BFM Business

Une faille de sécurité a exposé les données de centaines de milliers de skieurs

Emmanuel Macron à La Mongie (Pyrénées), en mars 2019

Emmanuel Macron à La Mongie (Pyrénées), en mars 2019 - LAURENT DARD / AFP

INFO BFMTV - Un prestataire en charge de la vente en ligne de forfaits de ski a mal sécurisé des centaines de milliers de factures, qui affichaient de nombreuses informations personnelles.

Les fuites de données personnelles peuvent intervenir là où ne s’y attend pas, y compris sur une piste de ski. Pendant plusieurs semaines, au début de l’année 2020, près de 400.000 factures et 800.000 mails de skieurs s’étant procuré un forfait dans plusieurs stations françaises ont été librement accessibles en ligne, en raison d’une protection insuffisante par un prestataire de vente de forfaits. Avec à l’arrivée une double faille de sécurité, découverte par un “white hat”, un hacker “éthique”, alors en vacances dans l’une des stations de ski concernées.

Des factures en accès libre

Février 2020, Alexandre Pages, directeur technique de Station F et hacker à ses heures perdues, est alors au ski dans la station de Chamrousse (Isère). Il décide d’acheter un forfait en ligne sur le site officiel de la station. Après le paiement, il voit logiquement s’afficher sa facture personnelle, mais constate que le document est librement accessible en ligne. N’importe quel internaute en possession de l’URL (l’adresse Web de la facture) peut ainsi la consulter, sans avoir à renseigner d’identifiant ni de mot de passe.

Une facture en accès libre émise par la station Val Thorens
Une facture en accès libre émise par la station Val Thorens © BFMTV

Le document contient son nom, son prénom, mais également son adresse personnelle, sa date de naissance, ainsi que l’identité et la date de naissance de l’ensemble de ses accompagnants.

Autre problème, les numéros de facture se suivent, au même titre que les numéros clients. Or ces éléments sont directement utilisés dans l’URL de chaque facture - les bonnes pratiques en matière de cybersécurité veulent que les URL soient, en plus d’être protégées, générées aléatoirement. Grâce à sa propre facture, il devient alors possible de deviner le numéro de client suivant, et de modifier ce paramètre dans l’URL. En modulant ces numéros de facture directement dans le navigateur, Alexandre Pages réalise qu’il peut aisément accéder à la facture précédente ou la facture suivante.

De nombreuses stations concernées

"Pour vérifier l’ampleur de la faille, j’ai développé un programme capable de générer des identifiants clients et vérifier l’existence de factures associées. Le logiciel en a retrouvé une quinzaine en quelques minutes. Surtout, nous avons découvert que Chamrousse était loin d’être la seule station de ski touchée", explique Alexandre Pages à BFMTV.

En effet, derrière ce système à la sécurité fragile, on retrouve JB Concept, une entreprise basée à Échirolles (Isère), qui commercialise des solutions de vente en ligne de forfaits à de nombreuses stations de ski. Parmi ses clients actuels, on retrouve Megève, Val Thorens, Valmorel, ou encore Chamonix.

D’après les estimations d’Alexandre Pages, confirmées par JB Concept à BFMTV, ce sont près de 400.000 factures - remontant pour certaines à 2006 - qui auraient ainsi pu être générées et téléchargées par des hackers. Avec un risque bien plus important au début de l’année 2020, en raison de l’intégration de ces liens mal sécurisés dans des emails de confirmation envoyés aux clients.

“Le service comptabilité d’une station cliente nous a demandé d’inclure le lien de la facture dans les emails de confirmation au début de la saison. Nous avons accepté trop rapidement, c’était une erreur”, confesse Bertrand Blaise, directeur général de JB Concept, à BFMTV. Auparavant, les factures étaient envoyées sur demande, ou accessibles depuis l’espace client pour certaines stations. Ce qui limitait en partie la portée de la faille.

L’adresse mail d’Emmanuel Macron

Dans le même temps, Alexandre Pages découvre une autre faille, cette fois liée à l’interface de communication avec les infrastructures des stations clientes. Un programme destiné à transmettre les réservations en ligne à l’ensemble des bornes, et à rendre un forfait fonctionnel sur les remontées mécaniques.

En raison d’une mauvaise configuration de cette interface et d’une documentation librement accessible en ligne, ce sont cette fois les adresses mail des clients qui étaient accessibles. Au total, 800.000 personnes sont concernées, admet JB Concept à BFMTV. Parmi les données accessibles figuraient des emails professionnels de fonctionnaires du ministère de l’Intérieur, ou encore l’adresse personnelle d’un certain Emmanuel Macron.

Interrogé par BFMTV, JB Concept assure qu’en dehors des tests réalisés par Alexandre Pages - qui a depuis aidé l’entreprise à corriger l’ensemble des failles, aucune donnée n’a été dérobée par un tiers. Une promesse et une réactivité qui semble convaincre une partie de ses clients.

"Nous sommes satisfaits de l’attitude de JB Concept, qui a rapidement corrigé le problème. Cela renforce la confiance que nous avons en notre prestataire", explique Antoine Burnet, directeur commercial et marketing de la Compagnie du Mont-Blanc, à BFMTV. L’entreprise gère notamment les domaines skiables de Chamonix et Megève.

Pas de déclaration à la CNIL

Malgré l’importance de la faille, JB Concept n’a pas pris contact avec la Commission nationale de l'informatique et des libertés (CNIL), n’ayant pas constaté d’exploitation de cette faille par des hackers malveillants. Pour rappel, le RGPD, la réglementation européenne sur la protection des données personnelles, impose à toute entreprise de lui notifier une violation de données à caractère personnel sous 72 heures.

"L’enjeu est de connaître l’impact de la faille de la sécurité sur les droits de personnes concernées. S’il y a un potentiel d’utilisation et de revente de la donnée, cela constitue une violation. Si l’entreprise constate qu’il n’y a pas de vol de données et qu’elle corrige cette faille rapidement, elle peut se passer de cette déclaration", estime Me Julien Smadja, avocat associé chez DJS Avocats, spécialiste en droit des nouvelles technologies.

Selon le site de la CNIL, une violation est constituée par une perte d’intégrité ou de confidentialité des données personnelles, de manière accidentelle ou illicite. Une définition qui laisse toutefois une place à l’interprétation par la CNIL, pour peu qu’elle soit informée.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech