Fuite de données personnelles pour le voyagiste Selectour
En s’inscrivant sur le site Internet du voyagiste Selectour, ZATAZ a pu constater qu’il était possible d’accéder aux données privées et sensibles de plusieurs centaines de milliers de clients.
Le RGPD, vous savez le Règlement Européen qui est dans la bouche de tous ces professionnels de l’informatique/droit depuis des mois et qui, pourtant, comme ZATAZ peut vous en parler depuis des années, devrait être dans toutes les pensées numériques et juridiques des entreprises depuis des années.
Le Réglement Général des Données Personnelles doit imposer plusieurs règles strictes et précises, comme s’assurer de la protection des données clients. Informations à sécuriser, non accessibles à des personnes/outils non autorisés. Bref, une règle qui s’applique déjà avec la Loi Informatique et des Libertés de Dame la CNIL. Pour être honnête, je croise énormément de grandes entreprises prêtes, ou du moins, certaines d’être au taquet. Plus compliqué par les PME/TPE : pas les moyens, pas les hommes, pas le temps. Seulement, à croire être intouchable, certaines grandes entreprises semblent oublier que l’audit de leurs services informatiques n’est pas un luxe, mais une obligation comme je vais vous le démonter.
« – Est-ce que je rêve ?
– Non…
– J’m’en doutais. Si j’rêvais y’aurait du rhum !« *
Les vacances approchent est vous êtes très certainement comme moi, en train de regarder où passer quelques jours de congés, au soleil. Bref, ambiance « no shoes, no news« . Je virevolte donc de site web en site web. Je m’inscris (toujours avec une adresse mail et un mot de passe dédiés) et lance mes recherches. Seulement, sur le site Selectour, j’ai pu constater voilà quelques semaines un serieux problème pour MES données, les informations de mes proches et celles de plusieurs centaines de milliers de clients de l’opérateur touristique.
📝Alerte @zataz n’070420181931 à destination de @Selectour 🔐 https://t.co/9rMpRZL97C #cybersecurite
— Protocole_ZATAZ (@Protocole_ZATAZ) 7 avril 2018
La faille ? Simple comme un clic de souris. J’ai d’abord ouvert un compte client. Il suffit de rentrer un mot de passe et un mail et me voilà membre de la communauté « Selectour ». Quand je surfe, je monitoring via des outils proposés par Firefox. Cela indique les urls appelés, les API employés… et c’est ici qu’est apparu mon problème. Un API, un outil de gestion de l’espace web m’a affiché… mes données. Rien de bien compliqué. Mon prénom est apparu dans un URL. Accolé à ce prénom, l’intégralité des informations … des voyages des autres clients prénommés Damien ! Autant dire que mettre un autre prénom dans l’url n’était qu’un jeu d’enfant. Un pirate, s’il avait eu écho de cette possibilité n’avait plus qu’à égrainer les prénoms de son choix et collecter les informations des clients.
« – Merci du fond du cœur Jack !
– Oh, mais de rien !
– Pas toi, c’est le singe qu’on a appelé Jack ! »*
La fuite était conséquente, d’autant que cet API a d’autres accès sensibles et particulièrement mals venus. Les API ne sont absolument pas sécurisées. En plus des centaines de milliers de clients listés, l’API recrachait, toujours sans aucune sécurité, les vendeurs (quelques centaines), avec toutes les données personnelles collectées lors d’un contrat avec le voyagiste (téléphones, mails, …). Les contacts, les contrats, mais aussi la situation de famille, et des informations très sensibles, comme les numéros des passeports : date d’émission, pays, numéro …
Alertée via 2 courriels et un message Twitter, l’entreprise est restée sourde aux protocoles ZATAZ [N’070420181931]. Comme me l’a précisé l’internaute qui a découvert le problème « La correction n’est pas triviale et ne peut être faite rapidement, et certainement pas sans interruption de service« . Une période certainement critique avec les ventes de voyages pour les vacances.
Ce qui est certain pour mon cas, je ne serai plus client ! Et c’est pourquoi je ne vous parle de cette fuite qu’en ce début juillet. La CNIL a été mise dans la boucle et a fait corriger le problème. Pour le moment, les clients n’ont pas été alertés par Selectour pour les informer de cette fuite et de sa correction. Attendons de voir l’avis de la CNIL, s’il est rendu public, dans quelques mois !
Pour finir, cette fuite a été découverte début avril, avant la mise en place du RGPD.
* Pirates des Caraïbes, la malédiction du Black Pearl
Mise à jour 16/07/2018
Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