19/04
Des centaines de milliers de contrats Bouygues Telecom accessibles en ligne, l’opérateur a rapidement corrigé le tir
Plus de peur que de mal. Des centaines de milliers de contrats de services clients de Bouygues Telecom étaient accessibles en ligne. Alerté, l’opérateur a très vite bouché la brèche.
C’est via le protocole d’alerte mis en place par le site Zataz, nos confrères spécialistes dans la sécurité informatique, que Bouygues Telecom a eu connaissance du problème. Lorsqu’un client souhaitait récupérer un document administratif, le site de l’opérateur générait un lien vers un PDF (qui donc contenait toutes les informations personnelles du client, nom, adresse mail et postale, numéro de téléphone, etc.).
L’URL en question contenait un numéro correspondant au document demandé, en remplaçant ou en modifiant sensiblement ce numéro il était possible d’avoir accès aux documents d’autres clients et donc à l’ensemble de leurs données personnelles qui y figuraient.
“Chaque url proposant le PDF affichait le numéro du document généré. Si 12345 fournissait le PDF du contrat d’un client A, 123 proposait l’internaute B, 12347, un Français C, etc. Ainsi, un pirate aurait très bien pu automatiser la collecter. Avec un script en python modifiant l’IP et l’ID à chaque connexion, par exemple” explique Damien Bancal, le fondateur de Zataz.com.
Très rapidement après en avoir eu connaissance, Bouygues Telecom a corrigé le tir et la faille n’était plus exploitable. Par chance aucun numéro de cartes bancaires n’était accessible via cette manoeuvre et aucun pirate n’a pu exploiter le problème avant l’alerte Zataz.