Orange corrige une fuite de données
Une faille informatique a pu permettre à un pirate informatique de mettre la main sur les données d’un espace Orange Business.
Orange aura été très rapide à corriger une faille informatique qui a pu permettre à un pirate de mettre la main sur des données appartenant à des internautes inscrits dans l’espace « Mobilité » d’Orange Business. D’après les informations que la rédaction de zataz.com a pu collecter auprès d’une source anonyme, au moins un pirate serait passé par cet espace numérique via une injection SQL. A-t-il pu mettre la main sur 9,500 adresses mails, ainsi que sur les identités, adresses postales, téléphones, noms de sociétés ? Nous le pensons à la lecture de données reçues à la rédaction. Dans les identités, des responsables de compte, des responsables commerciaux, des Rssi, des vendeurs responsable de comptes ou encore des adresses appartenant à des salariés travaillant pour le gouvernement français.
Les injections SQL sont les attaques les plus communes car elles sont très simples et très dangereuses. L’OWASP, entité américaine regroupant des spécialistes de la sécurité informatique, a classé les injections comme étant la seconde plaie du web. Dans un formulaire d’authentification sur un site par exemple, un pirate renseignera à la place du mot de passe une requête en langage SQL (le plus souvent, ndr). Celle-ci, si elle n’est pas bloquée, sera envoyée au serveur et lui permettra d’accéder au compte dont il a rentré l’identifiant (par exemple ‘admin’), sans avoir besoin du mot de passe. L’attaquant pourra donc potentiellement avoir accès à tous les autres comptes, donc à toute la base de données !