Mot de passe en clair sur facture

chleul
Apprenti sosheur

Bonjour,

 

Je souhaitais utiliser ma facture mobile Sosh comme justificatif de domicile.

Mais je me suis aperçue que l'identifiant et le mot de passe de mon compte Sosh y apparaissent!

Non seulement je ne peux pas transmettre cette facture puisque je ne vais pas transmettre cette information à des personnes tierces, mais par ailleurs je suis sûre que beaucoup de personnes ne s'en rendent pas compte et communiquent leur mot de passe ainsi.

 

NB: j'aurais voulu ouvrir une réclamation (catégorie "explication") plutôt qu'un sujet ici, mais le site me dit Désolé, vous ne pouvez pas accéder à ce service

 

Si un conseiller ici pouvait faire remonter le problème...

 

Merci,

chleul

14 réponses14

stephrem85
Top Contributeur

Bonjour @chleul 

 

En général quand on transmet la facture en justificatif de domicile c'est à des organismes qui gardent secret les infos transmises. 
vous pouvez aussi avant de transmettre la facture mettre un coup de marqueur sur les infos que vous penseriez sensible. 

Bonjour

 

Merci pour votre réponse, mais d'un point de vue sécurité, les organismes "de confiance", ça n'existe pas. Il suffit de regarder les actualités, très régulières, au sujet de divers piratages et de listings mis à dispo de personnes mal intentionnées. 

Donc pour ça il y a des principes, comme de choisir de bons mots de passe, et surtout de ne pas les laisser se balader en clair où que ce soit. Ce n'est même pas une question de probabilité ou d'évaluation de l'impact, mais on ne le fait pas, point. 

C'est à sosh de corriger cela sur les factures "by design", pas aux clients de juger de ce qui est sensible, et s'amuser à modifier des pdf ou mettre des coups de marqueur. D'autant que la plupart des clients ne le feront pas, car comme vous, ils ne voient pas le problème faute de sensibilisation.

 

 

 

 

Bonjour 

 

vous pouvez aussi fournir autre chose qu'une facture de téléphone en justificatif de domicile si vous trouvez que la facture sosh n'est pas assez sécuritaire. 

Karim_Z
Webconseiller

Bonjour @chleul 


Je tiens à vous rassurer, le code qui est indiqué sur votre facture n'est utilisé que pour le paiement des factures sur le serveur vocal et ne permet en aucun cas d’accéder à votre espace client.

Vous pouvez occulter ces informations si vous êtes dans l'obligation de transmettre cette facture à un tiers, comme l'a suggéré @stephrem85.


Je reste à votre disposition.


Bonne journée.


Karim

Conseiller Spécialiste Commercial
Ma réponse vous a aidé ? Acceptez-la comme solution !

Ach1
Sosheur junior

Bonsoir,

Je vous rejoins complètement, même constat, même situation, je travaille en cybersécurité et je tombe des nus de voir la réponse apportée... 

 

Est ce que les équipes qui traitent le sujet peuvent faire remonter le sujet en interne svp (CISO et DPO) ?

Aucun moyen ne permet de vous signaler ce sujet, on est sur une non conformité du respect de traitement de données personnelles (RGPD).

Non seulement SOSH ne prévient pas que le mot de passe sera inscrit en clair au moment où il le demande, donc n'est pas stocké de manière sécurisé mais en plus vous ne donnez aucun process pour l'en changer et vous ne permettez pas à l'utilisateur d'exercer son droit de suppression, pire vous essayez de lui expliquer en quoi il peut le diffuser sans crainte.. les factures s'impriment, se perdent.. 

C'est une aberration de ne pas laisser l'opportunité au principal intéressé de retirer cette information qui n'a aucun lieu d'être inscrit avec l'identifiant et les autres informations personnelles sur une facture.

Remontez cette alerte au plus vite en interne (équipe sécurité et DPO).

Pour ma part sans moyen de le supprimer ni confirmation de remonter, je signalerai ce manquement aux organismes adéquat pour la sécurité des données personnelles des clients de Sosh, la mienne inclue.

Ach1
Sosheur junior

Bonsoir,

Pour appliquer votre logique, le mot de passe doit être transmis par la société et non par le consommateur. Et encore la pratique de transmettre un mot de passe en clair est loin d'être une bonne pratique au regard de la sensibilisation à la sécurité qu'il faut inculquer.

 

Par ailleurs, il ne doit pas être transmis sur le même document que son identifiant.

Sinon autant ne pas mettre de mot de passe, l'identifiant suffit. (Si on trouve une facture on peut donc faire un vol d'identité auprès de vos services par téléphone sans soucis)

Cette pratique est vraiment à faire remonter pour une étude et adaptation. 

Sosh demande au client de configurer un mot de passe et l'affiche ensuite en clair. C'est contraire aux règles de protection des données personnelles.

Sans compter que votre formulaire en ligne permettant d'exercer son droit sur ses données ne fonctionne pas ! 

Le cumul, non prise en compte par les moyens fournis, moyens déficients (mis en oeuvre pour faire semblant d'être conforme?) + Traitement de données personnelles non conforme à la réglementation en vigueur et vraiment aggravant.. 

stephrem85
Top Contributeur

@Ach1 

 

Bonjour ???

 

Quel intérêt de ressortir un post de février 2021 ??

 

Réponse si webconseiller au cas où vous ne l'auriez pas lu:

 

Je tiens à vous rassurer, le code qui est indiqué sur votre facture n'est utilisé que pour le paiement des factures sur le serveur vocal et ne permet en aucun cas d’accéder à votre espace client

 

 

 

 

 

 

Bonsoir,

L'intérêt est que la réponse n'a rien à voir avec le problème signalé..

On ne parle pas ici du mot de passe qui permet d'accéder à l'espace en ligne mais d'un mot de passe que l'utilisateur a dû choisir qui peut être utilisé à d'autres fins et qui ne devrait être écrit que si ce dernier en a donné l'autorisation ou que la société a clairement prévenu que ce serait le cas.

Le mot de passe est celui demandé pour identifier lors d'un appel pour agir sur le contrat de l'utilisateur il permet également d'accéder à distance à la messagerie.. 

Donc, oui je rouvre ce topic car la réponse apportée n'a rien à voir avec le signalement de la personne précédente, et je la rejoins, c'est important que ce sujet soir remonté aux bonnes personnes.

la loi a été renforcée pour protéger ce genre de pratique, si un utilisateur demande de faire disparaitre une donnée qui lui appartient c'est son strict droit.

Sosh est injoignable autrement, il faut que cela leur soit remonté, ne venez pas clôturer le sujet en apportant une réponse inadéquate sans entendre l'alerte qui est faite svp 

stephrem85
Top Contributeur

@Ach1 

 

toujours pas de bonjour ou bonsoir ??

 

bon courage sur ce vieux post.