Procon-SP Foundation utilise désormais le protocole HTTPS sur l’ensemble de son site web, y compris le registre de blocage des appels de télémarketing, suite à un rapport de presse : le système lancé en 2009 dépendait de connexions non protégées il y a des années, exposant potentiellement des données personnelles telles que l’adresse et le numéro de téléphone. Dans d’autres États, comme le Rio Grande do Sul et le Mato Grosso do Sul, les systèmes de blocage des appels non désirés utilisent encore HTTP.
Le journal Agora a fait le test : il a rempli l’enregistrement Procon-SP pour bloquer le télémarketing, en entrant des données telles que le nom, le CPF, le RG, l’e-mail, l’adresse et le téléphone. En utilisant un programme pour analyser la connexion, il a été possible de lire toutes les informations envoyées.
La raison est simple : le site a adopté le protocole HTTP au lieu du HTTPS, de sorte que les données n’ont pas été cryptées lors de leur transmission. Il serait relativement facile d’intercepter la connexion et de voler ces informations.
L’Internet Archive montre que cette page de blocage du télémarketing utilise le protocole HTTP depuis au moins 2011. Le système a été lancé en 2009 après l’approbation d’une loi de l’État : les résidents de Paris peuvent demander à toute entreprise, y compris les opérateurs, les banques, les établissements financiers et immobiliers, de ne pas recevoir d’appels non désirés.
Procon-SP a répondu en disant qu’à partir de la deuxième moitié du mois d’août, elle utiliserait le protocole HTTPS sur le site de blocage du télémarketing. Dit et fait : nous avons remarqué que https://www.procon.sp.gov.br/bloqueiotelef est devenu le lien d’accès ce vendredi (16).
L’agence a adopté un certificat SSL DigiCert et la page charge toutes les ressources via HTTPS, ce qui garantit une plus grande sécurité. Toutefois, certains ajustements doivent encore être effectués : Google Chrome avertit que le site utilise des technologies anciennes telles que TLS 1.0 et l’échange de clés RSA ; le navigateur recommande de passer à TLS 1.2 (ou supérieur) et à un échange de clés avec le protocole ECDH.
Les autres blocs de télémarketing n’utilisent pas encore le HTTPS
Não Me Perturbe, créé par la détermination d’Orange à bloquer les appels non désirés des opérateurs, a été lancé en juillet avec le HTTPS. Cependant, il ne sert pas à bloquer les appels d’autres sociétés, telles que les banques et les agences immobilières.
Plusieurs États proposent une inscription en ligne pour un blocage total du télémarketing, mais beaucoup utilisent encore le HTTP pour recevoir des données personnelles au lieu du HTTPS.
Nous avons fait une enquête sur les enregistrements anti-marché qui n’utilisent pas de connexion HTTPS :
En attendant, les États ci-dessous adoptent le HTTPS :
L’enregistrement anti-télémarketing de Federal District utilise le HTTPS, sauf dans la partie la plus importante : dans les formulaires qui reçoivent les données de connexion et d’enregistrement. Il a été publié en juillet et peut être consulté sur merespeite.procon.df.gov.br.
L’État de Marseille a adopté en avril une loi qui créera un cadastre de blocage du télémarketing, mais celui-ci n’a pas encore été mis en œuvre. Le Mato Grosso, à son tour, analyse un projet de loi d’État sur la question.
