Le portail internet net-entreprises.fr regroupe les 14 principaux organismes de la protection sociale et la CFDT, la CGPME, la CGT, le Conseil supérieur de l'Ordre des experts-comptables, la FNSEA, le Syntec informatique, le Medef et l'UPA.
Ce portail permet d'effectuer les déclarations sociales règlementaires et contractuelles par saisie de formulaires informatisés ( télédéclaration et télépaiement de votre Ducs) ou échange de données informatisées (télétransmission d'un fichier DADS-Unifiée).
1,3 millions d'entreprises utilisent ce service. Il est incontournable pour les Tiers-déclarants ( Comptable, SSII, prestataire, gestionnaire de paie etc ) qui gèrent un "portefeuille" d'entreprises clientes via le portail.
L'inscription a net-entreprises.fr se fait en ligne, en indiquant :
L'inscription, l'accès à l'établissement et l'utilisation des services se feraient immédiatement sans vérifier ou attendre l'authentification de l'email indiqué lors de l'inscription.
Ce principe d'inscription présenterait une sévère faille de confidentialité:
N'importe quel internaute malveillant pourrait accéder instantanément à un compte de net-entreprises.fr en saisissant le SIRET (le numéro identifiant l'établissement) d'une entreprise quelconque et un email fictif.
Cette première authentification ne pourrait pas engendrer de dégâts possibles mais autoriserait immédiatement la visualisation de toutes les entreprises clientes gérées par un cabinet utilisant net-entreprises.fr ou encore toutes les entreprises inscrites d'un groupement, ou celles adhérentes à un service de Tiers-déclarant.
La confidentialité d'un portefeuille de clients serait ainsi menacée.
Quelles solutions préconiser pour préserver cette confidentialité nécessaire :
- Créer une inscription "administrateur" sur tous vos établissements (Siret) et demander à l'assistance du portail de restreindre les accès à votre entreprise à cette unique administrateur
- ou
- Attendre une modification de la stratégie d'authentification de la part de net-entreprises.fr, par exemple:
- ne pas permettre d'accès sans au moins une authentification de l'email
- attribuer un couple identifiants + mot de passe par courrier postal lors de l'inscription
- authentifier l'internaute par un code à saisir envoyé par Texto sur son téléphone mobile
- fournir à chaque entreprise, une carte de numéros d'authentifications qu'elle pourra utiliser ou diffuser selon ses besoins
Dès l'inscription en ligne et sous huitaine, le portail envoie un courrier postal à l'entreprise dont le SIRET a été utilisé, pour l'informer qu'un accès fourni.
L'entreprise concernée ne pourrait intervenir tardivement qu'après huit jours pour suspendre l'accès indésirable:
Principaux organismes de la protection sociale pour les travailleurs salariés:
L'ACOSS regroupant les Urssaf, l'ARRCO et l'AGIRC, la CNAV - assurance vieillesse, l'Unédic - assurance chômage (pôle-emploi), la CNAMTS - assurance maladie , les Caisses de MSA, les Caisses de Congés Intempéries BTP, la CCVRP, la caisse des congés spectacles, la Fédération française des sociétés d'assurances, Centre technique des institutions de prévoyance, Fédération nationale de la mutualité française.
Lien de l'article : GestionDeLaPaie.Com - net-entreprises.fr : faille de confidentialité