Fuite de mails sur le portail touristique des Gites de France

Posted On 08 Mar 2018

Fuite de mails ! Un « bug » sur le site officiel des Gites de France permettait d’accéder à l’ensemble des adresses e-mails des personnes inscrites sur le portail touristique.

La fuite de mails, et une fuite ! Le portail officiel Des Gîtes de France propose des milliers d’adresses de gîtes, bons plans et la possibilité, entre autres, d’acquérir le Label qualité des Gîtes de France. Comme le rappel la marque, Gîtes de France est le leader français et européen de l’hébergement chez et par l’habitant avec 60 000 hébergements et 47 000 propriétaires, et 3e marque de tourisme la plus connue des Français. Bref, une cible potentielle pour les pirates et autres arnaqueurs du web.

Fuite de mails : plus de 2 millions d’adresses concernées

Il a été découvert la possibilité d’accéder à l’ensemble des adresses mails des internautes inscrits sur le site, soit selon mes constatations, plus de 2.5 millions d’adresses. Via une adresse web (url) officiel de l’entreprise touristique, adresse proposant un numéro d’identification (ID), il suffisait de modifier ce numéro id du membre inscrit sur le portail pour accéder à l’adresse mail d’un autre inscrit. L’entreprise a été alertée par mail et Twitter. La CNIL a été saisie du problème à la vue du nombre de mails de Français concernés.

Bonjour @gitesdefrance ! Je souhaite joindre d'urgence votre équipe web pour une remonté #cybersecurite – Mes mails ne semblent pas vous arriver ! #merci @zataz – @CNIL alertée

— Damien Bancal (@Damien_Bancal) March 8, 2018

Fuite de mails : une fuite d’information fréquente

Un bug que l’on rencontre sur de nombreux sites, comme j’ai pu vous le montrer, par exemple, avec InfoGreffe ou encore Bouygues Telecom.

D’abord, si l’idée de base est louable, afficher l’adresse électronique du propriétaire dès qu’il clic sur une url est dangereux. Un lien proposé dans un courriel. Pourquoi ? Le danger apparait quand l’id de l’url peut se modifier en incrémentant, par exemple, le chiffre proposé dans l’id.

Ensuite, c’est ce problème qui est apparu pour Gîtes de France. Si « URL/ID=12345 » fournissait l’adresse mail d’un internaute A, 12346 proposait le courriel d’un internaute B, 12347, internaute C, etc. Un pirate aurait très bien pu automatiser la collecter : Un script en python, modifiant l’IP et l’ID à chaque connexion. Alertée, l’entreprise a très rapidement pris en main le problème.

Données pour les rois du scam

Pour ce qui est de ce genre d’information, une données parfaite pour les rois du scam par exemple. J’ai croisé, plusieurs fois, des propriétaires de chambres d’hôtes ou Gîtes contactés par de mystérieux futurs mariés. L’une des escroqueries consiste à envoyer un chèque pour une location. Le montant du chèque est supérieur au montant de la location. L’escroc propose de recevoir le surplus sur un compte bancaire. Bien évidement le chèque est faux, ou volé. L’hôte sera de sa poche pour rembourser la banque ! Le pirate ayant retiré le liquide plus vite que le contrôle du chèque par une institution bancaire.

Bref, autant dire que posséder le mail de « loueur », du pain béni pour les escrocs. Alertée par mail et Twitter, l’entreprise a pris en charge le problème. Pour rappel, à partir du 25 mai 2018, et la mise en action du nouveau Règlement sur les Données Privées (RGPD), les entreprises « fuiteuses » auront obligation d’alerter la CNIL et les clients concernés. Entreprises qui risqueront une amende de 2 à 4% de leur chiffre d’affaire.

Enfin, si vous souhaitez savoir si votre mail et/ou vos données fournies sur le web sont dans les mains de pirates informatiques, ZATAZ vous propose un service de veille. A la moindre découverte, une alerte dans la seconde.

Mise à jour 09/03/2018

L'équipe informatique de @Gites_De_France m'a confirmé la correction de la possibilité d'intercepter les mails des inscrits. Une action rapide et efficace. Un audit de sécurité a été programmé. @CNIL #cybersecurite @zataz @Protocole_ZATAZ https://t.co/DWH7Y3pImj

— Damien Bancal (@Damien_Bancal) March 10, 2018

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.