Ton email volé par Prestashop & Vacances powaaa !

Ouarrrg on est déjà le mois d’août… j’ai rien vu passer et c’est déjà l’heure des vacances… Bon avant de partir j’en remets une bonne couche (parce que je suis chaud ces jours)… après je pars en vacances et j’oublie tout ah ah…



Sur Twitter on me murmure…
Un autre contact me relaie l’information qu’il existe une autre faille… cette fois-ci bien voulue… Prestashop récupère volontairement l’adresse email du marchand quand il se connecte à son back-office… Je me suis  dit non… je pense pas qu’ils font ça… j’ai été regardé dans le code et oui… ils récupèrent bien l’adresse email du login (marchand) via le back-office… (je me suis marré et me suis dit que c’est quoi ce binz).

J’ai été vérifier dans le code…
Et oui… l’email du marchand est bien envoyé à Prestashop dans tous les cas… au moment où l’on se connecte pour la 1ère fois au back-office, l’email du marchand est envoyé à Prestashop… du coup pas étonnant qu’après on reçoive de la pub… sans avoir donné son email.

La ligne 529 du fichier AdminHomeController est explicite, dans tous les cas… l’email sera récupéré… (on s’en fout si le marchand veut des offres partenaires etc.. comme demandé lors de l’installation). Ils font passer cela ici pour une préactivation… en fait il s’agit d’une collecte d’email secrète…

Ce qui est dérangeant…
Finalement qu’ils le fassent… je peux comprendre, la solution est gratuite et tout… bon ça passe encore. Mais alors qu’ils le disent ouvertement… parce que là ça le fait moyen… faut pas me raconter après qu’ils ne vont pas l’exploiter l’adresse email… avec de telles pratiques pas étonnant qu’on reçoive des courriers indésirables… peut-être même qu’ils vendent les adresses aux prestataires /partenaires … personne peut vraiment savoir (pitié ne me dites pas c’est pour les statistiques… faut pas déconner).

Comment éviter le problème ?
Tu peux mettre en commentaire la ligne 529 du fichier… mais ça ne change rien… car il faut penser à le faire « avant l’installation »… si ta boutique est déjà installée et que tu t’es connecté au back-office c’est mort… ils ont déjà ton adresse email… C’est vraiment sadique.. et qui va penser de faire le changement « avant » d’installer la boutique ? Personne…

Est- ce qu’il y’a d’autres truc du genre dans le code Prestashop ?
Oui, il faut faire une recherche dans le code source, sur le code « http://api.prestashop.com » qui indique une communication avec la maison mère… on trouve aussi dans certains cas la récupération du nom + prénom du marchand + son email (toujours à son insu), par exemple lors du clic sur la bannière qui conduit dans la configuration du module Hipay (oui oui… on récupère ton prénom et ton nom… ahaha allez pleure pas).

Prestashop Spyware Hipay

Que pourrait-on faire pour se marrer ?
Si tu as la haine de voir ça (comme je provoque ahah)… l’idée serait de marteler l’api de Prestashop en faussant l’adresse IP et en lui envoyant une multitude de requêtes avec des adresses fausses… jusqu’à faire planter le service… Oui c’est une idée pour ceux qui sont gavé de ce genre de pratique… Encore plus marrant si on arrivait à déclencher une requête qui vide la base stockée… ça serait à notre tour de se marrer un bon coup.

Arrête de foutre la m…
Certains me disent… arrête de critiquer, tu scies la branche sur laquelle tu es assis…  ce n’est pas mon avis… Voilà le genre d’information qui intéresse le public… c’est un peu comme le Téléjournal, les gens aiment entendre les mauvaises nouvelles… je sais pas c’est ça qui fait augmenter l’audimat… pour le web c’est pareil.

