J'ai voulu faire une demande pour une souscription à la facture électronique et de prélèvement d'edf et je fus bien surpris par le résultat.
Tout d'abord ils renvoient mes informations rib complètes + adresses par email ( c'est quoi ce délire? ).
Je ne fus pas spécialement super content mais le pire est à venir :
Je reçois un message "undelivered mail returned to sender", et la je vois de nouveau mes coordonnées mais en plus une adresse de destination pour le moins bizarre : ******.edf@wanadoo.fr, sachant que mon fai est orange et que j'utilise un email wanadoo, j'espère que ces boulets ont pris juste le DNS sinon.....
Et au niveau du message d'erreur à proprement parler :

Reporting-MTA: dns; orange.fr
X-SMTP-Server-Queue-ID: 9C9C5*******
X-SMTP-Server-Sender: rfc822; monemail**********@wanadoo.fr
Arrival-Date: Thu, 22 May 2008 07:21:16 +0200 (CEST)

Final-Recipient: rfc822; *******.edf@wanadoo.fr
Action: failed
Status: 4.0.0
Diagnostic-Code: X-Postfix; orange.fr platform: said: 451 4.3.0 System I/O
    error (in reply to RCPT TO command)

Sujet:
Demande de souscription facture electronique et prelevement
De:
monemail**********@wanadoo.fr
Date:
Thu, 22 May 2008 07:21:16 +0200
Pour ::
ael-fromweb-demandeutilisateur@akio5.akio-solutions.com

Donc c'est quoi ce délire?
Mes coordonnées postales et bancaires sont redirigés vers une entreprise tierce/potentiellement vers une adresse d'un particulier?
Quelles sont les démarches que je peux faire? (j'ai envoyé un courrier à la cnil pour savoir un peu ce qu'il en retournait ) Je pensais qu'edf était un minimum sérieux mais la je commence à paniquer un peu concernant mes coordonnées pouvant se retrouver n'importe où.
Qui contacter chez EDF pour ce genre de problématique? Au niveau droit, est-ce qu'une entreprise peu envoyer de cette façon les coordonnées bancaires ?

.Et tu as fait cette demande comment? en repondant a un courrier electronique? Dont tu es sur qu'il venait bien d'EDF et non pas d'ailleurs? Parce que je doute fort que edf utilise une adresse en @wanadoo.fr alors qu'ils ont des sites en edf.fr
A+,
 

https://www.edf-bleuciel.fr/index.php4?coe_i_id=141765 lien depuis le site www.edf.fr
C'est pour ca que je pense qu'il y a un "bug" avec leur logiciel de gestion d'email entrant/sortant...Enfin je l'espère

rigolo ça, tu passes par un site https pour souscrire le service, et ensuite ils te renvoient tes coordonnées bancaires par mail en clair

Non mais attends, c'est clair que c'est pas EDF qui lui a envoyé ça mais un petit rigolo quelconque qui a dû réussir à choper les infos...

Ca a l'air d'être effectivement un site de edf vu le code source. Mettons ca alors sur le compte du presta qui a code l'appli.
Je serais toi, je ferais un courrier electronique demandant des explications a edf, tout en les menacant d'en tenir informé la commission informatique et liberté (voire ta banque): ils font circuler, de maniere non protégée (simple courrier), et sans ton accord, des données personelles (numero de compte...) te concernant.
A+,

edf@wanadoo.fr ?

Je sais pas je vois ça -> direct c'est un pti malin n'ayant rien à voir avec EDF, c'est une évidence: toutes les entités ont une adresse en @edf.fr et le truc redirige vers une adresse perso d'un particulier, ça me semble assez clair, non ?

Si EDF est pas capable de securiser son site, ils sont relativement responsables. C'est apparement une page https, or lorsque je m'y connecte, pas de petit cadenas an bas de mon browser, et on trouve dans la page des elements non securisés... bref, pas tres serieux comme page securisée...
A+,

Oui, mais c'est pas a ce niveau: le formulaire est bien sur un site edf et pas sur un site de phishing, pour autant que je voie.
A+,

Non mais je suis tout à fait d'accord qu'EDF est responsable: je dis simplement que le mail n'a pas été envoyé par EDF, mais par qq'un ayant réussi à chopper des infos via des failles de sécurité.

