[Actu] L'état envoie les IBAN sur le darkweb

[Gaël] Bonjour, vous écoutez RDGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée.

[Gaël] Bienvenue dans cette nouvelle revue de l'actu numérique, aujourd'hui je suis accompagné de Benjamin et en duplex avec Aeris. Bonjour Benjamin !

[Gaël] nouvel épisode potentiellement plus court que d'habitude parce que...

[Gaël] Benjamin doit enfiler sa cape de défenseur du libre et partir...

[Benjamin] à Lyon.

[Gaël] Donc, maintenant qu'Aeris est de retour de...

[Gaël] Pour venir régulière, on peut reprendre notre fil rouge BPCE parce qu'en plus j'ai vu récemment qu'il y avait eu des nouvelles.

[Aeris] Et ben ouais, on a eu des nouvelles comme attendu !

[Aeris] Donc la BPCE a enfin répondu à ma demande d'accès avec deux mois de retard. Pour rappel, j'avais demandé, comme j'avais vu, qu'il y avait des pages de phishing, soit-disant, sur leur page de login.

[Aeris] qui me soutenaient que c'était totalement légitime, bah du coup j'ai fait une demande d'accès en disant bah puisque c'est légitime, dis-moi quel est le traitement qu'il y a derrière.

[Aeris] et ils ont commencé par prétexter qu'ils avaient droit à deux mois supplémentaires ce que j'avais contesté devant la CNIL et au bout de trois mois donc ils m'ont répondu en me disant bah voilà toutes les connexions qu'il y a sur votre compte et c'est bizarre parce que j'en ai les trois quarts qui sont pas des connexions de ma part en fait

[Benjamin] Alors, c'est à dire parce que ouais, t'as partagé, moi j'ai vu ça, passer ça sur Blue Sky, des screenshots.

[Aeris] Oui.

[Benjamin] des connexions avec des navigateurs web que tu utilises pas, à des heures que tu utilises pas, sur des adresses IP que tu utilises pas, c'est ça ?

[Aeris] Bah c'est sage, y'a plein de connexions qui viennent de Microsoft Azure avec un Google Chrome sur genre à 3h30, 4h du matin, ce qui est juste pas moi en fait. Et la BPC me dit mais si vous utilisez un VPN. Non je vais certainement pas utiliser un VPN encore moins Microsoft. Et du coup on ne sait pas d'où viennent ces connexions.

[Benjamin] Mais c'est des connexions à ton compte bancaire.

[Aeris] à mon compte bancaire.

[Benjamin] c'est pas... on est pas en train de parler d'un petit réseau social ou de tes photos de vacances là, on parle de ton compte bancaire.

[Aeris] Non, non, non, on parle de mon compte bancaire, il y a les trois quarts des connexions quasiment tous les jours et il y a des gens qui viennent se connecter à mon compte et que la BPC vient de dire que tout va bien et que c'est des mesures de sécurité et en fait ils ne sont même pas capables de se rendre compte que les trois quarts des connexions, on ne sait pas d'où ça vient.

[Gaël] Attends, donc c'est des gens qui se connectent, donc ils utilisent login, mot de passe et qui ont accès direct

[Benjamin] Il y a une authentification secondaire par application ou par SMS ?

[Aeris] Bah je sais pas...

[Benjamin] Mais toi quand tu te connectes tu dois...

[Aeris] Ah oui moi je dois envoyer un... enfin je dois valider sur mon application mobile la...

[Aeris] Ce que c'est ce truc, je pense savoir ce que c'est. C'est en fait les agrégateurs bancaires de boursorama qui passent régulièrement, mais la BPCE n'est pas au courant de ce qui se connecte sur les comptes en fait.

[Benjamin] Alors attends, parce que là, tu m'as perdu, c'est quoi les agrégateurs bancaires de boursorama ?

