Pour répondre à ces attentes, nous fournissons une configuration qui évite les restrictions ou blocages potentiels à impact sur vos analyses.

AT Internet ne mentionne pas les risques de sécurité associés à l'utilisation de CNAME. Et pourtant, comme nous avions déjà pu le voir dans le cas de Criteo et comme l'avait expliqué Aeris auparavant, ils sont grands. Si le site partenaire n'a pas pris ses précautions, AT Internet peut lire tous les cookies déposés, et pas simplement les cookies créés par AT Internet. Regardons donc les cookies envoyés par votre navigateur à AT Internet via le domaine c0011.boursorama.com :

Cookies Boursorama

Ainsi AT Internet a accès à tous les cookies déposés sur le nom de domaine boursorama.com, dont les cookies qui vous permettent de rester connecté... Vérifions donc si un utilisateur récupérant la valeur de ces cookies peut usurper votre compte Boursorama Banque :

  • Désactivez votre adblocker.
  • Lancez Charles Proxy puis connectez-vous à votre compte client Boursorama Banque via Chrome.
  • Récupérez les cookies envoyés à c0011.boursorama.com via Charles Proxy.
  • Effacez toutes les données de navigation de Chrome.
  • Rendez-vous sur https://clients.boursorama.com/, vous êtes bien déconnecté de Boursorama Banque.
  • Utilisez l'extension Chrome EditThisCookie pour créer ou mettre à jour vos différents cookies Boursorama.
  • Rafraichissez la page, vous êtes connecté !

edition cookies boursorama Vous devez ici paramétrer les différents cookies

Votre session expire au bout d'un certain temps, AT Internet doit donc être rapide pour en profiter. Néanmoins, cela veut dire qu'un employé mal intentionné d'AT Internet peut se connecter au compte Boursorama Banque de n'importe qui. Menace théorique bien sur, cet employé devra avoir les compétences techniques et le bon niveau d'autorisation pour analyser les logs serveurs. Il n'en reste que les données bancaires de plus de 2 millions de français sont à risque.

La même faille de sécurité s'applique à Smart AdServer via le domaine ads.boursorama.com, déjà un peu plus "lisible" pour les adblockers :

CNAME Smart AdServer

Smart AdServer récupère donc également les cookies de boursorama.com, permettant à un employé mal intentionné de Smart AdServer de se connecter au compte Boursorama Banque de n'importe qui :

Cookies Smart AdServer

Regardons la politique de cookies de Boursorama, on peut y lire cette pépite :

politique cookies boursorama

Comme on vient de le voir, Boursorama a justement mis en place une technique permettant à des tiers (AT Internet et Smart AdServer) de lire les cookies de l'émetteur Boursorama.

Refusez le pistage, Boursorama n'en tient pas compte

Que se passe-t-il si vous prenez la peine de signifier à Boursorama que vous ne souhaitez pas être traqué ?

banniere consentement boursorama

Boursorama considère que poursuivre votre navigation vaut consentement, comme le permet encore la CNIL dans sa trop grande faiblesse. Cliquons néanmoins sur "Paramétrez vos cookies" :

finalites Boursorama

Oui, toutes les finalités sont cochées par défaut, encore une violation de la RGPD. Décochons donc les différentes finalités (publicité et statistiques). Si l'on lit attentivement celle liée aux statistiques par exemple :

La collecte d’informations relatives à votre utilisation du contenu et association desdites informations avec celles précédemment collectées afin d’évaluer, de comprendre et de rendre compte de la façon dont vous utilisez le service. Cela ne comprend pas la Personnalisation, la collecte d’informations relatives à votre utilisation de ce service afin de vous adresser ultérieurement du contenu et/ou des publicités personnalisés dans d’autres contextes, c’est-à-dire sur d’autres services, tels que des sites ou des applications

Notons que ce bandeau de consentement provient de la CMP (Consent Management Platform) de Commanders Act, la mal nommée TrustCommander. Si les sites vous rendent la vie aussi difficile avec ces insupportables bandeaux, supposant de cliquer une dizaine de fois pour refuser d'être traqué (et non un simple choix Oui/Non), c'est aussi parce que des éditeurs de logiciels le permettent.

On pourrait alors s'attendre à ne plus voir le tracking AT Internet n'est-ce pas ? Erreur, Boursorama ne prend pas en compte vos préférences, comme le montre Charles lorsque vous vous reconnectez à votre espace client :

Cookies Boursorama opt-out

Boursorama fuite toujours vos données personnelles à Rubicon, AT Internet et Smart AdServer. Bonus : vous permettez toujours à AT Internet et Smart AdServer d'accéder à votre compte bancaire Boursorama via la fuite de l'ensemble des cookies associés au domaine boursorama.com.

Boursorama est hostile envers les utilisateurs d'adblockers

Vous pourriez alors vous dire : heureusement j'utilise un adblocker, celui-ci me protège contre le pistage généralisé ainsi que contre des failles de sécurité telles que celle-ci (et dans le cas de uBlock Origin c'est vrai, il bloque bien c0011.boursorama.com et ads.boursorama.com). Néanmoins, Boursorama ne veut pas que vous vous protégiez. Si vous activez votre adblocker, vous serez accueilli avec ce message :

Boursorama Banque

Boursorama vous indique que l'utilisation d'un adblocker peut fortement perturber la bonne navigation au sein de l'espace client : c'est faux. Mais Boursorama va plus loin encore :

Boursorama vous recommande de désactiver votre adblocker pour une navigation et une consultation de vos comptes zéro risque !

Appréciez l'ironie, l'adblocker permet justement de vous protéger contre la faille de sécurité introduite par Boursorama ! Notez que Boursorama ne s'arrête pas là, ils ont également écrit un article expliquant comment désactiver Adblock dans l'aide en ligne de l'espace client, rubrique "Protéger mon espace client" !

Je vous conseille donc d'utiliser un adblocker tel que uBlock Origin combiné à Firefox sur le web (ou d'autres navigateurs respectueux de la vie privée tels que Brave et Safari).

Vous utilisez l'appli iPhone ? Boursorama Banque y fuite également vos données personnelles

Pour se rendre compte du pistage mis en place par Boursorama Banque sur son application iPhone, j'ai suivi la procédure suivante :

Boursorama Banque iOS

L'appli est tout aussi bavarde que le site web, elle fuite vos données personnelles aux sociétés suivantes :

"Heureusement" pas de fuite de données Boursorama vers Smart AdServer ici malgré l'utilisation du domaine ads.boursorama.com (seulement les cookies de Smart AdServer). Vos informations de session sur l'application iPhone ne sont pas stockées dans des cookies.

Comment vous protéger contre le pistage généralisé et les failles de sécurité sur les Apps ? Vous pouvez passer par des applis telles que DNSCloak, Adguard ou NextDNS sur iOS.

Boursorama viole sa politique de protection des données clients

Si l'on lit la Politique de protection des données des clients de Boursorama Banque, l'engagement pour la sécurisation et la protection de vos données personnelles est ferme, le document commençant par :

Boursorama tient à construire avec ses clients une relation forte et durable, fondée sur la confiance et l’intérêt mutuel. En tant qu’établissement de crédit soumis au secret bancaire, Boursorama assure la sécurité et la confidentialité des informations qui lui sont confiées. Aussi, Boursorama est déterminée à protéger vos données personnelles et votre vie privée.

La confiance est évidemment rompue, Boursorama n'assure pas la sécurité et la confidentialité des informations qui lui sont confiées. Boursorama enchaîne ensuite avec ce paragraphe :

Boursorama engagement

Boursorama permet à des tiers (AT Internet et Smart AdServer) d'accéder à mon compte client, contenant par exemple mes transactions bancaires. Dans la partie 3. Qui sont les destinataires des données personnelles, Boursorama informe qu'il peut communiquer vos données aux autorités publiques, à des organismes financiers et à ses prestataires techniques.

Aucune information sur AT Internet ou Smart AdServer, rentrent-ils dans la case "prestataires techniques" ? Si oui, voilà comment Boursorama communique sur les "prestataires techniques" :

Boursorama prestataires

Mes données de connexion ne font évidemment pas parti des informations strictement nécessaires à la mesure d'audience ou à la diffusion de publicités. Enfin, voici comment Boursorama communique sur la sécurisation de vos données :

Boursorama securite

Mes données de connexion sont interceptées par des tiers non autorisés : AT Internet et Smart AdServer.

Quels changements espérer ?

Si je ne m'attendais pas à une telle faille de sécurité chez une banque en ligne telle que Boursorama Banque, le problème est malheureusement généralisé :

Adobe CNAME Vous pensiez que la technique du CNAME était "limitée" à d'obscures sociétés de marketing ? Erreur, Adobe la propose également.

"Avantages" mis en avant par ces outils : contourner les adblockers et les protections des navigateurs pour toujours mieux vous pister, même si vous ne le souhaitez pas. Evidemment, ces outils devraient arrêter de proposer l'option du CNAME, ils portent une lourde responsabilité en tant que fournisseurs de technologie. Le sentiment d'impunité n'aide pas : sans sanctions de la CNIL, pourquoi changer ?

Mais les sites web portent également une forte responsabilité : dans leur volonté de toujours mieux vous surveiller et mieux monétiser vos informations, ils en oublient la sécurité de vos données personnelles. Là également, l'absence d'un vrai régulateur se fait sentir. Boursorama devrait ainsi :

  • Supprimer les CNAMEs et utiliser les versions "standard" des traceurs AT Internet et Smart AdServer.
  • Supprimer les traceurs publicitaires Smart AdServer et Rubicon de son espace client et de son application.
  • Proposer un vrai mécanisme de recueil de consentement (opt-in) et le respecter.
  • Stopper l'attitude hostile envers les utilisateurs d'adblockers.

Boursorama Brad Pitt

À vous de jouer Boursorama, d'être réactifs et de mieux protéger les données bancaires de vos clients, c'est ainsi que vous gagnerez le droit d'être recommandé.