Faille de confidentialité sur le portail des déclarations sociales net-entreprises.fr

Mercredi 22 avril 2009

Oliver de GestionDeLaPaie.com signale une faille de confidentialité très claire sur le portail des déclarations sociales net-entreprises.fr.

L’inscription à net-entreprises.fr se fait en ligne avec un SIRET et un e-mail. Or l’accès est donné immédiatement sans vérification préalable de l’e-mail : ce principe représente bien une "faille de confidentialité".

Le portail internet net-entreprises.fr permet d’effectuer les déclarations sociales règlementaires et contractuelles (Ducs, DADS).

1,3 millions d’entreprises utilisent ce service. Il est incontournable pour les tiers-déclarants (comptable, SSII, prestataire, gestionnaire de paie etc.) qui gèrent un "portefeuille" d’entreprises clientes via le portail. Si l’accès est immédiat, n’importe quel e-mail fictif permet donc de voir (pas de modifier cependant) le portefeuille de clients d’un tiers-déclarant ...

Répondre à cette brève

1 Message

  • net-entreprises.fr a obtenu un droit de réponse où elle « rappelle que le choix du mode d’inscription pour les tiers-déclarants a été fait en accord avec l’ensemble des organismes de protection sociale membres du GIP-MDS et que sa souplesse est globalement appréciée par ses nombreux utilisateurs tiers-déclarants ». On est dans le vieux débat facilité c/ sécurité, l’un ne devant pas trop menacer l’autre.

    Sous ce droit de réponse, Olivier re-préconise diverses solutions pour éviter tout risque de captation de clientèle entre utilisateurs du portail.

    A titre personnel, les remarques de GestionDeLaPaie.com me semblent relever simplement de l’application des règles de base de sécurité informatique.

    L’absence, pendant 8 jours, de processus minimal de vérification de l’identité de la personne demandant un accès pourrait elle être considérée comme une faute civile ? En tout cas, si l’intrusion frauduleuse dans un STAD est pénalement punie, je ne vois pas l’intérêt de la faciliter ...

    repondre message