Nous joindre par : 0899274448*
Info Greffe

Fuite des adresses mails des clients pour le site Info greffe

Le site Info Greffe souffre d’un problème de conception. Un bug qui permet de mettre la main sur l’ensemble des adresses électroniques des clients. La CNIL alertée.

Mise à jour : Quelques heures après la diffusion de cet article, le site Info Greffe a été corrigé. Explication de la fuite en bas de la page.

Un lien Info Greffe … et c’est le bug ! Premièrement, je n’expliquerai pas pour le moment, comment un pirate, un escroc ou un simple code en python peuvent être capable de récupérer les adresses mails présentes sur le site Info Greffe.

En attendant une correction, prudence aux courriels que vous pourriez recevoir via l’adresse mail enregistrée sur le site Info Greffe. Vous comprenez mieux pourquoi je ne cesse de conseiller de créer une adresse électronique par service exploité. Par exemple [email protected]. Ainsi, en cas de fuite comme c’est le cas ici, vous êtes à même d’identifier la source fuiteuse.

Un problème de confidentialité qui rentrera dans le cadre du nouveau Règlement Général des Données Privées (RGPD) dès le 25 mai 2018. La CNIL a été alertée de cette fuite d’information le 21 janvier 2018.

La fuite …

Un client recevait un mail d’InfoGreffe à la suite d’une formalité effectuée en ligne. Le site web envoyait un courriel au client. Dans ce mail, un lien pour se connecter au compte et suivre et suivre l’avancement de la formalité. (infogreffe.fr/mmbId/XXXXXX/mes-formalites.html). XXXXXX est l’ID numérique du compte.

Le formulaire de login est prérempli avec l’adresse mail du client. Elle est présente dans le code source de la page (var login = …). Ainsi que d’autres informations (code abonné, code client, …). Il suffisait de changer l’ID dans l’URL pour obtenir l’adresse d’un autre client.

Comme l’ID est numérique, il aurait suffit à un pirate de l’incrémenter (à la main, via un script, …) pour obtenir des adresses mails d’utilisateurs.

Des clients qui auraient pu ainsi finir comme cible dans une attaque ciblée de type phishing.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Travaille sur les sujets cybercriminalité/cybersécurité depuis 1992 ; Officie/a officié pour Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ... Premier article en 1989 dans le mensuel "Amstar & CPC" ; Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC) ; Reserviste de l'Education Nationale ; Chroniqueur pour WEO TV et France Bleu Nord.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.