[Aeris] Sur la plupart des banques en ligne aujourd'hui, vous pouvez agréger vos comptes de toutes les banques que vous détenez et ils vont se connecter normalement par des API dédiés pour récupérer vos extraits de compte, le montant de vos comptes et avoir une synthèse globale de vos comptes. Je suppose que c'est un agrégateur Boursorama qui doit passer.

[Gaël] Tu es chez Burson Morama toi ?

[Aeris] Oui moi je suis chez Boursorama et je m'en sers. Et je pense que Boursorama doit scraper comme des gros gorets les pages de login de la BPCE. Et je sais pas comment par contre ils font pour se connecter sans valider par le téléphone mobile.

[Aeris] Donc ils ont peut-être des passes droits avec BPCE etc. Mais en tout cas la BPCE n'est pas au courant du tout de ce qui se passe quoi.

[Benjamin] D'accord.

[Gaël] ou alors ils sont au courant mais c'est juste qu'ils disent que c'est du trafic normal.

[Aeris] mais ils ne savent pas répondre de ce que c'est en fait. Ils disent non c'est un VPN et même en leur mettant... C'est ça qui fait qu'il est presque le pire, parce qu'on ne se rend pas compte au début qu'il y a un problème.

[Aeris] Bon pourquoi pas, mais ils auraient dû au moins aller s'inquiéter de ce qui se passait et apparemment ça alerte personne en fait.

[Benjamin] D'accord, mais donc si on ferme un pas de côté ou...

[Benjamin] On prend un peu de recul.

[Benjamin] On rappelle que la problématique de départ c'est que sur la page de login de BPCE

[Benjamin] il y a des composants JavaScript qui vont envoyer toutes les secondes l'état du clic de ta souris et des choses comme ça.

[Aeris] C'est ça.

[Benjamin] Donc toi tu t'inquiètes, tu...

[Benjamin] et là il te renvoie la liste de tous tes logins, et donc là on découvre un autre problème !

[Aeris] Oui c'est ça, on a un autre problème ouais !

[Aeris] Ah non mais souvent c'est comme ça, on en récupère une douzaine comme ça au fur et à mesure, on va continuer à engranger les violations.

[Benjamin] toi t'as contracté avec une société française en France ?

[Aeris] Oui.

[Benjamin] qui dit du coup, passe par une solution Microsoft aux Etats-Unis

[Benjamin] faire transiter des données un petit peu... Est-ce qu'on peut considérer que tes données bancaires sont un caractère personnel ?

[Aeris] Oh bah oui, oui, c'est à caractère personnel et en plus de cas de données sensibles certainement sur le regard.

[Benjamin] Alors, est-ce qu'on peut prévenir tout de suite Boursorama qui s'attend à une demande de ta part ?

[Aeris] Non parce que pour le coup Boursorama serait pas forcément en faute là dessus mais c'est surtout que je comprends pas que la BPC vient de dire qu'ils ont mis en place des mécanismes de sécurité soit 12 ans pour éviter les connexions frauduleuses etc. Ils savent même pas détecter un site de scraping type Boursorama et les rejeter en fait et je comprends même pas que ça finit par passer quoi.

[Gaël] C'est pas forcément.

[Gaël] Bon, on dit boursorama mais en fait on n'est même pas sûr que ce soit boursorama, c'est purement une hypothèse.

[Aeris] Ah oui, c'est hypothétique, c'est une hypothèse aujourd'hui. Eh, sape, sape.

[Gaël] Donc potentiellement c'est autre chose en fait qui a accès à tes comptes.

[Aeris] Et ça peut être autre chose oui.

[Benjamin] Oui, mais rasoir d'Ockham…

[Gaël] Oui je sais mais...

[Gaël] Et surtout c'est quand même étrange.

[Aeris] Ce qui m'inquiète c'est qu'apparemment...

[Aeris] Surtout ce qui m'inquiète c'est que Boursorama utiliserait les API, enfin la page de login standard de la BPCE et que ça ne déclenche pas mon authentification forte sur le téléphone mobile. C'est à dire que Boursorama a des bypass...

