Fuite de données pour AVIS

Posted On 23 Mar 2015

La société AVIS, spécialisée dans la location de véhicules, ne protège pas parfaitement les données que lui fournissent les internautes.

Mise à jour 26/03/2015 : L’agence de presse d’AVIS a contacté la rédaction. Nous avons pu lui fournir les éléments qui ont permis de corriger la fuite très rapidement.

Mise à jour 02/04/2015 : Nous en savons plus sur cette étonnante fuite de données téléphoniques. Plus de peur que de mal. Les numéros de téléphones, nombreux, qui apparaissaient appartenaient aux agences de voyages/entreprises qui utilisaient le service pour réserver des voitures pour leurs clients.

Le 8 mars dernier, le protocole d’alerte de ZATAZ.COM a tenté de joindre, sans résultat pour le moment, le service presse du loueur de véhicules, AVIS. Une demande pourtant explicite à l’agence de communication « Le Public System » a qui nous indiquions alors chercher « à joindre un responsable de chez AVIS au sujet d’une fuite de données concernant des clients. » Nous n’expliquerons pas ou, ni comment, il nous est possible de lire les numéros de téléphones laissés par les internautes souhaitant avoir un devis pour la location d’une voiture proposée par AVIS. Imaginez un pirate, avec ce genre de données. D’autant plus qu’il est possible de connaitre le choix d’une période de réservation et le type de véhicule souhaité par l’internaute.

Voiture, date de location et téléphone accessibles d’un simple clic de souris.

Le malveillant n’a plus qu’à téléphoner à sa potentielle victime et lui soutirer d’autres informations plus sensibles encore, en se faisant passer pour l’entreprise au logo rouge. Dans notre test, il nous aura fallu à peine 30 secondes pour remonter à l’identité de trois clients. Il nous a suffi de rentrer le numéro de téléphones dans Google pour nous retrouver avec les adresses postales des demandeurs de devis. Il était aussi possible de retrouver l’adresse via une fuite de données, corrigée depuis, sur le site Degrouptest. Nous restons à la disposition d’AVIS pour lui fournir les informations qui lui permettront de boucher ce pneu crevé.

Références Directes non Sécurisées à un Objet

Le pirate pourra avoir accès à n’importe quel compte, mais par l’intermédiaire de l’URL. Il y a un risque si celle-ci affiche en clair le numéro d’identifiant du compte connecté, et que le site n’a pas assez contrôlé ses droits de session. L’attaquant changera alors simplement le numéro d’identifiant à la fin de l’URL par exemple de 34 à 35, et aura accès aux informations du compte 35 qui n’est pas le sien.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.