HS : Mais en fait je pars en vacances…
Ahaha ben oui pendant 2 semaines je suis plus là… plus de nouveaux articles… je déconnecte à fond. Service de maintenance ? Bah… les clients vous pouvez attendre non ? Cette année je me sens plus freestyle, je ferme et puis c’est tout… je veux pas mettre en oeuvre des scénarios compliqués et qui usent les nerfs… et puis j’ai la chance de travailler avec des clients cool… Ils savent ce que c’est de prendre des vacances (d’où l’importance de bien choisir ses clients). Ah tu hurles ? Je suis plus là…

HS : Et pour la rentrée ?
J’ai une idée de projet… je pensais faire un tuto complet du lancement d’un ecommerce réel (à travers le blog)… de A à Z… en passant par l’étape de trouver un marché, commander des produits… monter sa boutique, faire la configuration, optimiser etc… Faut que je médite et puis que je regarde si c’est faisable… ça peut-être intéressant pour ceux qui veulent lancer un e-commerce en ayant un cas réel.

Bilan
Ces derniers temps j’ai pas mal critiqué Prestashop c’est vrai, c’est aussi parce qu’il est très important à mes yeux (non c’est pas toujours un défouloir gratuit ahaha…. bon ok des fois j’avoue). C’est toujours cool, vous me lisez toujours et la plupart apprécient mon humour, même si parfois lourdingue. Là je vais me faire une pause de 2 semaines… je vais me marrer, me défouler… essayer de faire un break web histoire de déclencher de news idées… Pensez à prendre aussi des vacances… il faut savoir aussi profiter, travailler c’est bien, mais glander c’est mieux ! A bientôt pour la rentrée et pour de nouvelles aventures !

25 commentaires sur “Ton email volé par Prestashop & Vacances powaaa !”

  1. Je ne sais pas si on peut dire que Prestashop vol les emails puisque c’est une donnée publique.
    Ah bon ?

    Et bien oui, il suffit de regarder dans le rss de la boutique Prestashop pour obtenir l’Email configurée dans la boutique lors de la création de celle-ci. (Et peut-être à d’autres endroits)

    Ex :
    http://boutique.home.sfr.fr/modules/feeder/rss.php
    > no-reply@boutique.home.sfr.fr

    http://addons.prestashop.com/rss.php
    > no-reply@addons.prestashop.com

    http://boutique.citroenracing.com/modules/feeder/rss.php
    > no_return_address@citroen.com

    1. Arf… tu m’as donné le coup qui m’achève… en fait finalement ça deviendrait presque une aubaine pour nous prestataires.

      Il suffit de localiser les sites Prestashop via un script qui transite via Google, puis de récupérer les mails via un appel de la page /rss.php

      Comme tu dis… l’email est public… finalement ça peut même faciliter l’intrusion d’un hacker.

    2. Ce n’est pas pour autant qu’on autorise qui que ce soit à la collecter (PrestaShop ou autres !).

      D’autant plus à un endroit où cela n’est pas nécessaire finalement.

      1. Bon… le code est de toute façon explicite, en tout cas dans le back-office la récupération se fait naturellement.

        Après dans les flux RSS… c’est peut-être pas indispensable d’avoir l’email…

  2. Bonjour,

    ce n’est pas encore finalisé mais on va bientôt proposer une installation de Prestashop par un simple fichier unique à déposer sur son FTP qui en plus essayera de retirer le maximum des petit trakers de ce style.

    Donc patience. Cela sera bien entendu gratuit.

    1. Salut,

      Bonne idée, je pense que ça peut-être intéressant d’avoir un petit plugin nettoyeur… même payant, les gens apprécient ce genre d’outil…

      Hésite pas à refaire un post quand c’est prêt 😉

  3. Bonnes vacances!

    J’ai aussi choisi de déconnecter totalement et, sans le faire exprès, en même temps que Webbax! Comme ça je suis certain de pas avoir besoin de lui!!! 😀

    Moi aussi je prépare un nouveau projet, prépare ta machine à faire les devis à ton retour… 😉

    A plus!

    1. Merci Pascal !

      Tu as voulu suivre mon style avoue… ahah excellent choix, au moins tu auras la paix.

