Boursorama Banque fuite vos données de connexion
(En gros Bourso laisse la porte ouverte à des trackers tiers qui peuvent théoriquement accéder aux cookies de session)

je vois que vous etes rapides pour la mauvaise nouvelle de chez max, je vous met une capture d'écran du mail :
 
http://image.noelshack.com/fichier [...] oard01.jpg

Boursorama Banque fuite vos données de connexion
(En gros Bourso laisse la porte ouverte à des trackers tiers qui peuvent théoriquement accéder aux cookies de session)

Oui, Boursorama traque ses utilisateurs via du first-party, ça fait un moment que c'est visible ( https://twitter.com/aeris22/status/1194213814901858305 ). Tout comme Liberation par exemple, et plein de sites français. Ce ne sont pas les seuls.
Normalement la plupart des trackers sont en third-party, mais vu que firefox et safari ont définitivement réglé la question de ces saloperies en bloquant les cookies third-party en 2019/2020, les publicitaires se sont mis à proposer du tracking first-party, plus difficile à bloquer.
Rien de plus logique de la part de gens frustrés qui n'acceptent pas que l'on refuse leur diktat imposé.    
Leur nouveau joujou de flicage est utilisé pour déguiser les requêtes réseau de cookie tiers en requêtes de réseau pour des cookies first-party, Y COMPRIS l'écriture / lecture de cookies tiers.
Je considère que cela est extrêmement hostile aux utilisateurs, même à ceux qui n'utilisent pas de bloqueur de contenu, car cela permet aux serveurs tiers de lire / écrire des cookies même si un utilisateur a choisi de bloquer les cookies tiers.    
 
Ce que l'article partagé sur le topic ( https://www.pixeldetracking.com/fr/ [...] t-adserver ) ne dit pas, c'est qu'il est possible de se prémunir du tracking first-party (initié par les entreprises criterio, eulerian et toutes ces saloperies) : il suffit d'utiliser le combo Firefox + uBlock Origin !    
 
uBlock Origin est le seul adblocker à avoir pris cette question au sérieux, vous pouvez le vérifier ici : https://github.com/uBlockOrigin/uBl [...] ssues/780/ (merci aeris22 pour son volontarisme). Autre site : https://forum.malekal.com/viewtopic.php?t=64996
Malheureusement, le seul navigateur qui dispose des APIs nécessaires au blocage de ce nouveau mode de flicage est Firefox. En effet, celui-ci est le seul navigateur doté de la fonctionnalité API DNS requise pour effectuer ces recherches.    
uBlock Origin sur un autre navigateur est totalement inefficace pour bloquer le flicage, mais ce n'est pas la faute du développeur du bloqueur de pub.
 
Utiliser uBlock Origin sur Chrome (ou tout navigateur basé sur Chrome de type Edge, Brave) ne vous protègera donc pas, c'est voulu par Google qui a volontairement anticipé le coup en enlevant les APIs de blocage.
De toute façon, si l'on est un minimum sérieux, on n'utilise pas Google Chrome.    
 
Bonne utilisation de Boursorama  

Oui, Boursorama traque ses utilisateurs via du first-party, ça fait un moment que c'est visible ( https://twitter.com/aeris22/status/1194213814901858305 ). Tout comme Liberation par exemple, et plein de sites français. Ce ne sont pas les seuls.
Normalement la plupart des trackers sont en third-party, mais vu que firefox et safari ont définitivement réglé la question de ces saloperies en bloquant les cookies third-party en 2019/2020, les publicitaires se sont mis à proposer du tracking first-party, plus difficile à bloquer.
Rien de plus logique de la part de gens frustrés qui n'acceptent pas que l'on refuse leur diktat imposé.    
Leur nouveau joujou de flicage est utilisé pour déguiser les requêtes réseau de cookie tiers en requêtes de réseau pour des cookies first-party, Y COMPRIS l'écriture / lecture de cookies tiers.
Je considère que cela est extrêmement hostile aux utilisateurs, même à ceux qui n'utilisent pas de bloqueur de contenu, car cela permet aux serveurs tiers de lire / écrire des cookies même si un utilisateur a choisi de bloquer les cookies tiers.    
 
Ce que l'article partagé sur le topic ( https://www.pixeldetracking.com/fr/ [...] t-adserver ) ne dit pas, c'est qu'il est possible de se prémunir du tracking first-party (initié par les entreprises criterio, eulerian et toutes ces saloperies) : il suffit d'utiliser le combo Firefox + uBlock Origin !    
 
uBlock Origin est le seul adblocker à avoir pris cette question au sérieux, vous pouvez le vérifier ici : https://github.com/uBlockOrigin/uBl [...] ssues/780/ (merci aeris22 pour son volontarisme). Autre site : https://forum.malekal.com/viewtopic.php?t=64996
Malheureusement, le seul navigateur qui dispose des APIs nécessaires au blocage de ce nouveau mode de flicage est Firefox. En effet, celui-ci est le seul navigateur doté de la fonctionnalité API DNS requise pour effectuer ces recherches.    
uBlock Origin sur un autre navigateur est totalement inefficace pour bloquer le flicage, mais ce n'est pas la faute du développeur du bloqueur de pub.
 
Utiliser uBlock Origin sur Chrome (ou tout navigateur basé sur Chrome de type Edge, Brave) ne vous protègera donc pas, c'est voulu par Google qui a volontairement anticipé le coup en enlevant les APIs de blocage.
De toute façon, si l'on est un minimum sérieux, on n'utilise pas Google Chrome.    
 
Bonne utilisation de Boursorama  

Donc ces suivis inappropriés sont sur la version web sans adblockeur si je comprends bien?
En passant essentiellement par les applis de ces banques, on évite le pistage par des tiers?

Effectivement hallucinant.
 
Je viens de vérifier dans mon navigateur (Brave) et il me bloque 7 trackers externe sur la page banque Bourso :
https://cdn.tagcommander.com/cmp-api/cmp.js
https://ced.sascdn.com/tag/16/smart.js
https://www.googletagmanager.com/gtag/js?id=DC-xxxxxx
https://www.googletagmanager.com/gtag/js?id=AW-xxxxx
https://boursorama.admo.tv/server/receptor.php
https://nxtck.com/act.php?tag=xxxxx
https://c0011.boursorama.com/tap?s=xxxx
 
Et sur la page de connexion où on tape son code, 3 trackers dont 2 extérieurs :
https://c0011.boursorama.com/tap?s=xxxxxxxx
https://www.googletagmanager.com/gtag/js?id=AW-xxxxx
https://aweucn1-2.advanced-web-anal [...] ?xxxxxxxxx
 
ça fait peur !
 
Edit : petit test chez Fortu
Page banque 8 trackers
 https://www.google-analytics.com/analytics.js
https://www.facebook.com/tr?id=5903 [...] noscript=1
https://t.contentsquare.net/uxa/742229d235ecb.js
https://secure.quantserve.com/quant.js
https://www.googletagmanager.com/gt [...] 1071766481
https://secure.adnxs.com/seg?add=16864539&t=2
https://u.logbor.com/p/?i=3335&n=__dot
https://js-agent.newrelic.com/nr-1169.min.js
 
sur la page de connexion, 3 trackers externe dont un douteux également (le dernier)
https://mabanque.fortuneo.fr/js/front/fingerprint2.js
https://mabanque.fortuneo.fr/appdynamics/adrum/adrum.js
https://ftn.eulerian.net/collector/ [...] xxxxxxxxxx
 
Chez ING, 4 trackers sur la page banque et 1 sur la page connexion au compte (https://www.google-analytics.com/analytics.js)
 
Après le fait que ces banques analysent notre activité est une habitude généralisée depuis internet mais l'article met surtout en lumière une chose inquiétante : le fait qu'une personne mal intentionnée puisse décortiquer le code et extraire les données de connexion   Le soucis est là. Car je suis certain que chez les marketeux, les données sont libres et non sécurisée.
En tout cas le soucis est loin d'être limité à Bourso, il est, sur les 3 grosses BEL que je viens de tester, généralisé.
 
Edit 2 pour le fun, la palme à la Banque Postale et ses 24 trackers sur la page de connexion (dont les fameux XTI)
 
Je suis donc dubitatif sur cet article qui tape spécifiquement sur Bourso alors qu'ailleurs l'herbe n'est pas plus verte. Quelle est l'objectivité de ce "journaliste" et pourquoi ne pas l'avoir étendu aux autres banques ?
 
 
@evidencepz, selon toi donc il est préférable de lâcher Brave pour Firefox niveau sécu ?
Pourtant le Brave Shield à l'air assez efficace, j'utilise encore un bloqueur par sécurité derrière et un effaçeur/bloqueur de canvas.

 
pas expert mais Adguard semble également s'atteler au sujet depuis pas mal de temps : https://adguard.com/en/blog/disguised-trackers.html  
De ce que je comprends, ça reste une DB qui s'étoffe avec le temps, mais au moins c'est pas limité à un navigateur, toutes les solutions sont bonnes à prendre

Donc ces suivis inappropriés sont sur la version web sans adblockeur si je comprends bien?
En passant essentiellement par les applis de ces banques, on évite le pistage par des tiers?