[Aeris] des systèmes de sécurité de la BPCE.

[Gaël] Donc ça fait un spoff énorme en plus, ça veut dire que boursoramas s'y sont troués...

[Gaël] Ils ont accès potentiellement à tous les... comptes...

[Aeris] C'est ça ! Ils peuvent tester les connexions sur la BPCO et enfin c'est un carnage quoi.

[Benjamin] Mais alors juste pour remettre un peu dans le contexte parce que là ce que t'as envoyé BPCE

[Benjamin] avec ton identifiant.

[Aeris] ça a l'air d'être les connexions... Oui oui, en tout cas c'est des connexions avec mon identifiant par le site Lambda, enfin le site client standard de la BPCE pour se connecter au compte. Et je pense que Boursorama ne doit pas utiliser les API DSP2 mis à disposition et...

[Aeris] ils doivent se rabattre sur du scraping bêté méchant des pages web et voilà

[Benjamin] Et comme c'est une adresse IP Azure, tu ne peux pas savoir qui est vraiment derrière.

[Aeris] Bah je peux pas savoir qui est derrière en fait, c'est...

[Aeris] Mais ça doit certainement être les infras de...

[Gaël] C'est un problème qu'ils utilisent le login entre guillemets public.

[Gaël] alors que j'espère qu'entre banque, entre services, ils peuvent se... Si ils ont les accès...

[Benjamin] Est-ce que tu as l'URL dans les logs qui te filent, dans les infos qu'ils donnent ? Tu n'as pas l'URL, donc en fait c'est probablement le site web, mais à un moment ils ont dû choper un token de connexion et puis utiliser celui-là.

[Aeris] Oui, et trucs comme ça, mais je sais que sur le Scraping justement des...

[Aeris] des agregateurs bancaires, ça avait fait tout un bordel justement à l'époque, en fait les API bancaires.

[Aeris] des sp2 ne sont pas suffisantes pour que les agrégateurs puissent fonctionner et donc souvent les agrégateurs se rabattent vers du scraping sauvage des sites internet pour récupérer les informations qu'ils ont besoin et ça avait été documenté par c'était quel fournisseur à l'époque

[Aeris] qui faisait du scraping comme ça, c'était l'agrégateur qui était utilisé par Cosy Cloud.

[Aeris] C'était l'agrégateur utilisé par Cozy Cloud même.

[Benjamin] Y'a beaucoup trop de private jokes on expliquera une autre fois.

[Gaël] Oui, parce qu'en fait, il y en a aussi des auditeurs, etc. De toute façon, on a perdu nos auditeurs RIS depuis longtemps avec toute cette histoire, parce que là, on est vraiment en train de parler entre nous.

[Benjamin] ce qu'on a retenu c'est que tu avais un problème, tu as fait une demande d'accès à tes données, maintenant tu en as deux.

[Aeris] Trois, parce que j'ai aussi qui m'ont répondu hors d'élève, mais...

[Benjamin] Ouais, on n'a pas fini d'en entendre parler de cette histoire-là.

[Gaël] Et de toute façon je te dirais...

[Gaël] T'inquiète pas trop sur le fait d'avoir des données qui partent dans...

[Benjamin] Ça sent la transi-classe ? Y a une transi-classe dans l'air ?

[Gaël] La DG Phil s'en occupe pour toi puisque donc le...

[Gaël] il y a eu une fuite d'1,2 million

[Benjamin] une paille.

[Gaël] Donc suite à un piratage du FICOBA, le Fichier National des Comptes...

[Gaël] J'ai lu le communiqué de presse, je me le réaffiche d'ailleurs sous les yeux.

[Benjamin] Je l'ai lu aussi.

[Gaël] C'est, je pense, naturellement flou parce qu'ils ne peuvent pas expliquer exactement ce qui s'est passé.

[Gaël] Mais moi je ne comprends pas très bien.

[Aeris] Bah c'est complètement ridicule encore une fois, ça on est d'accord.

