Spam Prestashop et données confidentielles

[Eolia]

Est-ce normal que Prestashop envoie ce genre de message à répétition aux propriétaires de boutiques ?

- Client non-inscrit à la newsletter Prestashop

- Version PHP connue comment ?

Après recherche il semblerait que c'est suite à des interventions de SAV de leur part dans certains BO

Quid du RGPD et des informations sensibles de la boutique ?

Edited May 21, 2019 by Eolia (see edit history)

[doekia]

Honteux

Quand aux données ils n'ont que l'embarras du choix pour les trouver, l'appel au flux addons est goinfré de ce genre d'information.

Prestashop s'assoie régulièrement sur nos lois. Par exemple, inscription à la newsletter optin auto pour les compte employé - c'est pas comme si c'était illégal en France depuis 2014 - et dans toute l'Europe  depuis 2016

[ttoine]

Hello,

FYI: https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

En gros, il faut distinguer la communication B2C et la B2B. Dans ce cadre, il s'agit bien d'une communication de type professionnelle, B2B.

@Eolia tu as masqué (et tu as raison) l'email du destinataire, est-ce que tu peux nous dire s'il s'agit d'un email générique de type "[email protected]" ou bien un email direct d'une personne? (peux-tu stp me l'envoyer en privé, si possible?)

Je suis en train de vérifier dans quel cadre Nicolas, notre responsable des partenariats avec les agences et les freelances, a pu obtenir ces informations. 

Merci beaucoup de nous l'avoir signalé !

[Eolia]

c'est l'adresse mail de la boutique

[doekia]

il y a 9 minutes, ttoine a dit :

FYI: https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

Citation

L'objet de la sollicitation doit être en rapport avec la profession de la personne démarchée (exemple : message présentant les mérites d’un logiciel à paul.toto@nomdelasociété , directeur informatique.)

Le marchand de jupette n'est pas informaticien, il n'y donc aucune raison de communiquer avec lui sur sa version de PHP

[ttoine]

@doekia la version de PHP d'une boutique, c'est facile à obtenir avec un crawler, c'est souvent une information publiquement disponible dans les headers envoyés par le serveur. Pareil avec l'email ou la version de PrestaShop.

Donc, là on est en train de parler de l'adresse email générique d'une boutique (information publique) et de la version de PHP (information publique).

L'objet de la sollicitation est la sécurité de la boutique et une invitation à un événement, ce qui est tout à fait en rapport avec la profession de la vente en ligne en utilisant une boutique PrestaShop, quelque soit ce qui est vendu sur la boutique.

[Eolia]

Ca s'appelle du démarchage publicitaire, il n'y a pas de contrat technique en cours entre le propriétaire de la boutique et les services techniques de Prestashop.

- Ce client m'a donc demandé à quels dangers était exposée sa boutique 1.6.1.20

- Il m'a parlé de mails réguliers d'une "société" (En effet, rien d'évident ni de clair ne montre que Prestashop en est l'auteur)

- Ces mails l'incitent fortement à migrer en 1.7 (j'aime beaucoup le "si votre boutique est active") sans tenir compte de la configuration de la boutique actuelle

- il en a reçu plusieurs (toujours identiques)

[ttoine]

Il ne s'agit pas de mailing à proprement parler, vu que Nicolas utilise ici sa boite mail. Et, on est ici dans un cadre B2B. C'est tout à fait standard pour des commerciaux de faire des tentatives de contact à partir d'informations publiques, comme précisé dans la note de la CNIL que j'ai partagé plus haut:

En revanche, il est tout à fait possible de répondre à ces emails en demandant de ne plus en recevoir. 

@Eolia BTW, est-ce que tu peux modifier l'image afin qu'on ne voit pas l'email de Nicolas ? Tu as masqué le destinataire en haut, mais tu as oublié la signature en bas.

[Eolia]

J'ai masqué cette adresse bien que Nicolas soit un personnage public mais bon...

