consultation des factures clients

Fuite de données colmatée pour le site officiel des 24 heures du Mans

Accès aux tickets, consultation des factures clients : le site des 24 heures du Mans vient de boucher une fuite de données.

La consultation des factures clients, un problème trop fréquent sur Internet ! Les 24 heures du Mans, qui n’a jamais entendu parler de cette prestigieuse course automobile. Il faut savoir que cela ne concerne pas que les voitures dont la grande course aura lieu les 17 et 18 juin 2017. Les 24 heures du Mans, c’est aussi une course toute aussi folle pour les motos. La 40ème édition a d’ailleurs lieu les 15 et 16 avril 2017.

Le site lemans.org propose d’acquérir en ligne les billets d’entrées pour ces rendez-vous sportifs. Une billetterie 2.0 qui avait de sérieuse fuite jusqu’à ce 6 avril 2017. Quelle ne fût pas mon étonnement quand, en février 2017, je constatais qu’il était possible d’accéder aux billets et factures des autres clients.

Accès aux billets et consultation des factures clients

Plusieurs lecteurs venaient de m’alerter de cette fuite dès plus gênante. D’abord l’accès aux billets qu’un pirate aurait pu reproduire et revendre. « Le Client demeure responsable de l’utilisation qui est faite de son ou de ses e-tickets » explique les billets. Je fais comment si le site est responsable de la fuite et qu’un malveillant a pris la main sur mon billet numérique ?

Le second problème, l’accès aux factures, avec identités des acheteurs, adresses postales … Comme je le fais depuis plus de 20 ans avec le protocole ZATAZ, une alerte a été envoyée à l’entreprise en charge de ce beau rendez-vous de la mécanique, l’Automobile Club de l’Ouest (ACO). Le premier courriel, car il y en a eu plusieurs sans réponse, indiquait clairement que je n’étais aucunement intéressé par la moindre entrée gratuite. Le second courriel, toujours à destination de l’adresse proposée sur ticket.lemans.org contact est restée, elle aussi, dans le run-off. ZATAZ travaille étroitement, dés qu’il s’agit d’une fuite de données, avec la Commission Informatique et des Libertés, la CNIL. Il aura fallu l’intervention de la déesse des données « Catbodua* » pour qu’enfin, le drapeau à damier se pose sur cette fuite et qu’un drive-through bouche définitivement les données fuiteuses. Heureusement, aucune données bancaires n’étaient concernées. Il serait bon, dans le processus mis en place dans la boutique d’avoir un accès sécurisé, en https !

Consultation des factures clients : Izaru, Kikazaru et Iwazaru**

Il est dommageable que cette entreprise est prise de haut les alertes envoyées par ZATAZ, mais aussi par d’autres utilisateurs. L’accès aux données étaient accessibles sans le moindre identifiant, sans le moindre mot de passe. Il suffisait de changer le numéro de client, dans l’adresse Internet (url), pour accéder aux données en question [ID=92829 ; ID=92828 ; …].

Dommageable aussi pour les détenteurs de billets. Rien n’empêche de penser, maintenant, que des escrocs connaissaient la faille et l’ont exploité pour revendre des billets ne leur appartenant pas.

Ce type de fuite d’informations privées et sensibles coutera, à partir du 25 mai 2018, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire de la société fautive. J’invite les entreprises, petites et grandes à se pencher sérieusement sur les régles de la RGPD, le Règlement européen sur la protection des données.  Ne pas oublier à ces dépenses le coût des recommandés avec accusé réception pour chaque client impacté. Selon le chiffre de ma propre facture et billet, plus de 370.000 personnes ont pu être impactées par cette fuite. Le 25 mai 2018, cela coûtera 379.000 X 8 euros (par courriel) à l’ACO.

Bref, ne pas écouter les alertes, ne pas prendre au sérieux le RGPD, coûtera très cher. Le protocole ZATAZ sera là pour le rappeler et fera de manière à ce que les internautes soient écoutés et protégés en alertant la CNIL. La CNIL est là pour vous aider à vous mettre en conformité avec la RGPD.

* Déesse combattante Gauloise.

** Les trois singes : ne voit pas, n’entend pas, ne dit rien.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.