De faille de securité chez EDF en tout cas, pas chez Setaio, qui lui, n'a pas envoyé de mail, mais une form http, oui, c'est fort possible. Perso, je penche pour des prestas en carton ayant code a la va vite l'appli.
A+,

 
Idem, ils ont un système de mail entrant dans leur appli et qui a été configuré de façon foireuse ==>
ael-fromweb-demandeutilisateur@akio5.akio-solutions.com  akio-solutions fournissent des solutions d'email entrant/sortant. J'imagine que ca doit être une redirection vers un email d'un conseiller clientèle mais vu leur système foireux, ca à renvoyer vers un email en wanadoo.fr ( utilisation du même dns que moi ? ), l'email n'existant pas, je reçois naturellement un message "undelivered message". Bref, cela ouvre potentiellement une faille de sécurité assez énorme....

Surtout maintenant que l'info est visible sur le premier forum francophone

Et surtout type d'info, que ca circule par mail dans l'intranet, a la limite, c'est acceptable, application en carton, mais passons sur sa qualité; mais que ce soit envoyé en clair sur une adresse externe, c'est du grand n'importe quoi.
A+,

Je viens d'avoir la même mauvaise surprise.
 
Ci-dessous l'en-tête de l'e-mail qui n'a pas pu être remis (à l'exception de mon adresse e-mail que j'ai masqué).
 
On voit bien que le X-Mailer n'est pas le logiciel dont je dispose sur mon PC (j'utilise Outlook Express).
 
Inquiétant : il y a 2 adresses e-mail en destination (skadouri.edf@wanadoo.fr et edf.dicap@wanadoo.fr), et seule la première est signalée en erreur par mon FAI !
 
 
Received: from mwinb2602.me-wanadoo.net (mwinb2602 [10.232.73.24])
 by mwinf2e11.orange.fr (SMTP Server) with ESMTP id 78E807000083
 for <skadouri.edf@wanadoo.fr>; Wed,  4 Jun 2008 17:03:14 +0200 (CEST)
X-ME-UUID: 20080604150314495.78E807000083@mwinf2e11.orange.fr
Received: by mwinb2602.me-wanadoo.net (SMTP Server, from userid 1001)
 id 743E9C094; Wed,  4 Jun 2008 17:03:14 +0200 (CEST)
Received: from mwinf2e21.orange.fr (mwinf2e21.orange.fr)
 by mwinb2602 (SMTP Server) with LMTP; Wed, 04 Jun 2008 17:03:14 +0200
X-Sieve: Server Sieve 2.2
Received: from me-wanadoo.net (localhost [127.0.0.1])
 by mwinf2e21.orange.fr (SMTP Server) with ESMTP id 652F8580008A
 for <wfr40000dcf13d10850cbe5b76e@back26-mail02-01.me-wanadoo.net>; Wed,  4 Jun 2008 17:03:14 +0200 (CEST)
Received: from edf-vback2-new.edf.lbn.rdb.cbv.linkbynet.com (vback2-new.edf.lbn.fr [217.19.57.247])
 by mwinf2e21.orange.fr (SMTP Server) with ESMTP id 584D55800091
 for <edf.dicap@wanadoo.fr>; Wed,  4 Jun 2008 17:03:14 +0200 (CEST)
X-ME-UUID: 20080604150314361.584D55800091@mwinf2e21.orange.fr
Received: from edf-vweb1.edf.lbn.rdb.cbv.linkbynet.com (edf-vweb1 [172.24.9.70])
 by edf-vback2-new.edf.lbn.rdb.cbv.linkbynet.com (Postfix) with ESMTP
 id 47E3287A0D; Wed,  4 Jun 2008 17:03:14 +0200 (CEST)
Received: by edf-vweb1.edf.lbn.rdb.cbv.linkbynet.com (Postfix, from userid 99)
 id 23391BEE93; Wed,  4 Jun 2008 17:03:14 +0200 (CEST)
Date: Wed, 4 Jun 2008 17:03:14 +0200
To: ael-fromweb-demandeutilisateur@akio5.akio-solutions.com
From: #MON_ADRESSE_A_MOI_QUE_JE_MASQUE_VOLONTAIREMENT_AVANT_DE_POSTER#@orange.fr
Subject: Demande de souscription prelevement
Message-ID: <aae33ed0bf0de598933f75585acc3b10@www.edf-bleuciel.fr>
X-Priority: 3
X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.0 rc3]
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="iso-8859-1"
X-me-spamlevel: not-spam
X-me-spamrating: 0.363721