colis

Relais Colis corrige un problème sur son site web

Le 1er réseau alternatif de livraison aux particuliers, Relais Colis, vient de corriger un problème sur son site web. Il était posssible d’accéder à l’identité de clients.

Mise à jour 03/01/2019 : Relais Colis a contacté ZATAZ. La fuite aura disparu moment de la lecture de cette alerte.

Mise à jour 07/01/2019 : Relais Colis est revenu, en toute transparence, sur ses actions cybersécurité. Lire à la suite de l’article.

45 ans d’expérience, 5 600 relais en France et en Belgique, 39 millions de paquets, boites … acheminés par an. Autant dire que Relais Colis n’est pas né de la dernière pluie. Cependant, cette entreprise a un problème de confidentialité concernant ses clients. Elle devient la première alerte du Protocole ZATAZ de l’année 2019.

Via un espace web non sécurisé (pas de demande de mot de passe, d’identification, fonctionne avec et sans HTTPS) que je ne citerai pas ici, car non encore corrigé, il est possible d’accéder à des informations personnelles de clients. Informations pouvant devenir sensibles dans de mauvaises mains.

Via un lien reçu par courriel, et en cliquant sur ce dernier, il est possible de faire apparaître un menu affichant les « Commandes effectuées le …« . Seulement, chaque date cache une information protégée par le Règlement Général des Données Personnelles (RGPD).

Bilan, identité des clients, numéro de la commande, la date de gestion, et plus gênant à mon sens, l’adresse de la boutique qui réceptionne « la boite ». Autant dire que pour un escroc, il y a suffisamment d’informations pour faire main basse sur l’objet en transit.

Plusieurs internautes ont tenté d’alerter l’entreprise, sans succès. La page liée aux données personnelles date d’avant mai 2018 et la mise en place du RGPD. Aucune possibilité, par exemple, de contacter le DPO de l’entreprise.

La page contact est tout aussi illisible et inutile pour alerter d’un problème de sécurité informatique. Tout comme la FAQ et l’espace « Signalement Fraude« .

ZATAZ a pu constater que la fuite courait depuis plusieurs mois. Aucunes données bancaires ne sont concernées par cette fuite d’information personnelle. la CNIL a été informée.

Mise à jour 07/01/2019 – Relais Colis a pris rapidement en charge le problème. En toute transparence, Relais Colis est revenu sur un bug très rapidement corrigé.

« Sachez que nous prenons très au sérieux les questions relatives à la protection des données personnelles et respectons les exigences du Règlement Général des Données Personnelles (RGPD). De même, toutes les informations ou données personnelles sont traitées et consultables dans le respect des standards de la pratique des règles de sécurité et de confidentialité informatique.

A ce titre, RELAIS COLIS a été proactif dans la mise en place de cette conformité. C’est pourquoi, les pages de notre site web sont antérieures à mai 2018 puisque comme vous le savez la réglementation date de 2016 pour une mise en application en mai 2018.

Aussi, les informations personnelles contenues dans les pages de tracking sont travaillées avec les enseignes, avec lesquelles nous effectuons notre prestation de service, afin de faciliter la lecture de la traçabilité des colis par le client final.

Sachez nos points Relais Colis® sont des commerçants indépendants qui exercent à titre accessoire cette activité de point de retrait de colis. Il nous semble donc important de rappeler au client final l’adresse du point Relais Colis® sélectionné au moment de la commande ainsi que ses horaires d’ouverture pour que le destinataire du colis puisse se déplacer dans le point Relais Colis® de destination sélectionné et retirer son colis selon les horaires d’ouverture du point Relais Colis® en question. »

Concernant les deux dysfonctionnements remontés

Sur le http au lieu de https : « suite à une mise en production de nouvelles prévenances dans le cadre de la « peak period » de cette année, il y a eu une régression lors du déploiement. Les liens qui étaient en https sont passés en http, ce que nous avons corrigé dès connaissance du problème. »

Sur le suivi de colis : « ce suivi ne concerne que des cas particuliers liés à des informations incorrectes envoyées par nos donneurs d’ordres (enseignes clientes). En effet, certaines de nos enseignes nous envoient le même numéro de client pour des clients différents, ce qui dans ce cas génère le dysfonctionnement remonté. »

« En interne, nous avions par ailleurs déjà alerté nos enseignes clientes concernées sur le sujet. Il faut savoir que les liens de tracking n’ont une durée de vie que très courtes et ne concernent que les expéditions qui n’ont pas un statut définitif, à savoir « livré » ou « retourné ». Nous avons modifié nos pages pour que n’apparaissent plus les noms et prénoms des clients et nous avons réécrites les requêtes nécessaires au tracking pour que ces cas particuliers précisés ci-dessus soient gérés.