[Benjamin] Si on comprend qu'il y a quelqu'un qui avait azerty comme mot de passe, qui bossait à la DGFip et qui s'est fait utiliser son compte de manière...

[Gaël] Ouais mais tu vois ils disent... Donc c'est pendant.

[Aeris] Azerty pas forcément, il aurait pu être une compromission avec social engineering, un mot de passe réutilisé, mais en tout cas effectivement son compte a été compromis.

[Benjamin] Mais c'est un salarié qui s'est fait compromettre son compte et ils ont utilisé un compte de...

[Gaël] Oh mais alors ils disent donc c'est au moment de l'échange...

[Aeris] Le ministère des impôts par exemple, les impôts vont pouvoir faire des demandes d'ACCEF et COBA pour récupérer les comptes d'un citoyen et savoir s'il a des comptes non déclarés ou des choses comme ça. Ça c'est totalement possible.

[Gaël] Ouais mais je comprends que c'est un logiciel tiers moi, sur lequel ils ont eu accès, donc un partage de fichiers mais je crois qu'ils utilisent pas l'insher justement, ils utilisent un autre...

[Gaël] Et donc Tattati, qu'est-ce qu'ils expliquent d'autres ?

[Gaël] Comment ? Moi je me demande comment est-ce qu'ils l'ont détecté ?

[Aeris] Bah déjà ils ont mis du temps, ils ont mis du temps à le détecter.

[Benjamin] Ouais.

[Aeris] Et je crois qu'ils sont restés plus de 15 jours dans le système d'après le communiqué de presse je crois.

[Benjamin] Après souvent, souvent c'est des logs, c'est que...

[Benjamin] Quand tu as des connexions, si un utilisateur...

[Benjamin] ça peut déclencher des alertes, c'est pas complètement...

[Gaël] Ouais mais normalement c'est très très rapidement parce que...

[Aeris] Ça devrait être rapide et surtout ils auraient dû bloquer ces...

[Benjamin] Ben après, si en face le hacker est un tout petit peu futé...

[Benjamin] soit il fait tout d'un coup en se disant, bah de toute façon c'est du one shot et puis je vais me faire bloquer dès demain soit...

[Benjamin] soit il y va progressivement en se disant qu'il va passer sous le radar.

[Gaël] Oui mais déjà il se connecte.

[Aeris] Ouais mais 1,2 million, 1,2 million ça aurait dû direct déclencher, bloquer même les comptes, même débloquer les comptes.

[Gaël] il se connecte depuis quelque part qui ne doit probablement pas être autorisé, c'est à dire que c'est pas le domicile de la personne, c'est pas via un VPN ou quoi que ce soit, donc déjà ça c'est étrange.

[Aeris] Et y'a pas de 2FA. Y'a pas de 2FA non plus parce que bah ils ont réussi à se connecter et on lui a apparemment on leur a pas demandé d'avoir une 2FA validée, que ce soit...

[Gaël] Ouais mais ça on sait pas parce que je t'avais dit y a des nouvelles manières de hacker le 2F1

[Benjamin] 2FA, juste si on peut rappeler ce que c'est.

[Benjamin] Donc c'est le code qui change toutes les 30 secondes qu'on doit afficher pour... Qu'on a... Qui permet, ben, si on se fait chourrer son login, son mot de passe...

[Benjamin] et que c'est protégé par 2FA, du coup la personne ne peut pas se connecter de manière...

[Aeris] peut pas se connecter comme ça.

[Gaël] Mais du coup y a du social engineering et hacking du coup, c'est de spammer de requêtes de FA.

[Gaël] Et en fait au bout d'un moment la personne a son téléphone qui sonne en permanence en permanence en permanence et donc du coup...

[Gaël] Connexion

[Gaël] Connexion

[Gaël] Ouais, connexion d'un endroit inconnu, 1,2 million de comptes, donc je sais pas combien ça pèse mais ça doit être quand même un f...

[Gaël] un fichier assez lourd.