      Ah un nouveau projet derrière la tête… je pense qu’il faudra bien méditer tout ça autour de multiples apéros 😉

      Bonnes vacances !

  4. A voir si c’est autorisé par la CNIL de collecter des emails sans en informer explicitement l’usager, j’ai quelques doutes. Ce ne serait pas la première fois que PrestaShop est dans l’illégalité.

    1. En même temps avec le web y’a toujours moyen de se justifier…

      Genre il est possible de collecter, si on n’exploite pas les données… c’est la grosse jungle pour le moment dans le traitement des données personnelles…

      Plus l’entreprise est grande, plus il est difficile de la freiner.

    1. L’adresse email d’une salarié est une donnée personnelle :

      « La CNIL est chargée de garantir le respect de la vie privée et des libertés lorsque des données personnelles sont utilisées. On appelle données personnelles toutes les informations qui permettent d’identifier les personnes : nom, prénom, date de naissance, n° de sécurité sociale, n° de téléphone, n° de carte bancaire, email »

      Sans être un spécialiste juridique, Raphaël à donc, d’après moi, tout à fait raison. 😉

  5. Hello Germain,

    Quand tu dis « Plus l’entreprise est grande, plus il est difficile de la freiner. », je t’avoue que tu me perds. Pourquoi vouloir freiner la croissance d’une entreprise sur laquelle repose une partie de ton propre business ? Pourquoi vouloir freiner la croissance d’une entreprise tout court, d’ailleurs ?

    Si ça peut te rassurer, c’est un bout de code qui n’a aucun intérêt pour nous, nous n’avons aucune utilité de l’adresse email de l’utilisateur. Elle n’est pas utilisé, enregistrée nulle part, pas vendue non plus (quand même !) et si tu reçois des mails de notre part c’est que tu as forcément opt-in quelque part 😉
    D’ailleurs ça fait quelques semaines qu’on a enlevé cette ligne, il n’y aura plus d’envoi de l’email à PrestaShop au premier log-in dans le BO sur la 1.5.5.

    Bonnes vacances à toi, bonne décompression 🙂

    Xavier
    PrestaShop

        1. Xavier,

          Quand je vous vois brandir la RFC (autrement dis : « On a les fesses propres ») et proposer comme correction de supprimer le RSS, je me dis que Prestashop n’a vraiment rien compris.

          Nous ne sommes PAS CONTRE VOUS !

          Vous avez le droit de faire des erreurs, vous avez le droit de demander l’avis de la communauté, vous avez le droit d’avoir un historique de code pas très pro, vous avez le droit d’avoir des petits modules développés par des stagiaires, etc.

          Maintenant, restons intelligent. On ne va pas commencer à débattre d’une RFC ni de l’utilité du RSS.
          – Êtes vous obligé d’utiliser l’email configurée par le commerçant pour le RSS ?
          > Non, je ne crois pas.
          Votre blog (celui de prestashop), a un flux RSS : http://www.prestashop.com/blog/fr/feed/
          – Il y a t’il une adresse email dedans ?
          > Non, je ne crois pas.

          Vous voyez, en discutant un peu, on trouve des solutions beaucoup moins radicales :
          – Ne pas mettre le champs email (et changer de standard de syndication si celui utilisé impose l’email)
          – Laisser le champs vide
          – Prévenir le commerçant que l’adresse indiqué sera diffusée
          – Proposer de configurer l’email (via le module RSS)

          Xavier, ne perdez pas de temps à chercher des RFC pour une broutille sur le RSS, dites simplement « Merci, on va regarder ça » et tout le monde gagnera du temps.

          En tout cas, un grand chapeau aux équipes de Prestashop qui en plus de devoir améliorer la solution, passe du temps à répondre à la communauté. Dommage que ça ne soit pas toujours sur les bonnes questions.

          1. Je plussoie… ! Tout est dit dans ton article Webax, et ce commentaire est clair et résume très bien ce que pense beaucoup 🙂

            C’est un minimum d’être transparent quand même… !

            Bonne vac’ aux chanceux 😉

          2. Merci pour ton passage !

            Oui autant dire les choses comme elle le sont… c’est plus simple pour tout le monde.

            Passe de bonnes vacances !

          3. Salut,

            Je partage assez ton avis… moi-même cela ne me dérange pas du tout qu’il aie des choses à modifier (c’est normal) ou que des stagiaires développent des modules pour la solution, c’est très bien… Merci d’ailleurs à Xavier de venir contribuer avec ses réponses et son suivi.

            Maintenant on en revient au problème de Prestashop fait ce qu’il veut (et je le comprends), si j’envoie un email avec différentes requêtes ou remarques… c’est pour rien… une explication, il y aura toujours une à en donner pour justifier.

            D’ailleurs personnellement j’avance tranquillement dans mon coin sans me soucier du reste, je vois bien les réponses que m’apporte Prestashop… faut pas trop compter dessus. Mais encore une fois, on parle bien du comportement « humain » de Prestashop, la solution elle-même est toujours top.

            A bientôt !

    1. @Xavier du Tertre – PrestaShop : effectivement l’envoi automatique depuis la page d’accueil est retiré 🙂

      Il reste :
      – L’envoi systématique lors de l’installation par l’iframe de pub pour addons
      – L’envoi systématique lors du rafraichissement de la liste des modules, de l’installation d’un module partenaire ou de la recherche de mise à jour. Celui-ci intervenant aussi lors de l’installation.
      – L’envoi lors du clic sur une pub pour les modules partenaire dans la page d’accueil.
      – L’envoi systématique lors qu’on rentre dans la configuration du module ebay et dans d’autres modules partenaires https://github.com/PrestaShop/PrestaShop-modules/search?q=%26email%3D&source=cc

      Pour un truc qui ne sert pas vous l’avez pondu un peu partout. Surement un soucis de copier-coller :-p

      1. Ahahaha….

        Merci Shagshag pour la confirmation…

        Il reste à retirer tout ce qui est à vocation commerciale :D, clair y’a quand même du tracking dans l’application… Les emails sont certainement ensuite relayés aux partenaires qui peuvent lancer une incitation à utiliser leur service, lorsque le client a été dans la configuration de leur module ou lorsque celui-ci a cliqué sur leur bannière.

        Bon Prestashop peut faire simple aussi… ils n’ont qu’à ajouter une ligne dans les conditions lors de l’installation de la boutique… Un truc qui dit que les données personnelles peuvent être collectées de manière automatique et voilà… pas de corrections à faire héhé….

        Je pense que ça doit être un bug de copier-coller 😀 !

    2. Hello,

      Depuis 2008 j’ai pu voir l’évolution… au départ la communauté était plus compacte, plus à l’écoute que maintenant…

      A présent Prestashop ne va pas perdre de temps sur quelque chose ou avec quelqu’un qui ne lui ramène pas du cash, ce que je comprends tout à fait. J’ai déjà eu des entretien avec Prestashop, téléphonique et aussi réel… mais bon… on a plus à faire aux gens motivés du débuts. Il faut traiter avec des gens qui doivent rentabiliser une boîte… du coup cela en devient moins intéressant.

      Au départ c’était plus « artisanal »… maintenant Prestashop a rejoint les standards du business… Tu veux être écouté ? Deviens agence certifiée et taxe !

      Pour les emails… non bon faut pas abuser, si cela est présent dans Prestashop y’a une raison mettre un tel code pour « rien faire avec »… ça me semble juste illogique… Pour moi c’est pas un drame c’est juste le principe… autant dire oui… ok bon c’était pas une bonne idée de faire ça…

      Que Prestashop devienne la grosse industrie n’est pas forcément intéressant pour moi, car ensuite l’échange est réservé entre « gros bonnets », mais bon là je m’attarde sur un autre sujet…

      Merci pour ton retour et passe aussi de bonnes vacances !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *