Publié le 23-07-2009 à 17:17:00 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur

Exclusif : Le site Internet du club de football de la capitale Française, le PSG, laissait fuir des informations concernant certains de ses abonnés.

Une erreur technique permettait d'accéder, depuis le début du mois de juillet, aux courriers envoyés par le club de Football du Paris Saint Germain (PSG) aux nouveaux abonnés.

Les supporteurs passant par le site Internet, option abonnement, et ayant payé leur place pour la saison 2009/2010 recevaient dans la foulée de leur acquisition un courriel d'Alexandre Noé, Directeur de la Billetterie. Un courriel automatisé.

La missive reprenait l'identité de l'acheteur (Nom et prénom) ; l'adresse électronique (email) ; le numéro de membre (Esprit Club) ; Le numéro de la commande ; Le mode de paiement (Le numéro de carte bancaire n'apparaissait pas) ; Le montant de la transaction ; le siège et le rang de l'abonnant acheté et l'ensemble des articles acquittés.

Seulement, une coquille électronique permettait d'accéder aux courriers en question. Il suffisait à un internaute de se rendre dans la partie identification du site du PSG et d'effacer le début de l'url proposé dans le navigateur.

L'adresse web renvoyait sur un espace électronique contenant plusieurs centaines d'emails envoyés aux nouveaux abonnés. Une consultation possible, sans restriction, avertissement ou demande de mot de passe de connexion. Contacté par la rédaction de ZATAZ.COM le 16 et le 20 juillet, via notre protocole d'alerte, il nous faudra téléphoner (le 23/07) directement chez le prestataire de service en charge de la billetterie, Rodrigue Solutions, pour que cette fuite de données soit colmatée dans la minute. "Vos premiers courriels n'ont pu être lu, indiquait au téléphone notre interlocuteur, La personne en charge du compte de reception est en congé".

Cas d'école
Qu'aurait pu faire un pirate avec de telles informations : Un email, une identité, un montant et une entreprise. Prenons un exemple. Paulo vient d'acheter pour 400 euros d'articles via le site du PSG. Le pirate le sait, connait l'identité, le montant, la place assise qu'occupera le supporteurs dans les gradins. Le cyber-escroc sait aussi comment joindre sa cible. Le @-voleur va créer une fausse page proposant un cadeau pour le fidèle du ballon rond. Le pirate n'a plus qu'à proposer à Paulo le cadeau. Par exemple, tout l'équipement du PSG pour 20 euros. Paulo n'aura qu'à rentrer ses données bancaires pour recevoir son cadeau.

A noter que cet espace non sécurisé permettait aussi d'accéder à d'autres informations, codes sources, ... Nous ne sommes pas allez plus loin dans notre constatation préférant avertir, rapidement, le PSG et son prestataire de service.

Données nominatifs, ce qu'en dit la CNIL
La Commission Nationale de l'Informatique et des Libertés (CNIL) rappel sur son site quelques éléments bons à retenir comme celui d'éviter la « dilution » des données archivées dans le système informatique de l’entreprise.

En application de l’article 34 de la loi du 6 janvier 1978 modifiée, les responsables de traitements doivent mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l'accès non autorisés ainsi que contre toute autre forme de traitement illicite. « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. La CNIL recommande que l’accès aux archives intermédiaires soit limité à un service spécifique et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations). Elle recommande également que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives.

Elle recommande enfin de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que de mettre en œuvre des dispositifs de traçabilité des consultations des données archivées.

Cas unique ?
Le numéro du mois d'août du magazine Capital revient sur ces fuites d'informations qui envahissent de plus en plus Internet. Le sujet "Pirater un site Web d’entreprise, un jeu d’enfant?!" Les données que vous confiez aux sociétés en ligne sont mal protégées. La preuve, Capital s’est facilement introduit dans ces fichiers ultra confidentiels et explique comment les entreprises ont réagi. (Merci à Matthieu)

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Réagissez à ce contenu