La tournure du mail et la méthode me déplaisent. Ca ressemble trop à du forcing. Il y a d'autres façon de communiquer sans faire paniquer les gens, ni les induire en erreur.

J'ai regardé la dernière 1.7.6, il y a du progrès dans certains domaines et des idées intéressantes mais c'est plutôt ça qu'il faudrait mettre dans vos mails de prospect plutôt que de tenter d'effrayer les propriétaires de boutiques par rapport à leur version PHP

[ttoine]

Merci d'avoir masqué l'image.

@okom3pom je vais investiguer. Si jamais tu retrouves le pull request en question, regardons ça. Cependant pour les adresses "perso", c'est peut-être du aussi à des achats sur Addons, ou des achats de base de données marketing (collectées légalement sur d'autres plateformes).

L'objectif est de rendre PrestaShop meilleur, tant le projet open source que l'entreprise. Il est actuellement possible de faire plein de choses qui ne seraient pas passées il y a quelques années, alors profitons en.

[doekia]

Il y a 5 heures, ttoine a dit :

L'objet de la sollicitation est la sécurité de la boutique

Vraiment, alors là c'est exactement ce qui s'appelle un mensonge et il est grossier. Il n'a pas de faille PHP5.6 qui ne soit connue impactant PrestaShop et les failles du Zend sont d'ailleurs pour la plupart justement dans ces versions "magiques" 7.x.

Vous êtes désespérant, au lieu de faire amende honorable et reconnaître que vous avez ici un peu outrepassé la confiance que la communauté vous accorde, vous essayez de noyer le petit peuple dans des explications pseudo-science. C'est pathétique !

[ttoine]

15 hours ago, Eolia said:

La tournure du mail et la méthode me déplaisent. Ca ressemble trop à du forcing. Il y a d'autres façon de communiquer sans faire paniquer les gens, ni les induire en erreur.

Effectivement, je partage ton avis, et j'ai fais passer ton message à Nicolas. Et il est aussi d'accord, ce genre de message négatif devrait cesser. Donc merci encore pour votre retour.

Pout ce qui est de la sécurité de PHP 5.6, il y a déjà eu pleins de débats stériles sur ce forum à ce sujet. Utiliser ça en mode peur pour communiquer, nous sommes désormais d'accord que c'est pas une bonne idée. Cependant, PrestaShop a un devoir d'information à ce sujet. Quoi qu'on en dise, même s'il n'y a pas de faille de sécurité connue et exploitée, la maintenance de PHP 5.6 est arrêtée, c'est un fait. 

[doekia]

Le devoir d'information commence par ne pas passer 1 semaine pour communiquer autour d'un attaque mondiale. Pointer vers un solution même temporaire au lieu d'inviter à acheter un module dont la plupart présent sur addons sont des leurres.

La maintenance est arrêtée oui, les CVE non, et en consultant ceux-ci il est possible de voir ce qui peux avoir une implication. Par contre nous avons ça https://www.cvedetails.com/cve/CVE-2019-11036/ dans les 7.1+

[Louise mallet]

Vous essayez vraiment de faire installer la version 1.7 par tous les moyens ??????? en utilisant cet argument dans tous les sens

Sachez pour info qu' à part 1&1 (partenaire avec vous) le support de php 5.6 est maintenu gratuitement encore pour un bout de temps par les hébergeurs .....

Pourquoi vouloir absolument forcer vos clients sur 1.6, qui fonctionnent très bien, à passer sur une version qui est encore loin d'être stable avec encore des changements importants dans les codes à venir et donc une mise à jour galère qui va faire encore planter la boutique comme à chaque fois ?????

Si vous tenez tant à ce que le client passe sur 1.7, vous pouvez leur donner de l'argent pour refaire toute leur boutique, oui vous avez peut-être oublié la passage de 1.6 à 1.7 nécessite une un nouveau budget : achat des modules, intégration du thème ......... et aussi une pochette pour chaque mise à jour qui est loin d'être un long fleuve tranquille.