Nous joindre par : 0899274448*
Un bug

Fuite corrigée pour un espace web de la SNCF

Un bug permettait d’accéder à certaines informations des voyageurs ayant acquis des e-billets de la SNCF. Plus vite qu’un TGV, l’équipe sécurité du CERT SNCF a colmaté ce déraillement 2.0.

Le moins que je puisse dire est que l’efficacité des équipes liées à la sécurité informatique de la SNCF fait plaisir à voir. Dimanche 22 janvier, il est 22h11 quand j’alerte, via le Protocole d’Alerte de ZATAZ, le Computer Emergency Response Team du Groupe SNCF [CERT SNCF]. Un problème de fuite de données avait été constaté via le site voyage-sncf.com. Sans donner trop de précision, il suffisait de commander un billet de train sous forme d’un e-billet pour ensuite accéder aux derniers billets achetés, et donc aux données d’autres clients de la SNCF.

Avec quelques outils tel que BURP, ou un script python mais il fallait pour cela qu’un malveillant possède la faille et récupère le cookie d’une victime, il devenait très simple d’accéder aux e-billets (uniquement) récemment achetés. Via cet e-billet, j’avais accès aux numéros de dossier et aux informations des passagers impactés (identité, numéro de dossier, destination, place dans le train) . Il devenait possible de modifier son voyage… ou de l’annuler via le « suivi commande » de voyages-sncf.com.

Heureusement, la faille ne semble avoir été connue que par le Protocole d’Alerte de ZATAZ. A 04h du matin, le CERT SNCF m’alertait de la bonne réception de mon alerte et de la prise en compte de cette dernière. A 6h53, une investigation interne était lancée. Quelques 12 heures après l’alerte, le CERT SNCF confirmait la mise en place d’un patch et le renforcement d’une seconde protection. Un beau cas d’école d’efficacité, d’écoute et « d’action/réaction« .

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Travaille sur les sujets cybercriminalité/cybersécurité depuis 1992 ; Officie/a officié pour Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ... Premier article en 1989 dans le mensuel "Amstar & CPC" ; Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC) ; Reserviste de l'Education Nationale ; Chroniqueur pour WEO TV et France Bleu Nord.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.