Cookies – Bug sur le site de La Poste, données clients accessibles

Posted On 20 Juin 2019

Cookies or not cookies ! Voilà un bug informatique que nous ne pensions plus voir, du moins sur des structures telles que le web de La Poste. En rafraîchissant la page du portail, certaines données clients apparaissaient.

Ah, les cookies ! En informatique, cela sert à connaitre les visiteurs de votre site ; à proposer des services personnalisés ; à maintenir un compte client ouvert le temps de la présence de ce dernier.

Un cookie peut aussi se retourner contre son utilisateur. Une exploitation d’un cross-site scripting et voilà un pirate dans votre espace (en même temps que vous) ; vous noyer de publicités très/trop ciblées ; vous êtes tracés.

Il peut aussi engendrer un bug comme celui vécu par la Poste ce mercredi matin.

Paulette, y a Yvonne et Jean-Jean dans mon écran

Une fois sur le site de La Poste, et quand vous rafraîchissiez la page, les identités et commandes d’autres clients apparaissaient.

Un petit script en python aurait pu permettre à un malveillant de copier les informations affichées.

Plusieurs internautes s’en sont inquiétés sur Twitter. « #LaPoste @LaPosteBusiness. Probablement un souci sur votre site web, en changeant de page, je tombe sur des comptes différents du mien, et du coup je vois les commandes des comptes etc… » indique Théo.

« T’es direct connecté sur le site avec le compte d’un inconnu juste en visitant le site depuis un mobile 😱 » confirme btrd. « Et à chaque refresh on a une personne différente avec toutes les infos persos accessible ! » constate Thomas.

ZATAZ confirme le problème ce problème de gestion de Cookies bugguée.

https://twitter.com/lisalaposte/status/1141640663156572160

Le « bug » semble être apparu en ce mercredi matin. A 11h35, après une mise en maintenance du site, La Poste communique sur le sujet « Bonjour, incident résolu. Je vous présente les excuses de La Poste pour la gêne occasionnée. Bonne journée. »

Un bug qui tombe sous le coup du RGPD. Une violation de données au sens de l’article 4.12 du Règlement Général de la Protection des Donnée… et l’obligations des articles 33 « Notification à l’autorité de contrôle d’une violation de données à caractère personnel » et 34 « Communication à la personne concernée d’une violation de données à caractère personnel ».

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.