• [^] # Re: faut arrêter de tout diaboliser

    Posté par . En réponse au journal CloudFlare au milieu. Évalué à 2.

    En ce qui concerne ton second point, la conformité à PCI-DSS interdit formellement :
    - le transit, en clair, de Primary Account Numbers, à savoir de numéros de carte
    - le stockage, en clair, d'un PAN
    - le stockage, sous quelque forme qu'il soit, du CVV

    Ainsi, non seulement les numéros de carte sont obligatoirement transmis de manière chiffrée, mais leur stockage est également soumis à régulation, à savoir un chiffrement double en utilisant 2 clés possédées par des personnes physiques différentes.

    J'ajouterais qu'il est interdit de logguer les numéros de carte, à défaut de faire subir à ces logs les mêmes contraintes de double chiffrement.

    Enfin et pour en finir sur la sécurité, la certification exige que soient menés chaque trimestre :
    - un scan externe des infras, par un ASV (ex, qualys)
    - un scan interne des infras, via un outil répondant aux exigences PCI (ex, Nessus)
    - une revue des règles firewall
    - une revue du fonctionnement des caméras
    - une revue des ports réseau et VLANs par lesquels transitent des PANs

    Merci pour ces précisions (je lirai les documents de certification PCI-DSS plus tard).
    Une question que je me pose, par contre (n'y vois aucune attaque), c'est si les données de HiPay sont considérées par CloudFlare comme des informations sujettes à la certification PCI-DSS.

    Pour rebondir sur "des infras non contrôlées", le problème reste entier, utilisation de Cloudflare ou non :
    - akamai ? même deal
    - hébergement chez online ? même deal, tu passes par leur AS et leur matos réseau
    - hébergement en propre ? même deal quand même, t'es pas un tier1 tu dois forcément passer par un transitaire quelconque, et mécaniquement, ses équipements réseau

    Je ne vois pas pourquoi les équipements réseau du transitaire auraient tes données en clair, ce qui est le cas de CloudFlare.

    Pour ce qui est de ton dernier point, je te signale quand même que c'est OP qui sort un article avec des faits fondamentalement incorrects, et que ces derniers ne peuvent rester sans réponse.

    Lesquels ?

    Sous-entendre que CF espionne les clients HiPay est dommageable pour la réputation des deux entités, et basé sur de la pure spéculation.

    Je ne sous-entend pas que CloudFlare l'a fait, le fait, ou le fera, je parle de la possibilité technique qu'ils ont de le faire.

    Oui, CF pourrait intercepter les numéros de carte, au même titre que Akamai, Amazon, ou n'importe qui d'autre dont les équipements servent à un moment ou un autre pour faire transiter les données.

    Je vois qu'on est d'accord, en fait.

    Non, CF ne le fait pas car ils subissent tout comme les autres entités certifiées PCI, un audit annuel au cours duquel leurs logs sont épluchés, leurs configurations vérifiées, leurs équipes auditées.

    C'est aussi simple que ça, quand on est pas sûr de ses infos, il ne faut pas propager de fausses rumeurs, ce qu'a fait OP sans chercher à approfondir sa réflexion, ou tout simplement à contacter les équipes techniques pour avoir des réponses à ses questions.

    C'est pourtant la base de toute entreprise vaguement journalistique (et pense bien qu'écrire un article à portée publique en est une), que de s'assurer de la véracité des informations que l'on poste.

    Encore une fois, je ne dis pas que CloudFlare espionne, je dis juste qu'ils en ont la capacité, et que ça me paraît dommageable de donner autant de confiance à un même acteur. Désolé s'il semblait en être autrement.

    Nous tenons à la disposition de quiconque la demande l'Attestation Of Compliance PCI-DSS délivrée à HiPay.

    Merci pour l'information !