Previous Story
Bouygues corrige la fuite des adresses postales des abonnés téléphoniques Français
Le service Internet de Bouygues Télécom permettant d’accéder à des adresses postales à partir d’un numéro de téléphone, corrigé.
L’opérateur téléphonique Bouygues Télécom a corrigé, la semaine dernière, un problème de confidentialité qui, dans des mains expertes, permettaient de mettre la main sur l’adresse postale attenante à un numéro de téléphone.
Comme je vous le révélais le 30 novembre, il suffisait de rentrer un numéro de téléphone dans l’espace dédié pour découvrir l’adresse postale appartenant à ce numéro de téléphone.
D’autant plus gênant quand cette adresse est collée à une ligne téléphonique sur liste rouge, donc non publique. J’ai pu faire plusieurs tests à partir, par exemple, de petites annonces diffusées sur le site « Le Bon Coin« . Certains vendeurs proposent leur numéro de téléphone, ce que je déconseille fortement. Il suffisait de rentrer le numéro de ces commerçants amateurs pour posséder leur adresse postale.
Je vous laisse imaginer les potentialités malveillantes possibles, de la Drop Box, boite postale utilisée pour se faire envoyer des produits illicites, en passant par le vol pur et simple.
Bouygues Télécom a contacté zataz.com le jour de la publication du premier article et à tout mis en œuvre pour faire disparaître ce problème. « Comme vous l’avez relevé, une erreur dans les parcours d’éligibilité a permis d’accéder de façon unitaire à l’adresse de clients figurant sur liste rouge sans pour autant connaître leur identité. indique l’opérateur. Il ne s’agit pas d’une faille de sécurité.«
A noter qu’un escroc 2.0, avec un simple script en python, pouvait extraire les numéros de téléphone se constituant une liste nettement moins unitaire. Rassurant, Bouygues Telecom a pris ce sujet très au sérieux.
Une première action palliative a eu lieu avec l’application d’un « floutage » dans l’affichage. Les adresses associées aux numéros figurant sur liste rouge ne sont plus visibles. Une seconde action a été menée ensuite, elle consiste à corriger définitivement cette fuite de données.
![NinjaOne](https://www.zataz.com/wp-content/uploads/NinjaOne.gif.gif")
