Fuite de données personnelles pour le voyagiste Selectour

Posted On 13 Juil 2018

En s’inscrivant sur le site Internet du voyagiste Selectour, ZATAZ a pu constater qu’il était possible d’accéder aux données privées et sensibles de plusieurs centaines de milliers de clients.

Le RGPD, vous savez le Règlement Européen qui est dans la bouche de tous ces professionnels de l’informatique/droit depuis des mois et qui, pourtant, comme ZATAZ peut vous en parler depuis des années, devrait être dans toutes les pensées numériques et juridiques des entreprises depuis des années.

Le Réglement Général des Données Personnelles doit imposer plusieurs règles strictes et précises, comme s’assurer de la protection des données clients. Informations à sécuriser, non accessibles à des personnes/outils non autorisés. Bref, une règle qui s’applique déjà avec la Loi Informatique et des Libertés de Dame la CNIL. Pour être honnête, je croise énormément de grandes entreprises prêtes, ou du moins, certaines d’être au taquet. Plus compliqué par les PME/TPE : pas les moyens, pas les hommes, pas le temps. Seulement, à croire être intouchable, certaines grandes entreprises semblent oublier que l’audit de leurs services informatiques n’est pas un luxe, mais une obligation comme je vais vous le démonter.

« – Est-ce que je rêve ?
– Non…
– J’m’en doutais. Si j’rêvais y’aurait du rhum !« *

Les vacances approchent est vous êtes très certainement comme moi, en train de regarder où passer quelques jours de congés, au soleil. Bref, ambiance « no shoes, no news« . Je virevolte donc de site web en site web. Je m’inscris (toujours avec une adresse mail et un mot de passe dédiés) et lance mes recherches. Seulement, sur le site Selectour, j’ai pu constater voilà quelques semaines un serieux problème pour MES données, les informations de mes proches et celles de plusieurs centaines de milliers de clients de l’opérateur touristique.

📝Alerte @zataz n’070420181931 à destination de @Selectour 🔐 https://t.co/9rMpRZL97C #cybersecurite

— Protocole_ZATAZ (@Protocole_ZATAZ) 7 avril 2018

La faille ? Simple comme un clic de souris. J’ai d’abord ouvert un compte client. Il suffit de rentrer un mot de passe et un mail et me voilà membre de la communauté « Selectour ». Quand je surfe, je monitoring via des outils proposés par Firefox. Cela indique les urls appelés, les API employés… et c’est ici qu’est apparu mon problème. Un API, un outil de gestion de l’espace web m’a affiché… mes données. Rien de bien compliqué. Mon prénom est apparu dans un URL. Accolé à ce prénom, l’intégralité des informations … des voyages des autres clients prénommés Damien ! Autant dire que mettre un autre prénom dans l’url n’était qu’un jeu d’enfant. Un pirate, s’il avait eu écho de cette possibilité n’avait plus qu’à égrainer les prénoms de son choix et collecter les informations des clients.

« – Merci du fond du cœur Jack !
– Oh, mais de rien !
– Pas toi, c’est le singe qu’on a appelé Jack ! »*

La fuite était conséquente, d’autant que cet API a d’autres accès sensibles et particulièrement mals venus. Les API ne sont absolument pas sécurisées. En plus des centaines de milliers de clients listés, l’API recrachait, toujours sans aucune sécurité, les vendeurs (quelques centaines), avec toutes les données personnelles collectées lors d’un contrat avec le voyagiste (téléphones, mails, …). Les contacts, les contrats, mais aussi la situation de famille, et des informations très sensibles, comme les numéros des passeports : date d’émission, pays, numéro …

Alertée via 2 courriels et un message Twitter, l’entreprise est restée sourde aux protocoles ZATAZ [N’070420181931]. Comme me l’a précisé l’internaute qui a découvert le problème « La correction n’est pas triviale et ne peut être faite rapidement, et certainement pas sans interruption de service« . Une période certainement critique avec les ventes de voyages pour les vacances.

Ce qui est certain pour mon cas, je ne serai plus client ! Et c’est pourquoi je ne vous parle de cette fuite qu’en ce début juillet. La CNIL a été mise dans la boucle et a fait corriger le problème. Pour le moment, les clients n’ont pas été alertés par Selectour pour les informer de cette fuite et de sa correction. Attendons de voir l’avis de la CNIL, s’il est rendu public, dans quelques mois !

Pour finir, cette fuite a été découverte début avril, avant la mise en place du RGPD.

* Pirates des Caraïbes, la malédiction du Black Pearl

Mise à jour 16/07/2018

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.