Des milliers de skieurs français victimes d’une (stupide) faille de sécurité

septembre 7, 2020 admin TECH 0

[ad_1]

Coup (très) dur pour un prestataire de l’Isère, spécialisé dans la vente en ligne de forfaits pour de nombreuses stations de ski en France. En effet, selon Raphaël Grably, chef de service BFM Tech, des failles de sécurité au niveau de la facturation auraient pu permettre de dévoiler à des personnes mal intentionnées, les informations confidentielles de plus de 400 000 clients, et pas moins de 800 000 adresses mails personnelles.

Des failles de sécurité vieilles de plus de 15 ans ?

En effet, selon Alexandre Pages, qui a mis en lumière la faille, les factures émises par la société JB Concept étaient associées à une simple URL, accessible librement. En d’autres termes, il suffit de disposer de l’adresse web, pour consulter la facture associée. Un document qui permet de retrouver les coordonnées du client, mais aussi sa date de naissance, ses éventuels accompagnants…

Piratage liste mails Collection 1

A cela s’ajoute un autre souci de confidentialité, à savoir le fait que les numéros de facture se suivent, tout comme les numéros clients. Ainsi, à partir d’une facture (et donc d’une URL), il est tout à fait possible d’accéder à l’ensemble des factures établies par JB Concept. Une faille présente dans le système depuis près de 15 ans, avec des liens non sécurisés envoyés systématiquement aux clients depuis le début de l’année 2020.

Alexandre Pages explique : « Pour vérifier l’ampleur de la faille, j’ai développé un programme capable de générer des identifiants clients et vérifier l’existence de factures associées. Le logiciel en a retrouvé une quinzaine en quelques minutes. Surtout, nous avons découvert que Chamrousse était loin d’être la seule station de ski touchée. »

A noter que ce même Alexandre Pages a également découvert une autre faille de sécurité, au niveau de l’interface de communication cette fois, permettant à JB Concept de transmettre ses informations aux stations clientes. Une faille qui permettait cette fois d’accéder aux adresses mail de l’ensemble des clients. Au total, plus de 800 000 adresses mail étaient accessibles, dont celles de nombreuses personnalités politiques.

Evidemment, toutes les failles ont été corrigées, et selon la société en question, JB Concept, aucune donnée n’aurait été dérobée par un tiers.

[ad_2]

Source link

Facebooktwitterredditpinterestlinkedinmail

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.