Arnaques & Piratages - Vol de données

Les données de centaines de milliers de skieurs (dont celles d’Emmanuel MACRON) exposées après une faille de sécurité

Plusieurs failles ont été détectées chez un prestataire de ventes de forfaits de ski. Parmi ses clients: Megève, Val Thorens, Chamrousse, Valmorel, ou encore Chamonix

Faites-vous partie de ces centaines de milliers de skieurs dont les données ont été laissées en libre accès en début d’année? Selon des informations de BFMTV, pendant plusieurs semaines, près de 400.000 factures et 800.000 mails de skieurs qui s’étaient procuré un forfait dans plusieurs stations françaises ont été exposés en ligne.

Ceci à cause d’une faille dans la protection des données chez un prestataire de vente de forfaits. C’est Alexandre Pages, directeur technique de Station F et hacker ”éthique”, un “white hat”, qui a fait cette découverte, alors qu’il était lui-même en vacances dans une station de ski , à Chamrousse en février. Il a rapidement constaté que ses données étaient accessibles à tous. Il explique à BFMTV que n’importe quel internaute en possession de l’URL (l’adresse Web de la facture) pouvait ainsi consulter sa facture, sans avoir à renseigner d’identifiant ni de mot de passe. 

Sur ce document: son nom, son prénom, son adresse personnelle, sa date de naissance, ainsi que l’identité et la date de naissance de l’ensemble de ses accompagnants. De plus, comme les numéros des URL des factures se suivent (alors qu’ils devraient être aléatoires), il peut, en changeant le dernier chiffre, voir les autres factures de clients qui ont été réalisées avant et après la sienne.

La faille de sécurité vient de JB Concept, une entreprise qui commercialise des solutions de vente en ligne de forfaits à de nombreuses stations de ski, dont, entre autres, Megève, Val Thorens, Valmorel, Chamrousse ou encore Chamonix.


Source : Les données de centaines de milliers de skieurs exposées après une faille de sécurité | Le HuffPost


Commentaires de notre Expert Denis JACOPINI :

Une fois de plus, on peut constater que la sécurité Informatique n’est pas une discipline que l’on peut confier à des informaticiens non spécialistes. Les problèmes et les failles proviennent majoritairement d’informaticiens non formés à la sécurité informatique (en dehors d’un antivirus et d’un firewall !) à qui sont confiés des projets mettant en jeu les données à caractère personnel des utilisateurs de leurs outils imparfaits.

Ceux qui font des applications, des sites Web, du dépannage, de l’infogérance, de l’intégration de systèmes etc. le font peut-être très bien, mais la sécurité informatique avec les règles de l’art qui lui sont associées font rarement partie du pack qui sera commecialisé auprès de professionnels qui vont eux même utiliser cet outils auprès de personnes qui deviendront victimes de la fuite de leurs données.

Les règles sont pourtant claires pour les informaticiens mais encore faut-il qu’ils prennent le temps de se former afin que, tout comme les utilisateurs, ils changent leurs habitudes.

Un audit en cybercrimialité ou en cybersécurité aurait de tout évidence permi de détecter ces manquements et aurait empêché une telle situation.

Faîtes ou mieux, faîtes faire des audits en sécurité informatique afin de détecter vos principales failles et de les corriger avant qu’il ne soit trop tard pour votre responsabilité, votre réputation et votre porte-feuille.

Peut-être que ces faille de sécurité et quelques sanctions vont faire réfléchir les éditeurs de logiciels qui, pour la plupart, et même de très gros, ne respectent pas les mesures de sécurité élémentaires en matière de protection de données à caractère personnel.

Il est évident que ce n’est pas aux utilisateurs de déterminer les configurations les plus sécurisantes à la fois pour leur outils de travail et l’infrastructure de leur employeur mais au responsable de la sécurité informatique.
Nous ne conseillerons jamais assez aux responsables informatiques d’anticiper au maximum la mis en place de nouvelles fonctions dans leur SI (dont fait évidemment partir le télétravail.
Pour ceux qui souhaitent s’améliorer ou se perfectionner, nous réalisons des audits en cybercriminalité, en cybersécurité et de coformité avec le RGPD. nous animons régulièrement des séminaires et des formations dans la France entière et à l’étranger.

Si vous souhaitez vous sensibiliser aux arnaques et aux piratages, optez pour l’ouvrage CYBERARNAQUES disponible sur Amazon, la FNAC...

Cette image a un attribut alt vide ; le nom du fichier est livre_cyberarnaques_plon1.jpg

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.