La Banque Populaire corrige plusieurs de ses espaces web marketing

La Banque Populaire n’aura pas mis plus de 2 heures à corriger une alerte communiquée par ZATAZ. Plusieurs de ses sites « marketing » souffraient de failles qui, entre de mauvaises mains, auraient pu être particulièrement néfastes.

C’est par un courriel anonyme que j’ai été mis sur la piste de plusieurs problèmes visant une dizaine d’espaces web de la Banque Populaire. Pour tout vous avouer, je n’y avais pas vraiment porté attention au départ. Je reçois des centaines de courriels, et certains m’annoncent des cas « graves » que je ne peux vérifier. D’abord parce que la loi me l’interdit, ensuite parce que les journées ne font que 24 heures. Bilan, il était dans ma check-list de la semaine.

Cependant, mon attention fût attirée par le fait que dans un black market iranien (oui, ça existe !), espace surveillé par le Service Veille de ZATAZ, des informations très proches étaient présentées. Du moins, les failles annoncées sur ce blackmarket ressemblaient comme deux gouttes d’eau à celles affichaient sur le site web que ma source anonyme venait de me proposer, in-securite.fr. (Mise à jour : l’auteur du blog me confirme avoir aussi alerté la banque)

Alertée par un Protocole ZATAZ, le CERT de la Banque Populaire ne mettra pas deux heures à me répondre. Ils sont toujours aussi efficace, le service Marketing… beaucoup moins : « Nous avons pris en compte les failles. Certaines sont en cours de correction. Dans d’autres cas, les sites seront tout simplement fermés. » Seulement, une des fermeture a ouvert encore plus de données que prévues !

Fermés, mais pour certains plus « fuiteur » qu’avant !

Les espaces web en question concernaient la publicité et le marketing de l’entreprise. Heureusement, à première vue, pas de données bancaires ou de clients accessibles ! Mais pour être très honnête, j’en ai aucune idée ! Les failles, des injections SQL. Autant dire que si ces dernières ont été exploitées (certains sites datant d’au moins 2013), des pirates potentiels ont pu tout « pomper » !

Des espaces faillibles qui, pour certains, auraient pu permettre une collecte de données. Comment en ai-je la preuve ? En vérifiant que les sites avaient bien été fermés, je me suis retrouvé, pour l’un d’eux, devant … des répertoires ! Le site avait été vidé de son contenu web, mais pas de l’ensemble des dossiers. Dans les dossiers, j’ai moi même pu constater des cartes nationales d’identité ou encore des feuilles d’impositions de l’administration fiscale accessible sous la forme de scan. Je ne sais pas le nombre de clients impactés. Il y avait des dossiers courant de 2015 à 2018.

(PS : Merci à l’Anonyme qui m’a alerté. Ne pouvant te répondre, je le fais donc publiquement !)