Fuite d'informations pour la billetterie Web du PSG

Publié le 23-07-2009 à 17:17:00 dans le thème Réseau - Sécurité

Pays : France - Auteur : Damien Bancal

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

Note des lecteurs: 2.5/5

Exclusif : Le site Internet du club de football de la capitale Française, le PSG, laissait fuir des informations concernant certains de ses abonnés.

Une erreur technique permettait d'accéder, depuis le début du mois de juillet, aux courriers envoyés par le club de Football du Paris Saint Germain (PSG) aux nouveaux abonnés.

Les supporteurs passant par le site Internet, option abonnement, et ayant payé leur place pour la saison 2009/2010 recevaient dans la foulée de leur acquisition un courriel d'Alexandre Noé, Directeur de la Billetterie. Un courriel automatisé.

La missive reprenait l'identité de l'acheteur (Nom et prénom) ; l'adresse électronique (email) ; le numéro de membre (Esprit Club) ; Le numéro de la commande ; Le mode de paiement (Le numéro de carte bancaire n'apparaissait pas) ; Le montant de la transaction ; le siège et le rang de l'abonnant acheté et l'ensemble des articles acquittés.

Seulement, une coquille électronique permettait d'accéder aux courriers en question. Il suffisait à un internaute de se rendre dans la partie identification du site du PSG et d'effacer le début de l'url proposé dans le navigateur.

L'adresse web renvoyait sur un espace électronique contenant plusieurs centaines d'emails envoyés aux nouveaux abonnés. Une consultation possible, sans restriction, avertissement ou demande de mot de passe de connexion. Contacté par la rédaction de ZATAZ.COM le 16 et le 20 juillet, via notre protocole d'alerte, il nous faudra téléphoner (le 23/07) directement chez le prestataire de service en charge de la billetterie, Rodrigue Solutions, pour que cette fuite de données soit colmatée dans la minute. "Vos premiers courriels n'ont pu être lu, indiquait au téléphone notre interlocuteur, La personne en charge du compte de reception est en congé".

Cas d'école
Qu'aurait pu faire un pirate avec de telles informations : Un email, une identité, un montant et une entreprise. Prenons un exemple. Paulo vient d'acheter pour 400 euros d'articles via le site du PSG. Le pirate le sait, connait l'identité, le montant, la place assise qu'occupera le supporteurs dans les gradins. Le cyber-escroc sait aussi comment joindre sa cible. Le @-voleur va créer une fausse page proposant un cadeau pour le fidèle du ballon rond. Le pirate n'a plus qu'à proposer à Paulo le cadeau. Par exemple, tout l'équipement du PSG pour 20 euros. Paulo n'aura qu'à rentrer ses données bancaires pour recevoir son cadeau.

A noter que cet espace non sécurisé permettait aussi d'accéder à d'autres informations, codes sources, ... Nous ne sommes pas allez plus loin dans notre constatation préférant avertir, rapidement, le PSG et son prestataire de service.

Données nominatifs, ce qu'en dit la CNIL
La Commission Nationale de l'Informatique et des Libertés (CNIL) rappel sur son site quelques éléments bons à retenir comme celui d'éviter la « dilution » des données archivées dans le système informatique de l’entreprise.

En application de l’article 34 de la loi du 6 janvier 1978 modifiée, les responsables de traitements doivent mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l'accès non autorisés ainsi que contre toute autre forme de traitement illicite. « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. La CNIL recommande que l’accès aux archives intermédiaires soit limité à un service spécifique et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations). Elle recommande également que les archives définitives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives.

Elle recommande enfin de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que de mettre en œuvre des dispositifs de traçabilité des consultations des données archivées.

Cas unique ?
Le numéro du mois d'août du magazine Capital revient sur ces fuites d'informations qui envahissent de plus en plus Internet. Le sujet "Pirater un site Web d’entreprise, un jeu d’enfant?!" Les données que vous confiez aux sociétés en ligne sont mal protégées. La preuve, Capital s’est facilement introduit dans ces fichiers ultra confidentiels et explique comment les entreprises ont réagi. (Merci à Matthieu)