Nous souhaitons donc rassurer sur le fait qu’il n’y a pas eu de fuites de données personnelles. » Un élément très important, comme je l’indiquais dans l’article, qui a d’ailleurs été repris (copié/volé) par de nombreux sites tels que CLUBIC. Uniquement l’identité du client et l’adresse de réception du colis.

De même, seul le destinataire du colis peut venir retirer son colis dans le point Relais Colis® de destination. En dehors du destinataire du colis, personne ne peut se présenter en lieu et place de ce dernier et ce, pour des raisons évidentes de règles de sécurité au moment du retrait du colis dans le point Relais Colis® concerné. En effet, le commerçant indépendant ne peut livrer le colis que sous présentation de la pièce d’identité vérifiée du destinataire du colis concerné. » Sur ce point, j’explique comment les commerçants doivent redoubler de prudence face à une pièce d’identité présentée. Sans faire dans la « paranoïa », je vous invite à en réclamer 2. »

Informer, sécuriser

Sur le site « www.relaiscolis.com », le nécessaire est proposé pour que chaque utilisateur puisse contacter l’enseigne concernant toute question relative au RGPD, via le lien qui se trouve dans l’onglet intitulé « Informations Légales » puis dans le sous-onglet intitulé « Politique de Confidentialité ». L’utilisateur peut directement adresser sa requête à : [email protected]. « Sachez que nous n’avons réceptionné aucune alerte concernant les cas mentionnés dans votre article sur l’adresse mail « [email protected] » alors que sur cette même adresse mail nous avons été amenés à traiter des demandes liées aux questions relatives à la protection des données personnelles. L’onglet « Signalement Fraude » que vous citez dans votre article a un tout autre usage et ne concerne en rien l’enjeu de la protection des données personnelles. En effet, nous avons été victime de fausses publications et courriers d’embauches sous le nom RELAIS COLIS et avons souhaité que les destinataires puissent nous signaler ces éventuels abus. Par ailleurs, nous confirmons traiter aucune donnée sensible comme notamment les données bancaires des utilisateurs. »

Pour conclure, Relais Colis a été efficace dans son action d’action/prévention à la suite du Protocole d’Alerte ZATAZ. Un bug qui rappelle aussi l’importance d’un audit de cyber sécurité, régulier. Des tests qui peuvent éviter ce type de « bug » et voir ce dernier finir entre de mauvaises mains.

Note aux copieurs, comme vous lisez ZATAZ sans citer, pour remplir vos pages, n’oubliez pas de mettre à jour votre « papier ».

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr
  1. ANDRE Reply

    Après la diffusion de votre alerte, ayant quelques envois en cours par Relais Colis, je me suis empressée de consulter le suivi de mes colis.
    Je peux vous garantir que ces informations personnelles n’apparaissent plus sur le suivi et ce depuis le 02/01 vers 10h.
    J’ai également remarqué que je ne pouvais plus accéder au suivi de mes autres colis à partir du suivi d’un de mes colis.
    Je ne connais rien à RGPD mais en tout cas Relais Colis a corrigé rapidement après avoir eu connaissance de ce problème.

  2. AS Service Reply

    Relais colis c’est fait piraté son site en disfonctionnement du 17 au 25 Janvier, 18 colis payer le 19/01 et jamais reçu les étiquettes d’envoi, 8 appel au SAV avec 2 fois 25 minutes d’attente et un délais de traitement de 1 mois pour le remboursement, Donc très franchement Relais colis a évité, c’est fini pour moi et notre entreprise, quel perte de temp avec des mauvais élément c’est dingue… A fuir

Répondre à AS Service Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.