 
Oui l'herbe n'est pas plus verte ailleurs, les trackers de la Banque Postale sont infâmes comme tu as pu le constater.
Le "Brave Shield" est efficace oui, mais vu que Brave est basé sur Chromium, aucun bloqueur de pub qu'il soit natif ou en add-on ne peut bloquer l'ensemble du tracking en first-party sur le navigateur Brave.
Je ne prêche pas pour Firefox par plaisir, j'aimerais que tous les navigateurs permettent de bloquer cette nouvelle forme de flicage, mais malheureusement Firefox c'est la seule solution dont on dispose aujourd'hui. C'est terrible.
Il me semble que le tracker c0011 que tu as vu est le tracker Xiti, si Brave le voit tant mieux, mais dans le doute d'un blocage 100% effectif j'utiliserai Firefox pour ma part.    
 

Hello !
 
Question assurance cartes.
 
J'ai des comptes chez :
* caisse d'épargne
* boursorama
 
Avec respectivement une carte Platinium et Premier.
 
J'ai perdu une clef de voiture.
Et put*** ça coûte cher
 
Mon assurance auto me demande de payer une franchise.
 
Il me semblait que ce genre de perte était couvert par les carte VISA et/ou assurance moyen de paiement ?
J'ai appelé la caisse d'épargne qui me dit que non ?

Hello !
 
Question assurance cartes.
 
J'ai des comptes chez :
* caisse d'épargne
* boursorama
 
Avec respectivement une carte Platinium et Premier.
 
J'ai perdu une clef de voiture.
Et put*** ça coûte cher
 
Mon assurance auto me demande de payer une franchise.
 
Il me semblait que ce genre de perte était couvert par les carte VISA et/ou assurance moyen de paiement ?
J'ai appelé la caisse d'épargne qui me dit que non ?

Hello !
 
Question assurance cartes.
 
J'ai des comptes chez :
* caisse d'épargne
* boursorama
 
Avec respectivement une carte Platinium et Premier.
 
J'ai perdu une clef de voiture.
Et put*** ça coûte cher
 
Mon assurance auto me demande de payer une franchise.
 
Il me semblait que ce genre de perte était couvert par les carte VISA et/ou assurance moyen de paiement ?
J'ai appelé la caisse d'épargne qui me dit que non ?

 
Cela dépend des banques, j’ai vécu la même situation l’an passé. Toutes mes BEL m’ont répondu par la négative, le HSBC m’a remboursé la clé sur simple facture et attestation sur l’honneur. Non couvert par les assurances CB mais par la cotisation de la carte

Pk max exclu la poste lcl ?

Pk max exclu la poste lcl ?

L’article dit que non

Retrait de 140 € à une borne de supermarché hier avec ma CB Bourso.

J'entends le mécanisme, mais le pognon ne sort pas, comme si il y avait un bourrage. Le distributeur tombe hors service.
Je me dis que ça doit être bien sécurisé, je ne vais pas être débité. Et bien ce soir je vois le débit sur mon compte.

Avez vous déjà eu le cas ?

https://img.super-h.fr/images/c28da [...] 64043c.jpg

 
 
J'ai eu ça au Mexique avec ma carte max associée à une VP bourso. Max n'a rien voulu savoir car soit disant trop petit montant. En revanche bourso m'a remboursé sur le champs après avoir rempli leur excellent kit.

Boursorama Banque fuite vos données de connexion
(En gros Bourso laisse la porte ouverte à des trackers tiers qui peuvent théoriquement accéder aux cookies de session)

Sans prévenir d’avance du coup.
Génial pour ceux qui n’ont pas de seconde carte sur eux (surtout pour ceux qui sont en vacances).

du coups je réactive ublock origin sur boursorama..... quel saloperie...

Je suis sûr que si on cherche un peu, quasi tout le monde à ce genre de connerie...

Il est bien moche leur mail.
Et ils parlent de sécurité mais ne donnent aucune raison à leur décision...
Ca me conforte dans mon idée de bientôt cloturer ce compte gadget.

Boursorama sont toutefois les seuls qui incitent à chaque connexion à désactiver les bloqueurs de pubs.

