Choicepoint sait tout sur tout le monde et tout le monde sait tout sur Choicepoint...
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Récapitulatif
de nos copies d'écran sur ce même monde étrange Cette page n'est plus mise à jour depuis août 2001 |
| Taijiquan style Haking (dot com) |
| Sasak style Haking (dot com) |
| Le Match Kitetoa versus Ugly Discoursmarketing |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
Il y a comme ça des géants de la donnée personnelle dont on a pratiquement jamais entendu parler. Choicepoint fait sans aucun doute partie de ceux-là. Je lisais récemment un chapitre du bouquin (à paraître) d'une amie dans lequel ce nom figurait. On apprend dans ce texte que Choicepoint a passé un accord avec les autorités américaines (FBI et administration fiscale -IRS) pour leur laisser accéder aux données personnelles (téléphone, patrimoine, condamnations) via ses serveurs Web.
De fait, lorsque l'on va sur www.choicepoint.net, on lit: "ChoicePoint has grown from the nation's premier source of data to the insurance industry into the premier provider of decision-making intelligence to businesses and government. Through the identification, retrieval, storage, analysis and delivery of data, ChoicePoint serves the informational needs of the property and casualty market, life and health market and businesses, including Fortune 1000 corporations, asset-based lenders and professional service providers, and federal, state and local government agencies. ChoicePoint keeps abreast of the issues and trends in anticipation of what we believe to be a future opportunity of risk assessment information delivery. The Company strives to build and sustain long-term relationships through always understanding its customers' needs, while responding effectively with products and services that reflect changing industry concerns and dynamics. In addition, ChoicePoint strongly promotes the responsible use of information as a fundamental plank of its business model and maintains and upholds standards regarding the use and dissemination of information."
A la rubrique "privacy", on trouve cela: "To demonstrate our further commitment to online privacy, ChoicePoint is a licensee of the TRUSTe® Privacy Program. TRUSTe is an independent, non-profit organization whose mission is to build users' trust and confidence in the Internet by promoting the use of fair information practices. TRUSTe's certification covers the websites gathering and dissemination of information not any services or products. We have disclosed the information practices of our web site to TRUSTe, and TRUSTe has reviewed and approved our online privacy practices for compliance with TRUSTe's online privacy standards." Pour l'aspect sécurité, pas de problèmes: "collected through this web site. We recognize the importance of security for all personally-identifiable information collected by our web site. We exercise care in providing secure transmission of your information from your PC to our servers. Once we receive personally-identifiable information, we take steps to protect its security on our systems. In the event we request or transmit sensitive information, such as credit card information or Social Security Numbers, we use industry standard, secure socket layer ("SSL") encryption. We strictly limit access to personally-identifiable information to those employees who need access in order to carry out their job responsibilities. All employees are prohibited from "browsing" through our files and databases. We train our employees in the application of our need-to-know standard. We periodically audit for compliance with this standard and we impose penalties for any failure to comply with this standard."
Après l'histoire Doubleclick cliquez ici ou ici qui nous avait appris combien les entreprises qui approprient nos données personnelles sont soucieuses de sécuriser les serveurs qui y donnent accès, nous n'avons pas pu nous retenir de regarder de plus près les quelques sites de choicepoint. bilan... ce n'est pas top... un vrai classique.
Les sites de Choicepoint qui tournent sous Lotus Domino (IBM) sont ouverts à tous les vents...
Avant tout, il est possible de voir la liste de toutes les bases qui renferment les données stockées sur le site. C'est assez idiot comme méthode de laisser les internautes accéder à cette page... Il est pourtant spécifié dans le document de Lotus "comment sécuriser son site sous Lotus-Domino" (un truc impossible) de ne pas agir de la sorte. Mais qu'importe, Choicepoint, qui s'approprie les données personnelles des Américains et se présente comme un défenseur de la privacy (mais à qui diable veulent-ils faire croire ça?) laisse filer quelques infos.
Prenons quelques exemples concrets...
Vous allez sur le site, il suffit donc de demander la page qui contient la liste de toutes les informations contenues sur le serveur et d'entrer dans le détail. On arrive rapidement sur la liste des entreprises qui voudraient bien devenir revendeurs des services de Choicepoint. Mais ce n'est pas tout, on trouve le détail de "pourquoi mon entreprise veut devenir revendeur"... A voir également, les réponses toutes faites pour ces prétendants. D'autres visiteurs ont souhaité avoir des informations sur les produits. Ce sont, ce que les commerciaux appellent des "leads". Hop, même méthode, on se retrouve sur la liste des leads de Choicepoint. Avec noms et entreprise (si on peut appeler le FBI une entreprise... ;) ). Autre partie du site qui ne devrait pas être ouverte à tous les vents, les requêtes faites par les clients (qui a consulté et quand). Les pages du pseudo Intranet (qui est en fait en live sur le Web) proposent de voir qui a fait des requêtes. Certaines ont été traitées de bout en bout, d'autres pas.
Et voilà. Imaginez... Si accéder à ces informations qui s'enfuient est si simple, que pourrait faire un vrai pirate? Je me demande ce que diraient les zozos de TRUSTe qui ont apposé leur sceau sur ce site... Rien sans doute. Autorégulons-nous qu'ils disaient. C'est sûr, c'est plus simple...