Récemment, un cas s'est présenté dans ma famille et je me suis immédiatement demandé s'il n'y avait pas quelque chose de bizarre.
Il s'agissait d'une personne de ma famille qui devait faire traduire des documents en République tchèque. Pour ce faire, la personne de ma famille (l'orthographe semble étrange, mais je souhaite garder l'identité de la personne secrète 😉 ) a trouvé différentes agences de traduction.
Ces derniers ont ensuite été contactés par e-mail et ont été priés de donner des prix. Il faut bien sûr faire attention et vérifier que cette entreprise existe, qu'elle a une bonne réputation et un long historique d'avis.
Il y avait 3 entreprises, l'une d'entre elles est connue internationalement pour ses traductions, mais c'est aussi celle qui coûte le plus cher et qui a des exigences de prix irréalistes.
L'autre entreprise souhaite être payée à l'avance pour un montant supérieur à 200 €.
La dernière entreprise semble être une femme qui est enregistrée en tant qu'entreprise, mais qui n'a pas de devis écrit et sans facture, un sceau accepté par le tribunal pour la traduction en tant que traductrice assermentée.
On peut imaginer, dans ce dernier cas, qu'il s'agit d'une personne assermentée qui souhaite travailler en sous-main (travail au noir) pour ne pas payer d'impôts. Nous avons refusé.
Il ne reste alors que la deuxième entreprise, celle-ci souhaite être payée à l'avance.
Mais non seulement on doit payer d'avance ici et on ne reçoit même pas de devis/facture pour cela et seulement les détails de la facture par e-mail, on peut se poser des questions.
Mais en tant qu'informaticien et développeur web, j'ai ensuite remarqué d'autres points :
- L'e-mail qui a répondu était une adresse @gmail.com, pas un domaine de l'entreprise, qui se targue d'exister depuis 28 ans.
- En regardant le site web, on constate que le design est dépassé, qu'il a été créé après analyse avec Frontpage Editor 6.0 (publié pour la dernière fois en 2003, on peut donc en déduire que ce site web est exploité avec une technique vieille de 20 ans), qu'Apache 2.4.10 est utilisé, que cette version date de 2014, donc de 9 ans, et qu'il n'y a donc pas de mises à jour de sécurité.
- Pas de cryptage HTTPS / SSL de la connexion
Et au plus tard après le troisième point, j'en ai eu assez, un site web géré par une entreprise d'aujourd'hui et qui reçoit des documents qui ont des exigences élevées en matière de protection de la vie privée, est téléchargé sans HTTPS ?
Je me suis donc penché sur le formulaire de téléchargement et j'ai simplement creusé pour voir ce que l'on pouvait y trouver. Et là, il s'avère que ce formulaire n'appartient pas du tout au site web, mais à un fournisseur tiers, oui, parfait, le site utilise un formulaire de téléchargement de documents hautement sensibles d'un fournisseur tiers, sans SSL et même pas un avis ou une bannière de cookie. Pas de déclaration de protection des données ou d'indication que l'on utilise ici un fournisseur de services tiers pour le téléchargement de documents.
Jotformeu.com est le domaine qui fournit le JS pour le formulaire dans l'iFrame, qui est ensuite rendu dans le navigateur de l'utilisateur, et bien que le "eu", indique que cela pourrait avoir quelque chose à voir avec l'espace européen, je pensais et j'ai été une fois de plus détrompé, la confiance est bonne, le contrôle est meilleur :
Comme on peut le voir sur l'IP Tracer, l'IP du serveur où le domaine est résolu ne se trouve pas en Europe, mais aux Etats-Unis, à Kansas City.
Il s'agit donc d'un accident majeur du RGPD qui, en tant que loi européenne, doit également être appliqué en République tchèque.
- Ne pas informer l'utilisateur qu'il utilise un service tiers pour transmettre des documents hautement sensibles à l'agence de traduction.
- Pas de déclaration de confidentialité sur ce qu'il advient des données ou sur la manière dont elles sont traitées
- Transfert de données personnelles et de documents très sensibles vers les États-Unis, sans le consentement de l'utilisateur
En résumé
Le site web a 20 ans, n'a pas de mentions légales, pas de déclaration de confidentialité, pas d'info sur les cookies, n'est pas crypté SSL/HTTPS, utilise un fournisseur pour le téléchargement de documents sensibles et d'informations personnelles qui se trouve aux États-Unis, sans informer l'utilisateur des services avec lesquels l'agence de traduction partage ces données et si l'utilisateur est d'accord. Et en plus, il faut payer Plain Text d'avance, sans offre formelle ni facture, via un courriel.
Wow, on ne trouve pas ça tous les jours et en Allemagne, les défenseurs de la vie privée se déchaîneraient et les lettres d'avocat pleuvraient.
Finalement, nous n'avons pas opté pour ce service. La réponse de l'entreprise avec la présentation de cette analyse a été qu'ils trouvaient ça tellement bien, que le site était ancien et que c'était un avantage et qu'ils recevaient tous les jours des demandes frauduleuses (je suis surpris que ce site n'ait pas déjà été piraté, mais bon) et qu'ils ne souhaitaient pas collaborer avec nous.
Dans ce sens, faites attention à qui vous confiez vos documents.