0899379170 code service 92829 *
une fuite de données

Une fuite de données de trop pour la SNCF qui fait fermer le site TERGrandEST

Après la correction d’une fuite de données, sans grand conséquence pour le public, sur le site web TER Grand EST, la SNCF décide de fermer le portail. Tout n’avait pas été corrigé ! Le plus grave était encore accessible.

Je vous révélais le 11 septembre 2017 d’un problème d’une fuite de données sur le site TerGrandEst.fr. Un problème rapidement pris en main par le CERT SNCF et le prestataire en charge de ce portail.

Seulement, l’intégrité du site et des données n’étaient toujours pas effective lors de cette correction. Je peux le révéler aujourd’hui, d’autres problèmes étaient toujours accessibles, dont l’accès aux identifiants de connexion (login et mot de passe) au serveur FTP de gestion du portail.

Autant dire qu’un pirate, avec ce genre de données dans les mains, auraient pu faire de gros dégâts, comme la diffusion d’un code malveillant via de faux documents (horaires de train) par exemple.

Une fois alerté pour la seconde fois par le Protocole d’Alerte de ZATAZ, le CERT SNCF a fait fermer le portail “En considération de la criticité de la faille, nous avons demandé au responsable du site de fermer le site […] La faille va être corrigée avant réouverture du site. Sinon, le site sera tout simplement supprimé.” Une page de maintenance a été installée.

Au sujet de l'auteur

Damien Bancal – Fondateur de ZATAZ – Journaliste – Spécialiste des sujets liés à la Cyber Sécurité depuis plus de 20 ans. Premier article en 1989 dans le mensuel “Amstar & CPC”. Fondateur de ZATAZ, ZATAZWEB.tv & datasecuritybreach.fr. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, La Voix du Nord, Tilt, Entrevue, l’Echo des Savanes, Le Canard Enchaîné, France 3, …). Auteurs et coauteurs de 6 livres dont “Pirates & hackers sur Internet” (Ed. Desmart) ; “Hacker, le 5ème pouvoir” (Ed. Maxima). Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l’Anti-Intrusion des Systèmes Informatiques (CDAISI) de l’Université de Valenciennes ; pour l’Ecole Européenne de Guerre Economique de Versailles. Réserviste Cyber Défense.

Laisser un commentaire

*