Ce n’est pas toujours des hackers chevronnés qui découvrent des failles de sécurité informatiques. Parfois, des internautes à peine plus dégourdis que la moyenne compromettent la sécurité des données confidentielles de grandes sociétés comme SFR ou EDF.
Il suffisait d’être client de SFR Business Team, le service de téléphonie mobile réservé aux entreprises, pour accéder aux données confidentielles des autres abonnés de ce service. Cela fait pas mal de monde, et même du beau monde, puisqu’on y trouve de grandes sociétés, certaines œuvrant dans des domaines « sensibles », mais aussi quelques administrations et même des services de renseignement.
C’est un peu par hasard qu’un jeune internaute, qui disposait, par relation familiale, un compte SFR Business, est parvenu à franchir toutes les barrières en quelques simples clics. Un site spécial permet à tout abonné de consulter ses factures, actuelles ou passées, de vérifier les communications et les appels des différents portables figurant sur ce compte professionnel, avec le nom des utilisateurs et leur numéro. Pour se connecter, il faut montrer patte blanche, en fournissant un identifiant et un code d’accès. Mais tout se gâte lorsque notre internaute a l’idée de modifier un chiffre dans le numéro de la facture qu’il consulte. Et de demander à l’ordinateur de l’afficher. Sans broncher, et sans exiger le moindre mot de passe, le système, en principe hautement sécurisé, s’exécute : les informations d’un autre abonné s’affichent sur l’écran.
Vous l’aurez deviné, une tranquille et indiscrète balade devient possible. Le pirate peut consulter et, si ça lui chante, télécharger toute la facturation depuis des années. Pas de difficultés pour passer au peigne fin les communications détaillées de chaque portable et découvrir les numéros de quelques personnalités, piquées au hasard. C’est d’ailleurs ainsi que l’internaute découvreur de cette faille, a mis brutalement fin à son exploration. Il est tombé sur les numéros, les utilisateurs et les factures d’un service de renseignement. Un coup à se retrouver en prison avant d’avoir eu le temps de s’expliquer. Il a demandé au site spécialisé dans la sécurité informatique « zataz.com » d’alerter SFR.
La société a pris les choses très au sérieux, et mis aussitôt ses informaticiens au boulot. En moins de vingt-quatre heures, la faille était colmatée. Impossible désormais de jouer aux ballades numériques dans les bases de données. Mais impossible également d’être sûr que personne, avant ce jeune internaute, n’a profité de ce défaut, avec de moins nobles attentions. Dans plusieurs pays européens, comme le Royaume-Uni, l’Allemagne et l’Autriche, la loi oblige tout gestionnaire d’une base de données à avertir ses clients d’une fuite possible. En France, une semblable proposition de loi prend la poussière dans un tiroir de l’Assemblée nationale. Dernière chose sur le cas SFR, les clients n’ont évidement pas été informé de cette affaire.
Voltage inquiétant sur fichier
Quelques dizaines de milliers de messages de divers demandes et réclamations des abonnées, envoyées par courriel à EDF, sont accessibles en quelques clics sur la Toile. Pas dramatique sans doute, mais indiscret et désagréable pour ceux qui croyaient écrire en toute confidentialité. Un journaliste-internaute est tombé sur ces correspondances à l’occasion d’une simple recherche sur les énergies renouvelables. A partir d’une page proposée par Google, il a pu accéder à des centaines de répertoires, laissés sans aucune protection. Il aurait fallu des semaines pour tout explorer tellement c’était important. Des informations et des bases de données en principe protégées, sont ouvertes à tous, dont une partie du fichier des clients d’EDF. Ce qui ne pose pas seulement un problème de protection de la vie privée, mais pourrait aussi constituer un désastre économique. Car tout fichier a une valeur marchande, et celui d’EDF, considéré comme particulièrement fiable, est un trésor sur le marché noir. Il est impensable de le laisser traîner, même en partie…
Après enquête, la direction d’EDF explique que ces données ont été confiées à une société extérieure, simple prestataire de services, qui devait développer des sites Internet. Pour l’y aider, EDF lui avait fourni une partie de son fichier et des milliers de correspondances privées. L’erreur de ce prestataire ne semble pas émouvoir plus que ça. Mise au courant, la direction de la communication d’EDF conserve « toute sa confiance » à cette société. Et elle n’a pas davantage l’intention d’informer la commission nationale de l’Informatique et des Libertés.
Aucun commentaire:
Enregistrer un commentaire