Des centaines de milliers de contrats Bouygues Telecom accessibles en ligne, l’opérateur a rapidement corrigé le tir

Plus de peur que de mal. Des centaines de milliers de contrats de services clients de Bouygues Telecom étaient accessibles en ligne. Alerté, l’opérateur a très vite bouché la brèche.

C’est via le protocole d’alerte mis en place par le site Zataz, nos confrères spécialistes dans la sécurité informatique, que Bouygues Telecom a eu connaissance du problème. Lorsqu’un client souhaitait récupérer un document administratif, le site de l’opérateur générait un lien vers un PDF (qui donc contenait toutes les informations personnelles du client, nom, adresse mail et postale, numéro de téléphone, etc.).

L’URL en question contenait un numéro correspondant au document demandé, en remplaçant ou en modifiant sensiblement ce numéro il était possible d’avoir accès aux documents d’autres clients et donc à l’ensemble de leurs données personnelles qui y figuraient.

Chaque url proposant le PDF affichait le numéro du document généré. Si 12345 fournissait le PDF du contrat d’un client A, 123 proposait l’internaute B, 12347, un Français C, etc. Ainsi, un pirate aurait très bien pu automatiser la collecter. Avec un script en python modifiant l’IP et l’ID à chaque connexion, par exemple” explique Damien Bancal, le fondateur de Zataz.com.

Très rapidement après en avoir eu connaissance, Bouygues Telecom a corrigé le tir et la faille n’était plus exploitable. Par chance aucun numéro de cartes bancaires n’était accessible via cette manoeuvre et aucun pirate n’a pu exploiter le problème avant l’alerte Zataz.

 

Publié le par
Partager sur Google + Partager sur Twitter Partager sur Facebook Alertes mail Partager
COMMENTAIRES DES LECTEURS (9)
Posté le 09 mars 2018 à 18h40

aucun pirate n’a pu exploiter le problème avant l’alerte Zataz

Et ils se basent sur quoi pour dire cela ?

Posté le 09 mars 2018 à 18h51

c'est vraiment limite pour un tel groupe d'avoir un tel niveau de sécurité, parce que l'url des pdf qui se suivent là c'est du niveau mettre des mots de passe 1234...je sens que l'équipe qui gère la sécurité va se faire remonter les bretelles^^

Posté le 09 mars 2018 à 19h34
fiber_user a écrit
c'est vraiment limite pour un tel groupe d'avoir un tel niveau de sécurité, parce que l'url des pdf qui se suivent là c'est du niveau mettre des mots de passe 1234...je sens que l'équipe qui gère la sécurité va se faire remonter les bretelles^^

Tu parles, la direction en a rien à foutre de ce genre de choses. Et je suis d'accord, c'est n'importe quoi cette façon de gérer.

Posté le 09 mars 2018 à 21h25
christophedlr a écrit
 Tu parles, la direction en a rien à foutre de ce genre de choses. Et je suis d'accord, c'est n'importe quoi cette façon de gérer.

mais qu'est ce que tu en sais ?

Posté le 09 mars 2018 à 21h53

Ahhhh, la boulette ! Certainement le fait d'un stagiaire ? yell

Posté le 09 mars 2018 à 21h57

Qui ça étonne ?

Pas moi en tout cas.

Posté le 09 mars 2018 à 22h17
amazon a écrit
christophedlr a écrit  Tu parles, la direction en a rien à foutre de ce genre de choses. Et je suis d'accord, c'est n'importe quoi cette façon de gérer. mais qu'est ce que tu en sais ?

Parce que beaucoup d'entreprises font le même genre de truc à la con.


reno69
Envoyer message
 
20561 points
Posté le 10 mars 2018 à 00h53
ersagos a écrit
aucun pirate n’a pu exploiter le problème avant l’alerte Zataz Et ils se basent sur quoi pour dire cela ?

  Bonjour, ersagos c'est juste pour rassurer les clients ... !!!

  wink

Posté le 10 mars 2018 à 12h03

Si la sécurité est la même que sur  ses chantiers, il y a de quoi se faire du souci...

RUBRIQUE COMMENTAIRE
Bonjour , avant de poster, veuillez vous assurer d'avoir pris connaissance des règles.

X

Quatre consignes avant de réagir :

  • Rester dans le cadre de l'article. Pour des discussions plus générales, vous pouvez utiliser nos forums.
  • Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
  • Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
  • Pour toute remarque concernant une faute dans l'article, merci de nous contacter exclusivement par le formulaire "signaler une erreur" lors de la sélection du texte de l'article (les commentaires portants sur ce sujet seront systématiquement supprimés).