Oui, Boursorama traque ses utilisateurs via du first-party, ça fait un moment que c'est visible ( https://twitter.com/aeris22/status/1194213814901858305 ). Tout comme Liberation par exemple, et plein de sites français. Ce ne sont pas les seuls.
Normalement la plupart des trackers sont en third-party, mais vu que firefox et safari ont définitivement réglé la question de ces saloperies en bloquant les cookies third-party en 2019/2020, les publicitaires se sont mis à proposer du tracking first-party, plus difficile à bloquer.
Rien de plus logique de la part de gens frustrés qui n'acceptent pas que l'on refuse leur diktat imposé.
Leur nouveau joujou de flicage est utilisé pour déguiser les requêtes réseau de cookie tiers en requêtes de réseau pour des cookies first-party, Y COMPRIS l'écriture / lecture de cookies tiers.
Je considère que cela est extrêmement hostile aux utilisateurs, même à ceux qui n'utilisent pas de bloqueur de contenu, car cela permet aux serveurs tiers de lire / écrire des cookies même si un utilisateur a choisi de bloquer les cookies tiers.

Ce que l'article partagé sur le topic ( https://www.pixeldetracking.com/fr/ [...] t-adserver ) ne dit pas, c'est qu'il est possible de se prémunir du tracking first-party (initié par les entreprises criterio, eulerian et toutes ces saloperies) : il suffit d'utiliser le combo Firefox + uBlock Origin !

uBlock Origin est le seul adblocker à avoir pris cette question au sérieux, vous pouvez le vérifier ici : https://github.com/uBlockOrigin/uBl [...] ssues/780/ (merci aeris22 pour son volontarisme). Autre site : https://forum.malekal.com/viewtopic.php?t=64996
Malheureusement, le seul navigateur qui dispose des APIs nécessaires au blocage de ce nouveau mode de flicage est Firefox. En effet, celui-ci est le seul navigateur doté de la fonctionnalité API DNS requise pour effectuer ces recherches.
uBlock Origin sur un autre navigateur est totalement inefficace pour bloquer le flicage, mais ce n'est pas la faute du développeur du bloqueur de pub.

Utiliser uBlock Origin sur Chrome (ou tout navigateur basé sur Chrome de type Edge, Brave) ne vous protègera donc pas, c'est voulu par Google qui a volontairement anticipé le coup en enlevant les APIs de blocage.
De toute façon, si l'on est un minimum sérieux, on n'utilise pas Google Chrome.

Bonne utilisation de Boursorama

Effectivement hallucinant.

Je viens de vérifier dans mon navigateur (Brave) et il me bloque 7 trackers externe sur la page banque Bourso :
https://cdn.tagcommander.com/cmp-api/cmp.js
https://ced.sascdn.com/tag/16/smart.js
https://www.googletagmanager.com/gtag/js?id=DC-xxxxxx
https://www.googletagmanager.com/gtag/js?id=AW-xxxxx
https://boursorama.admo.tv/server/receptor.php
https://nxtck.com/act.php?tag=xxxxx
https://c0011.boursorama.com/tap?s=xxxx

Et sur la page de connexion où on tape son code, 3 trackers dont 2 extérieurs :
https://c0011.boursorama.com/tap?s=xxxxxxxx
https://www.googletagmanager.com/gtag/js?id=AW-xxxxx
https://aweucn1-2.advanced-web-anal [...] ?xxxxxxxxx

ça fait peur !

Edit : petit test chez Fortu
Page banque 8 trackers
https://www.google-analytics.com/analytics.js
https://www.facebook.com/tr?id=5903 [...] noscript=1
https://t.contentsquare.net/uxa/742229d235ecb.js
https://secure.quantserve.com/quant.js
https://www.googletagmanager.com/gt [...] 1071766481
https://secure.adnxs.com/seg?add=16864539&t=2
https://u.logbor.com/p/?i=3335&n=__dot
https://js-agent.newrelic.com/nr-1169.min.js

sur la page de connexion, 3 trackers externe dont un douteux également (le dernier)
https://mabanque.fortuneo.fr/js/front/fingerprint2.js
https://mabanque.fortuneo.fr/appdynamics/adrum/adrum.js
https://ftn.eulerian.net/collector/ [...] xxxxxxxxxx

Chez ING, 4 trackers sur la page banque et 1 sur la page connexion au compte (https://www.google-analytics.com/analytics.js)

Après le fait que ces banques analysent notre activité est une habitude généralisée depuis internet mais l'article met surtout en lumière une chose inquiétante : le fait qu'une personne mal intentionnée puisse décortiquer le code et extraire les données de connexion Le soucis est là. Car je suis certain que chez les marketeux, les données sont libres et non sécurisée.
En tout cas le soucis est loin d'être limité à Bourso, il est, sur les 3 grosses BEL que je viens de tester, généralisé.

