Fuite de données chez Numericable

Publié le 04-05-2011 à 12:17:09 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Logiciels de sécurité et de protection Internet

Note des lecteurs: 2.6/5

Numericable corrige une fuite de données. Un accès total à quelques 6.000 factures clients. Maxime, un internaute lecteur de ZATAZ.COM, nous a indiqué lundi dernier, une fuite étonnante pour le fournisseur d'accès à Internet Numéricable. Avec un simple lien, une adresse Internet qui permet aux clients Numericable THD de receptionner leur facture (https://moncompte.numericable.fr/pages/View/InvoiceToShow.aspx?invoice=XXXnuméro de facture.pdf), il était possible d'accèder aux données des autres clients. Une faille bête comme chou. Il suffisait de changer le numéro de facture dans l'url pour lire le N° de Client, le N° de Facture, la date de facture, le bénéficiaire du service, l'adresse de raccordement, le montant total de la facture, etc. Autant dire que le HTTPS, avec un S comme connexion sécurisée, ne servait strictement à rien.

A noter qu'un lecteur de Korben a remonté la même faille au blog. Bilan, la chaîne du web s'est mise en place et il y a de forte chance que Numericable s'est retrouvé noyé d'alertes (Korben, ZATAZ, ...), et c'est tant mieux ! D'autant plus qu'il n'aurait fallu qu'un simple script pour récuperer les quelques 6.000 factures disponibles. Depuis la correction, il est demandé au client de s'identifier via son login et un mot de passe.

Ce type de fuite a touché, dernierement, l'assureur Versperien, ainsi que SFR et EDF.

Les entreprises n'ont aucune obligation, en 2011, d'alerter leurs membres/clients/abonnés en cas de fuite de données. Une obligation d'information qui tarde à venir en France. Les Députés continuent de réfléchir sur une législation qui imposerait aux sociétés de prévenir et rendre public toutes fuites d'informations sur Internet, comme le font déjà le Royaume-Uni, l’Allemagne, l’Autriche, la Lituanie, l’Estonie ou encore la République Tchèque.

Le projet de loi Français, publié le 23 mars 2010 à l’instigation d’Anne-Marie Escoffier et de Yves Détraigne, a ouvert la porte à une éventuelle obligation légale de notification à la CNIL. En attendant cette hypothétique loi, les fuites de données n'ont jamais été aussi nombreuses sur la toile hexagonale. Avec ces 6.000 factures, ZATAZ.COM, a déjà pu additionner plus de ... 500 millions de données "privées" appartenant à des Français.