[Gaël] Normalement c'est un SUM, Security Information and Event Management.

[Gaël] ça sonne dans tous les sens et c'est pas au bout de 15 jours que tu te rends compte quoi.

[Aeris] Non mais clairement, mais je pense que là dessus on va attendre de... On aimerait bien être saisis par une personne qui a eu ses données fuitées. Apparemment le ministère a commencé à envoyer les notifications de violation.

[Aeris] l'absence de monitoring sérieux, l'absence de cloisonnement, l'absence de rate limiting où le compte aurait dû se faire bannir assez rapidement, même en automatique, en préventif.

[Aeris] Tu télécharges 10 000 fiches en une journée, ce n'est pas possible. Il y a certainement beaucoup de défaillances avec les conséquences qu'il va y avoir derrière.

[Gaël] Oui, parce que moi-même, c'est maintenant dans...

[Gaël] ma tante est une ancienne fonctionnaire qui travaille au service des impôts, elle a vu la news et donc du coup elle s'est dit je vais quand même contacter ma banque.

[Gaël] Donc elle a appelé sa banque et les banques, je comprends, ont reçu des instructions du ministère des finances.

[Gaël] ce qui est normal.

[Gaël] et à la poster un message dans la conversation avec un peu toute la famille pour dire

[Gaël] ils vont expliquer que les personnes concernées vont être contactées mais vous inquiétez pas, ça a pas l'air si grave que ça, ils pourront rien faire à part...

[Aeris] A part vider votre compte, ouais !

[Gaël] à part prendre quelques abonnements téléphoniques et c'est tout.

[Gaël] Mais en fait...

[Gaël] Alors j'ai pas répondu parce qu'il y a vraiment beaucoup de monde sur cette conversation, mais...

[Gaël] C'est pas juste déjà quelques abonnements téléphoniques, c'est chiant.

[Benjamin] Ouais, c'est faire des mandats de c'est pas quoi.

[Gaël] Oui exactement mais en fait ça veut dire que c'est tout ce qu'ils veulent en fait à partir de là et surtout là demain les les 1,2 millions de personnes là

[Gaël] et vous recevoir des lettres.

[Gaël] pour leur faire du phishing mais en fait ça va être hyper bien fait parce qu'ils ont littéralement toutes les informations dont ils ont besoin pour pouvoir vous... pour faire en sorte que les gens ne se méfient pas quoi.

[Benjamin] Ça, on peut affirmer que des gens vont recevoir des courriers très bien faits avec « vous avez été victime d'une fuite de données, ça sera vrai », avec l'adresse qui sera vraie, avec Liban qui sera vraie, avec un QR code pour sécuriser votre compte.

[Gaël] On devrait peut-être pas donner trop d'idées aux hackers.

[Benjamin] Alors je pense qu'ils n'ont pas besoin de nous malheureusement.

[Aeris] Et là, pour le coup avec du chikoba, ils peuvent effectivement les vider les cons directement en fait.

[Benjamin] Mais ouais, même sans ça, ouais ouais.

[Gaël] Donc qu'est-ce qu'on fait ?

[Benjamin] Et puis faut le voir hein !

[Gaël] comme dans Ghost in the Shell.

[Benjamin] Tous les mois, tous les mois.

[Aeris] Et tous les mois même potentiellement. Et le problème est surtout là.

[Gaël] Dans Ghost in the Shell ils utilisent les centimes après les deux zéros, après la virgule, pour se financer.

[Gaël] Qu'est-ce qu'on fait ?

[Benjamin] Mais quel podcast culturel ?

[Gaël] Exactement. Qu'est-ce qu'on fait du coup ? On ferme ses comptes et on en réouvre si on est concerné ?

[Aeris] C'est là que c'est compliqué, c'est qu'il n'y a pas d'Ibane virtuel comme on peut avoir les cartes virtuelles aujourd'hui, il n'y a pas de banque qui fournissent ça.

