Suivez-nous

Internet

Des milliers de skieurs français victimes d’une (stupide) faille de sécurité

Les factures d’un prestataire de l’Isère, spécialisé dans la commercialisation de solutions de vente en ligne de forfaits pour de nombreuses stations de ski en France, auraient exposé publiquement les données personnelles de centaines de milliers de clients.

Il y a

  

le

 
hacker, code et sécurité informatique
© Pixabay / pixelcreatures

Coup (très) dur pour un prestataire de l’Isère, spécialisé dans la vente en ligne de forfaits pour de nombreuses stations de ski en France. En effet, selon Raphaël Grably, chef de service BFM Tech, des failles de sécurité au niveau de la facturation auraient pu permettre de dévoiler à des personnes mal intentionnées, les informations confidentielles de plus de 400 000 clients, et pas moins de 800 000 adresses mails personnelles.

Des failles de sécurité vieilles de plus de 15 ans ?

En effet, selon Alexandre Pages, qui a mis en lumière la faille, les factures émises par la société JB Concept étaient associées à une simple URL, accessible librement. En d’autres termes, il suffit de disposer de l’adresse web, pour consulter la facture associée. Un document qui permet de retrouver les coordonnées du client, mais aussi sa date de naissance, ses éventuels accompagnants…

Piratage liste mails Collection 1

A cela s’ajoute un autre souci de confidentialité, à savoir le fait que les numéros de facture se suivent, tout comme les numéros clients. Ainsi, à partir d’une facture (et donc d’une URL), il est tout à fait possible d’accéder à l’ensemble des factures établies par JB Concept. Une faille présente dans le système depuis près de 15 ans, avec des liens non sécurisés envoyés systématiquement aux clients depuis le début de l’année 2020.

Alexandre Pages explique : « Pour vérifier l’ampleur de la faille, j’ai développé un programme capable de générer des identifiants clients et vérifier l’existence de factures associées. Le logiciel en a retrouvé une quinzaine en quelques minutes. Surtout, nous avons découvert que Chamrousse était loin d’être la seule station de ski touchée. »

A noter que ce même Alexandre Pages a également découvert une autre faille de sécurité, au niveau de l’interface de communication cette fois, permettant à JB Concept de transmettre ses informations aux stations clientes. Une faille qui permettait cette fois d’accéder aux adresses mail de l’ensemble des clients. Au total, plus de 800 000 adresses mail étaient accessibles, dont celles de nombreuses personnalités politiques.

Evidemment, toutes les failles ont été corrigées, et selon la société en question, JB Concept, aucune donnée n’aurait été dérobée par un tiers.

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

1 commentaire

1 Commentaire

  1. captain obvious

    7 septembre 2020 at 12 h 28 min

    Ben non, elles n’ont pas été dérobées car en accès libre…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

À la une

Les bons plans

Dernières news

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Les tests