marketing

La Banque Populaire corrige plusieurs de ses espaces web marketing

La Banque Populaire n’aura pas mis plus de 2 heures à corriger une alerte communiquée par ZATAZ. Plusieurs de ses sites « marketing » souffraient de failles qui, entre de mauvaises mains, auraient pu être particulièrement néfastes.

C’est par un courriel anonyme que j’ai été mis sur la piste de plusieurs problèmes visant une dizaine d’espaces web de la Banque Populaire. Pour tout vous avouer, je n’y avais pas vraiment porté attention au départ. Je reçois des centaines de courriels, et certains m’annoncent des cas « graves » que je ne peux vérifier. D’abord parce que la loi me l’interdit, ensuite parce que les journées ne font que 24 heures. Bilan, il était dans ma check-list de la semaine.

Cependant, mon attention fût attirée par le fait que dans un black market iranien (oui, ça existe !), espace surveillé par le Service Veille de ZATAZ, des informations très proches étaient présentées. Du moins, les failles annoncées sur ce blackmarket ressemblaient comme deux gouttes d’eau à celles affichaient sur le site web que ma source anonyme venait de me proposer, in-securite.fr. (Mise à jour : l’auteur du blog me confirme avoir aussi alerté la banque)

Alertée par un Protocole ZATAZ, le CERT de la Banque Populaire ne mettra pas deux heures à me répondre. Ils sont toujours aussi efficace, le service Marketing… beaucoup moins : « Nous avons pris en compte les failles. Certaines sont en cours de correction. Dans d’autres cas, les sites seront tout simplement fermés. » Seulement, une des fermeture a ouvert encore plus de données que prévues !

Fermés, mais pour certains plus « fuiteur » qu’avant !

Les espaces web en question concernaient la publicité et le marketing de l’entreprise. Heureusement, à première vue, pas de données bancaires ou de clients accessibles ! Mais pour être très honnête, j’en ai aucune idée ! Les failles, des injections SQL. Autant dire que si ces dernières ont été exploitées (certains sites datant d’au moins 2013), des pirates potentiels ont pu tout « pomper » !

Des espaces faillibles qui, pour certains, auraient pu permettre une collecte de données. Comment en ai-je la preuve ? En vérifiant que les sites avaient bien été fermés, je me suis retrouvé, pour l’un d’eux, devant … des répertoires ! Le site avait été vidé de son contenu web, mais pas de l’ensemble des dossiers. Dans les dossiers, j’ai moi même pu constater des cartes nationales d’identité ou encore des feuilles d’impositions de l’administration fiscale accessible sous la forme de scan. Je ne sais pas le nombre de clients impactés. Il y avait des dossiers courant de 2015 à 2018.

(PS : Merci à l’Anonyme qui m’a alerté. Ne pouvant te répondre, je le fais donc publiquement !)
Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.