[Aeris] et donc si vous êtes concerné, ça sera déjà de faire opposition sur les prélèvements, vous avez 13 mois pour le faire donc pour le coup vous êtes quand même relativement protégé par la loi française après entre la réalité et la fin la théorie et la pratique il y a souvent une grande merge

[Aeris] On sait que par exemple VLC, Paris Web, s'était fait vider leur compte comme ça et les banques avaient toujours refusé de couvrir la totalité des montants détournés. Donc il peut y avoir des restes à charges qui vont rester dans un coin.

[Aeris] Mais en tout cas vous pouvez contester, vous pouvez aussi mettre en place des listes blanches.

[Aeris] sur vos comptes, là où vous connaissez tous les débiteurs qu'il y a sur vos comptes.

[Aeris] EDF, la poste...

[Benjamin] ça c'est dépendre de sa banque aussi.

[Benjamin] Il y a quand même un problème de sécurité sur les mandats SEPA, c'est que globalement, il baille.

[Aeris] Il n'y a pas de vérification, les mandats SEPA sont maintenant vérifiés à postériorité et pas a priori.

[Benjamin] il n'y a pas de signature électronique, il n'y a rien du tout, donc c'est quand même problématique.

[Benjamin] aujourd'hui que

[Aeris] Pour le coup c'est voulu, pour le coup c'est voulu, il y avait eu une période où il y avait de la vérification à posteriori mais c'était tellement la merde qu'ils avaient vite fait demi-tour parce que le problème du SEPA c'est que c'est asynchrone en fait, vous faites pas le paiement tout de suite vous le transmettez à quelqu'un qui va venir plus tard et en fait c'était un véritable merdier pour faire la vérification des mandats

[Aeris] et avant 2014, si je me trompe, il y avait des vérifications, les banques devaient vérifier les mandats SEPA.

[Aeris] mais justement c'était l'infernale parce que les banques disaient bah non c'est pas signé c'est pas la bonne signature c'est rien et les marchands se faisaient avoir avec des mandats qu'ils n'arrivaient pas à débiter

[Gaël] Heureusement on pourra toujours compter sur l'association pure pour nous protéger.

[Gaël] L'association pure a encore fait parler d'elle...

[Gaël] J'ai un article de Znet...

[Aeris] Oui.

[Gaël] Banner de cookie, l'association pure à l'offensive.

[Benjamin] C'est la gloire.

[Gaël] Et cette fois ils disent ton p'tit souzeau directement, c'est pas monsieur

[Aeris] Ouais, enfin on a enfin des résultats avec Lac Nile, enfin pas à la hauteur que ce qu'on espérait, et encore c'est du foutage de gueule. Mais Lac Nile a toujours refusé de taper sur les bagnères cookies qu'on rencontre au quotidien, on en a déjà fait plusieurs épisodes avec...

[Aeris] sur les mêmes manquements habituels en fait, les bancs de cookies qui ont pas de sens, des dépôts de cookies sans consentement, les consentements qui n'est pas libres, pas éclairés, etc.

[Aeris] et on a trouvé un argument qui pour le coup a fait mouche et que

[Aeris] éradique en gros les banniers cookies en France et en Europe

[Aeris] c'est le retrait de consentement. C'est à dire que même si vous avez accepté le dépôt de cookies, le RGPD impose que le responsable de traitement puisse vous...

[Aeris] permettre d'annuler votre consentement et donc de revenir à l'état initial. Et en fait il y a personne qui le fait et dans des décisions comme Orange et Shine qu'il y a eu contre la Knil

[Aeris] Les responsables disent qu'ils sont incapables de mettre en place cette pratique-là.

[Aeris] Et donc nous on a été avec nos 40 recours et Lac Nile, on en a encore un qui vient de tomber aujourd'hui, Lac Nile du coup à miens on demeure tous les sites internet.

[Aeris] de corriger ce problème-là.

[Aeris] pour l'intégralité des bannières cookies en Europe.