Edit 2 pour le fun, la palme à la Banque Postale et ses 24 trackers sur la page de connexion (dont les fameux XTI)

Je suis donc dubitatif sur cet article qui tape spécifiquement sur Bourso alors qu'ailleurs l'herbe n'est pas plus verte. Quelle est l'objectivité de ce "journaliste" et pourquoi ne pas l'avoir étendu aux autres banques ?

@evidencepz, selon toi donc il est préférable de lâcher Brave pour Firefox niveau sécu ?
Pourtant le Brave Shield à l'air assez efficace, j'utilise encore un bloqueur par sécurité derrière et un effaçeur/bloqueur de canvas.

Réponse de Max : "Bonjour. Devant la recrudescence d’utilisations frauduleuses de cartes de certains réseaux bancaires, nous avons été contraints de prendre certaines mesures temporaires en matière de sécurité sur ces cartes agrégées, bonne journée"
A croire que la fraude aux cb ne concernent que certaines banques...

on évite pas le pistage par contre les cookies ne bougent pas de l'appareil

J'ai eu ça au Mexique avec ma carte max associée à une VP bourso. Max n'a rien voulu savoir car soit disant trop petit montant. En revanche bourso m'a remboursé sur le champs après avoir rempli leur kit.

 
 
J'ai eu ça au Mexique avec ma carte max associée à une VP bourso. Max n'a rien voulu savoir car soit disant trop petit montant. En revanche bourso m'a remboursé sur le champs après avoir rempli leur kit.

Du coup non, car si tu as enregistré ta carte avant juin, du coup, c'est bon, du coup.

 
Et donc si tu as enregistré ta carte en juin et juillet ? Ben tu l'as dans le cul.

salut à tous,
 
j'ai parcouru un peu le topic avec la fonction recherche sans forcément trouver de réponse à ma question.
 
Depuis ma majorité (à peu de chose près) je suis à la même banque, la caisse épargne auvergne limousin.
 
depuis la naissance de ma gosse, je cherche à lui créer un compte qu'elle seule pourra utiliser lors de sa majorité. Ma banque ne me propose rien de dingue... en tout cas, rien qui correspond à mon besoin, sinon, je serai pas là.
 
Connaissez-vous un produit qui pourrait correspondre? et si en plus y a un %age dessus ça serait du bénéf pour elle
 
ps: je suis une quiche en paperasse/épargne

J'ai eu ça au Mexique avec ma carte max associée à une VP bourso. Max n'a rien voulu savoir car soit disant trop petit montant. En revanche bourso m'a remboursé sur le champs après avoir rempli leur kit.

 
Elle a quelle âge ? Quand tu dis « un compte » c’est pour épargner ou pour utiliser avec une carte bancaire ?
 
Si elle est jeune, commence par lui ouvrir un PEA ou une Assurance vie sur laquelle tu peux verser de l’argent (épargne, cadeau de papi mamie, etc...) à ta guise.  
 
Si c’est pour « dépenser » tu auras le temps de lui ouvrir un compte courant avec un CB d’ici quelle ait l’âge.

Elle a quelle âge ? Quand tu dis « un compte » c’est pour épargner ou pour utiliser avec une carte bancaire ?

Si elle est jeune, commence par lui ouvrir un PEA ou une Assurance vie sur laquelle tu peux verser de l’argent (épargne, cadeau de papi mamie, etc...) à ta guise.

Si c’est pour « dépenser » tu auras le temps de lui ouvrir un compte courant avec un CB d’ici quelle ait l’âge.

je cherche de l'épargne, qu'elle ait de quoi se payer le permis/une voiture ou au moins qu'elle sache que l'argent tombe pas du ciel et qu'il faut qu'elle ait des sous de côté.

en checkant les messages du topic, j'ai lu que l'assurance vie à priori on peut pas y toucher, ni elle ni moi ni personne? Mais, j'aimerai pouvoir donner le rib à ses oncles/grands parents, qu'ils puissent y virer dans l'argent sans passer par moi ou un tier. ça risque d'être compliqué je suppose...

Je comprends pas que max ne prennent pas ses responsabilités sur ce genre de problème ou fraude...