Fuite de factures pour ELLIA et EBUZZING

Posted On 11 Oct 2014

Les fuites de données n’arriveraient qu’à nos voisins américains ? Ils ont au moins le mérite de les avouer. ZATAZ fait corriger deux problème de confidentialités des données visant une importante régie publicitaire et le premier opérateur de parking de gares françaises.

JP Morgan Chase : 83 millions de clients ; Michael’s : 70 millions de clients ; Home Depot : 56 millions ; Le département de la santé ; Coca Cola ; Target ; UPS ; ADOBE ; … Des entreprises américaines obligées de communiquer sur la fuite de données les concernant. En France, à part Orange en début d’année (et encore, l’entreprise aurait mieux communiqué avec la CNIL, l’information n’aurait pas été rendue publique, ndlr), une quarantaine de Centres Hospitaliers, il semble qu’aucune données clients ne se retrouvent sur la toile par erreur, via un bug ou un piratage informatique. Si vous lisez ZATAZ, vous savez que malheureusement cela arrive très, trop souvent. En mai dernier nous vous révélions le cas de Show Room Privée. Voici les deux derniers cas en date que le protocole d’alerte zataz a traité ses derniers jours. Ils ne visent pas des dizaines de millions de clients, mais à l’échelle de notre pays, les chiffres devraient pourtant faire réfléchir.

500.000 factures en accès libre

EFFIA est le premier opérateur de parking public de France. Sa mission, gérer pour plus 260 parkings pour plus de 140 municipalités. Effia gère aussi les places de stationnement des espaces dédiés autour des gares. Un partenaire unique de la SNCF. Les milliers de clients (+25000) peuvent réserver leur place via un site oueb dédié, Resaplace.com. Par exemple, vous souhaitez vous stationner pour visiter le Mondial de l’automobile ? Simple, vous accédez au portail ResaPlace, choisissez date, heure et parking. Le site vous propose ensuite de télécharger votre facture au format PDF. Il y a encore quelques jours, le client curieux pouvait tout à loisir, sans restriction, accéder à l’ensemble des factures appartenant aux autres utilisateurs. Une manne d’informations loin d’être négligeable. Plus de 500.000 factures, selon l’indication même du site, auraient pu donner de quoi mettre en place une belle escroquerie dans les mains d’un malveillant. A la décharge de l’entreprise, cette dernière aura été prompte à répondre au protocole d’alerte de zataz, à corriger et nous a indiquer les réponses liées aux solutions mises en place pour protéger les clients. Heureusement, pas de données bancaires accessibles.

Et beaucoup plus encore…

Second cas, plus grave encore, car il touchait l’intégralité des clients Français, mais aussi les utilisateurs internationaux de la régie publicitaire EBuzzing. Ici aussi, l’intégralité des factures étaient accessibles en quelques clics de souris. Stratégiques, car les factures permettaient, en plus d’avoir les informations sur les webmasters (mettre une identité et une adresse physique sur un site web, ndlr), connaitre le trafic, les montants versés. EBuzzing a corrigé rapidement cette fuite à la suite de notre protocole d’alerte et nous a expliqué les actions menées pour que cela ne se reproduisent plus. « Tous les documents internes ou factures nécessitent maintenant des droits spécifiques, confirme le service communication de la régie. C’est une récente mise à jour qui a fait sauter les contrôles de sécurité et vous êtes assuré que nous travaillons dessus en priorité. »

D’ici 2016, l’Europe va imposer aux entreprises qui « fuitent » sur le web d’en alerter leurs clients, comme c’est le cas aus États-Unis. Une excellente idée que zataz prône depuis 19 ans, histoire de permettre aux victimes de prêter attention à d’éventuelles sollicitations douteuses réalisées à partir de leurs données volées ou perdues.

Que faire pour récupérer un nom de domaine piraté ?

La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.