[Benjamin] Alors attends, moi je pense que c'est le bon moment de faire un peu de promotion pour l'association pure, parce que concrètement, l'association porte plainte mais pas pour elle.

[Aeris] Non, on représente les personnes concernées.

[Aeris] L'association ne peut pas encore porter plainte pour elle-même, on pourra le faire dans deux ans. Mais pour l'instant on n'a pas l'ancienneté pour le faire et aujourd'hui on a besoin d'avoir des mandats de la part des personnes concernées qui peuvent venir nous voir pour des cookies ou pour n'importe quelle violation du RGPD. Et on va devant la CNIL, nous on connaît tous les pièges que la CNIL va vous foutre sur le chemin et donc on peut accélérer un peu le process et déjà mieux rédiger les plaintes pour que ça soit accepté.

[Aeris] faire des recours gracieux qui vont bien, aller au Conseil d'État quand il faut aller au Conseil d'État et on vous accompagne sur le sujet.

[Benjamin] Et donc concrètement, si un auditeur ou une auditrice souhaite porter plainte contre la CNIL, elle peut donner mandat...

[Aeris] Alors contre l'acnil ça va être compliqué mais devant l'acnil ça sera... Vous pouvez aussi contre l'acnil, j'en ai 5 ou 6 hein ! Heheheheh ! Mais tu peux sauter une étape oui !

[Benjamin] Plutôt que de le faire soi-même où ça a peu de chances d'aboutir, ou en tout cas ça va être compliqué, donnez mandat à Pure pour que Pure le fasse et comme ça en plus ça vous donne du poids, ça vous permet d'en déposer plus.

[Benjamin] Concrètement comment on fait ?

[Aeris] Alors vous pouvez aller sur agir.asso-pure.hu.org

[Aeris] et vous allez juste mettre le bah vous allez vous dire moi j'ai envie de porter plainte bon sur les bandes au cookie vous dites bah c'était le site internet j'ai vu telle telle telle chose et j'aimerais bien qu'on avoir un avis là dessus

[Benjamin] Bien entendu, on mettra le lien dans les show notes, on l'a déjà mis, mais quand tu dis « vous nous écrivez », il y a quoi ? Il y a un formulaire ? Est-ce qu'il faut adhérer à l'association ? Comment ça se passe ?

[Aeris] Non, non, il n'y a pas du tout besoin d'adhésion, quoi que ce soit. Alors si vous voulez adhérer, c'est gratuit, ça n'engage à rien. Envoyez-nous un mail et on sera très preneurs de votre adhésion. Mais sinon non, on protège vraiment tout le monde qui a besoin d'assistance sur le RGPD. Vous pouvez nous saisir pour tout et n'importe quoi. Et on répondra avec plaisir.

[Gaël] Toi est-ce que tu veux utiliser Pure là ? J'ai vu que tu t'étais...

[Gaël] Tu t'étais énervé contre les numériques ?

[Benjamin] Aeris m'a demandé à ce que je lui fournisse un mandat à Pure parce que...

[Benjamin] Parce que, alors, depuis que t'en as parlé Gaël, je suis harcelé.

[Benjamin] Ouais, de ce cookie caritatif, alors qu'avant j'en avais pas. Oui, je pense que...

[Gaël] On leur a fait de la pub ! On leur a fait de la pub !

[Benjamin] Maintenant on est dans leur collimateur.

[Gaël] C'est un enfer.

[Benjamin] C'est un enfer et alors en plus le truc est fait de...

[Benjamin] techniquement il est complètement buggé, donc en plus c'est donc des journaux en ligne.

[Benjamin] C'est des journaux que j'aime bien en plus donc je vais pas dire de qui il s'agit parce que c'est vraiment des gros nuls os là-dessus.

[Benjamin] C'était pas les mêmes, c'en étaient d'autres.

[Benjamin] ça empêche la lecture de l'article. Donc à partir du moment où ton système de monétisation par cookie caritatif

[Benjamin] empêche tes lecteurs, donc tes clients, de consulter ce que tu fais, bon ben t'as fait tout ça pour rien quoi.

