Fuite de mails sur le portail touristique des Gites de France

Fuite de mails ! Un « bug » sur le site officiel des Gites de France permettait d’accéder à l’ensemble des adresses e-mails des personnes inscrites sur le portail touristique.

La fuite de mails, et une fuite ! Le portail officiel Des Gîtes de France propose des milliers d’adresses de gîtes, bons plans et la possibilité, entre autres, d’acquérir le Label qualité des Gîtes de France. Comme le rappel la marque, Gîtes de France est le leader français et européen de l’hébergement chez et par l’habitant avec 60 000 hébergements et 47 000 propriétaires, et 3e marque de tourisme la plus connue des Français. Bref, une cible potentielle pour les pirates et autres arnaqueurs du web.

Fuite de mails : plus de 2 millions d’adresses concernées

Il a été découvert la possibilité d’accéder à l’ensemble des adresses mails des internautes inscrits sur le site, soit selon mes constatations, plus de 2.5 millions d’adresses. Via une adresse web (url) officiel de l’entreprise touristique, adresse proposant un numéro d’identification (ID), il suffisait de modifier ce numéro id du membre inscrit sur le portail pour accéder à l’adresse mail d’un autre inscrit. L’entreprise a été alertée par mail et Twitter. La CNIL a été saisie du problème à la vue du nombre de mails de Français concernés.

Fuite de mails : une fuite d’information fréquente

Un bug que l’on rencontre sur de nombreux sites, comme j’ai pu vous le montrer, par exemple, avec InfoGreffe ou encore Bouygues Telecom.

D’abord, si l’idée de base est louable, afficher l’adresse électronique du propriétaire dès qu’il clic sur une url est dangereux. Un lien proposé dans un courriel. Pourquoi ? Le danger apparait quand l’id de l’url peut se modifier en incrémentant, par exemple, le chiffre proposé dans l’id.

Ensuite, c’est ce problème qui est apparu pour Gîtes de France. Si « URL/ID=12345 » fournissait l’adresse mail d’un internaute A, 12346 proposait le courriel d’un internaute B, 12347, internaute C, etc. Un pirate aurait très bien pu automatiser la collecter : Un script en python, modifiant l’IP et l’ID à chaque connexion. Alertée, l’entreprise a très rapidement pris en main le problème.

Données pour les rois du scam

Pour ce qui est de ce genre d’information, une données parfaite pour les rois du scam par exemple. J’ai croisé, plusieurs fois, des propriétaires de chambres d’hôtes ou Gîtes contactés par de mystérieux futurs mariés. L’une des escroqueries consiste à envoyer un chèque pour une location. Le montant du chèque est supérieur au montant de la location. L’escroc propose de recevoir le surplus sur un compte bancaire. Bien évidement le chèque est faux, ou volé. L’hôte sera de sa poche pour rembourser la banque ! Le pirate ayant retiré le liquide plus vite que le contrôle du chèque par une institution bancaire.

Bref, autant dire que posséder le mail de « loueur », du pain béni pour les escrocs. Alertée par mail et Twitter, l’entreprise a pris en charge le problème. Pour rappel, à partir du 25 mai 2018, et la mise en action du nouveau Règlement sur les Données Privées (RGPD), les entreprises « fuiteuses » auront obligation d’alerter la CNIL et les clients concernés. Entreprises qui risqueront une amende de 2 à 4% de leur chiffre d’affaire.

Enfin, si vous souhaitez savoir si votre mail et/ou vos données fournies sur le web sont dans les mains de pirates informatiques, ZATAZ vous propose un service de veille. A la moindre découverte, une alerte dans la seconde.

Mise à jour 09/03/2018

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.