Fuite de données colmatée pour le site officiel des 24 heures du Mans
Accès aux tickets, consultation des factures clients : le site des 24 heures du Mans vient de boucher une fuite de données.
La consultation des factures clients, un problème trop fréquent sur Internet ! Les 24 heures du Mans, qui n’a jamais entendu parler de cette prestigieuse course automobile. Il faut savoir que cela ne concerne pas que les voitures dont la grande course aura lieu les 17 et 18 juin 2017. Les 24 heures du Mans, c’est aussi une course toute aussi folle pour les motos. La 40ème édition a d’ailleurs lieu les 15 et 16 avril 2017.
Le site lemans.org propose d’acquérir en ligne les billets d’entrées pour ces rendez-vous sportifs. Une billetterie 2.0 qui avait de sérieuse fuite jusqu’à ce 6 avril 2017. Quelle ne fût pas mon étonnement quand, en février 2017, je constatais qu’il était possible d’accéder aux billets et factures des autres clients.
Accès aux billets et consultation des factures clients
Plusieurs lecteurs venaient de m’alerter de cette fuite dès plus gênante. D’abord l’accès aux billets qu’un pirate aurait pu reproduire et revendre. « Le Client demeure responsable de l’utilisation qui est faite de son ou de ses e-tickets » explique les billets. Je fais comment si le site est responsable de la fuite et qu’un malveillant a pris la main sur mon billet numérique ?
Le second problème, l’accès aux factures, avec identités des acheteurs, adresses postales … Comme je le fais depuis plus de 20 ans avec le protocole ZATAZ, une alerte a été envoyée à l’entreprise en charge de ce beau rendez-vous de la mécanique, l’Automobile Club de l’Ouest (ACO). Le premier courriel, car il y en a eu plusieurs sans réponse, indiquait clairement que je n’étais aucunement intéressé par la moindre entrée gratuite. Le second courriel, toujours à destination de l’adresse proposée sur ticket.lemans.org contact est restée, elle aussi, dans le run-off. ZATAZ travaille étroitement, dés qu’il s’agit d’une fuite de données, avec la Commission Informatique et des Libertés, la CNIL. Il aura fallu l’intervention de la déesse des données « Catbodua* » pour qu’enfin, le drapeau à damier se pose sur cette fuite et qu’un drive-through bouche définitivement les données fuiteuses. Heureusement, aucune données bancaires n’étaient concernées. Il serait bon, dans le processus mis en place dans la boutique d’avoir un accès sécurisé, en https !
Consultation des factures clients : Izaru, Kikazaru et Iwazaru**
Il est dommageable que cette entreprise est prise de haut les alertes envoyées par ZATAZ, mais aussi par d’autres utilisateurs. L’accès aux données étaient accessibles sans le moindre identifiant, sans le moindre mot de passe. Il suffisait de changer le numéro de client, dans l’adresse Internet (url), pour accéder aux données en question [ID=92829 ; ID=92828 ; …].
Dommageable aussi pour les détenteurs de billets. Rien n’empêche de penser, maintenant, que des escrocs connaissaient la faille et l’ont exploité pour revendre des billets ne leur appartenant pas.
Ce type de fuite d’informations privées et sensibles coutera, à partir du 25 mai 2018, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire de la société fautive. J’invite les entreprises, petites et grandes à se pencher sérieusement sur les régles de la RGPD, le Règlement européen sur la protection des données. Ne pas oublier à ces dépenses le coût des recommandés avec accusé réception pour chaque client impacté. Selon le chiffre de ma propre facture et billet, plus de 370.000 personnes ont pu être impactées par cette fuite. Le 25 mai 2018, cela coûtera 379.000 X 8 euros (par courriel) à l’ACO.
Bref, ne pas écouter les alertes, ne pas prendre au sérieux le RGPD, coûtera très cher. Le protocole ZATAZ sera là pour le rappeler et fera de manière à ce que les internautes soient écoutés et protégés en alertant la CNIL. La CNIL est là pour vous aider à vous mettre en conformité avec la RGPD.
* Déesse combattante Gauloise.
** Les trois singes : ne voit pas, n’entend pas, ne dit rien.