[Gaël] Oui, puisque tu mets dans le...

[Benjamin] Voilà, alors c'était ça un peu l'angle de...

[Benjamin] Je me suis offusqué parce que...

[Benjamin] Le RGPD dit que le consentement doit être libre et éclairé et je me demande dans quelle mesure le consentement est libre quand on te dit mais si tu cliques pas et ben on tue des chiots, on va noyer des chatons et des enfants vont mourir de faim.

[Aeris] Et donc là on a reçu hier les documents d'accompagnement et en fait c'est juste débile.

[Aeris] Gimmy vient voir Lacnyl en disant bonjour j'ai tout ça comme question et on a un vrai problème avec le RGPD parce qu'on a vraiment un doute sur ce qu'on fait, Lacnyl répond littéralement on ne sait pas vous accompagner démerdez-vous avec ça et dit même pas que le double bannier de consentement c'est interdit que le concentriser c'est pourri le côté l'armoyant alors qu'elle a des jurisprudences sur le sujet

[Benjamin] Excuse-moi mais...

[Benjamin] des bandos cookies pour mettre de la pub tu serais... t'es pas très futé AERIS hein ? Oui !

[Gaël] Non je me dis par contre...

[Aeris] On a des preuves, on a des preuves que les responsables de traitement les plus pourris qui existent sur Terre passent leur vie dans le bureau de la présidente de la CNIL avec des jolis selfies et des jolis déjeuners, etc. Et nous, pures, on n'a pas une seule invitation malgré nos 3, 4, 5, 10 demandes.

[Benjamin] Excuse-moi mais ce que tu viens de dire, ça va pas améliorer...

[Benjamin] Tu vas pas te faire inviter la semaine prochaine là...

[Aeris] Ah mais on est pas là pour se faire des amis non plus hein, clairement, mais...

[Gaël] Par contre j'ai une proposition, on pourrait peut-être monter une boîte justement qui fait des bandocookies de menace. Ça serait le troisième, t'as le consentement.

[Gaël] On joue sur la corde sensible et après c'est directement une menace.

[Gaël] et on engage des tueurs à gages, enfin on y réfléchit après le podcast.

[Benjamin] Ah ouais, pas mal. Acceptez nos bandos cookies sinon on diffuse vos dick pics qui sont sur votre téléphone.

[Gaël] On a un sniper pointé sur vous là maintenant.

[Aeris] La Knil se sera capable de trouver ça légitime avec un intérêt légitime à le faire, c'est ça le pire.

[Benjamin] Alors ceci dit, là tu serais reçu direct.

[Aeris] Ah non, oui oui oui ! Oui c'est bien, continuez, vous allez lever des fonds et devenir une licorne, très bien !

[Benjamin] Alors ça je suis pas sûr, mais en tout cas tu serais reçu.

[Aeris] On a tellement vu de choses avec la CNIL que honnêtement je suis même pas sûr qu'ils diraient que ce soit illégal.

[Gaël] Allez, ferme le podcast.

[Benjamin] J'ai un train à prendre, oui oui. Il faut que je réponde à la question, doit-on se passer des GAFAMs ?

[Benjamin] Et alors ça va vous étonner mais on m'a demandé de venir pour répondre oui.

[Gaël] Ah bon d'accord.

[Aeris] C'est pas doigt-on, c'est doigt-on légalement se passer les GAFAMs ?

[Benjamin] Eh bien merci à toutes et à tous.

[Benjamin] Ce podcast est propulsé par Castopod, solution open source libre et gratuite d'hébergement de podcast. N'oubliez pas que vous pouvez interagir avec ce podcast à tout moment sur le fait divorce, et en particulier sur Mastodon, en likant, partageant ou commentant cet épisode.

[Benjamin] Merci Gaël !

[Aeris] Merci à tous les deux !

[Benjamin] Merci à toutes et à tous et à la prochaine !