Les données de clients de la RATP en libre accès
Le par
Mathieu M.
| 41 commentaire(s)
Lorsqu'un hacker, ou même un simple internaute, découvrent intentionellement ou non une faille de sécurité sur un site internet, ils vont le plus souvent le signaler au propriétaire de ce site.
Lorsqu'un hacker, ou même un simple internaute, découvrent intentionellement ou non une faille de sécurité sur un site internet, ils vont le plus souvent le signaler au propriétaire de ce site. Mais parfois, le propriétaire en question refuse de reconnaître qu'il y a une faille, et donc ne la corrige pas...
La RATP et la sécurité : on avance, on avance
Mi-juillet, un internaute souscrivait en ligne au passe Navigo (une carte à puce équipée d'une puce RFID permettant de franchir les bornes de contrôle dans les transports en commun d'Ile-de-France sans avoir de ticket à sortir) lorsqu'il s'est rendu compte qu'une partie de son numéro de dossier apparaissait dans l'adresse (URL) de la page en question.
Il réalise alors qu'en modifiant ce numéro, il peut accéder aux données de plusieurs autres abonnés, c'est à dire les noms, prénoms, adresses, emails, numéros de téléphone ou encore photos des personnes en question, sans qu'aucun mot de passe ne lui soit demandé. Il signale donc la faille en question à la RATP, la société de transport qui propose cette carte sur son site internet, ainsi qu'à Comutitres le groupe qui gère l'ensemble des titres de transport proposés en Ile-de-France.
Oui mais voilà, la RATP refuse de reconnaître qu'une faille est présente sur son site internet, et n'apporte que pour seule réponse la suppression des fiches que cet internaute a envoyées pour prouver l'existence de la faille.
Ne sachant plus que faire et ne souhaitant pas laisser cette faille en place car conscient du danger que cela représente, il se tourne alors vers l'association de consommateurs UFC Que-Choisir, qui signale à son tour le problème à la RATP. C'est seulement alors que la partie du site consacrée à la demande d'un passe Navigo aurait été fermée.
Le site est aujourd'hui toujours fermé, et il faut donc se tourner vers les autres dépositaires agréés par la RATP.
Et pendant ce temps, rien ne dit qu'une personne malveillante n'a pas pu se rendre également compte de l'existence de cette faille et récupérer ces données à l'insu des personnes concernées...
La RATP et la sécurité : on avance, on avance
Mi-juillet, un internaute souscrivait en ligne au passe Navigo (une carte à puce équipée d'une puce RFID permettant de franchir les bornes de contrôle dans les transports en commun d'Ile-de-France sans avoir de ticket à sortir) lorsqu'il s'est rendu compte qu'une partie de son numéro de dossier apparaissait dans l'adresse (URL) de la page en question.
Il réalise alors qu'en modifiant ce numéro, il peut accéder aux données de plusieurs autres abonnés, c'est à dire les noms, prénoms, adresses, emails, numéros de téléphone ou encore photos des personnes en question, sans qu'aucun mot de passe ne lui soit demandé. Il signale donc la faille en question à la RATP, la société de transport qui propose cette carte sur son site internet, ainsi qu'à Comutitres le groupe qui gère l'ensemble des titres de transport proposés en Ile-de-France.
Oui mais voilà, la RATP refuse de reconnaître qu'une faille est présente sur son site internet, et n'apporte que pour seule réponse la suppression des fiches que cet internaute a envoyées pour prouver l'existence de la faille.
Ne sachant plus que faire et ne souhaitant pas laisser cette faille en place car conscient du danger que cela représente, il se tourne alors vers l'association de consommateurs UFC Que-Choisir, qui signale à son tour le problème à la RATP. C'est seulement alors que la partie du site consacrée à la demande d'un passe Navigo aurait été fermée.
Le site est aujourd'hui toujours fermé, et il faut donc se tourner vers les autres dépositaires agréés par la RATP.
Et pendant ce temps, rien ne dit qu'une personne malveillante n'a pas pu se rendre également compte de l'existence de cette faille et récupérer ces données à l'insu des personnes concernées...
Complément d'information
-
Les logiciels proposés gratuitement sont généralement financés par l'affichage de publicité, mais certains ont une technique plus sournoise. C'est le cas de certains clients Mail gratuits proposés sur Mac. -
La CNIL sanctionne le défaut de protection de certaines données des clients B&You constaté en début d'année et impose une amende à Bouygues Telecom.
Vos commentaires Page 1 / 5
D'habitude, UFC aime bien lancer des procès, ça m'étonne qu'ils n'ont fait qu'avertir alors qu'il y avait délibérément de la négligence... en gros, elle sert à rien cette loi "informatique et libertés"....
Et puis bon, franchement ça sert à quoi de faire un procès dans ce cas là '
Le mec qu'a fait ça est surement déjà viré, euh pardon promut (fonction publique oblige), le site est fermé/ Alors ca sert à quoi de faire un procès ' Juste à gagner des brouzoufs ' Quelle belle mentalité !
Mais ils ont quoi dans la tete les gars qui ont développé le site '
Encore un exemple non pas de faille informatique, mais de faille humaine.
C'est exactement ça. Tu lances un appel d'offres pour la réalisation, et le vainqueur est celui qui a les + beaux slides powerpoint avec le moins d'?uros sur la dernière page.
Bien entendu, les décideurs dès qu'il faut payer une prestation sont tout sauf des personnes sensibles aux NTIC (en advanced).
Résultat : ils n'admettent même pas leur co...... et seule la peur de la Une du JT de PPDA les fait plier. Merci l'UFC quand même ...
Et en plus ils se planquent et refusent d'admettrent leurs responsabilités ' Mais pourquoi l'UFC n'attaque t il pas l'état moi je dirai, c'est d'une évidence. Ha si les classes actions etaient possible, je comprends que les élus ai peur qu'on puisse pointé leurs incompétences et leurs corruptions.
La fermeture du site ' C'est déjà fait !
Virer le responsable ' C'est surement déjà fait ...
Rayer l'entreprise sous-traitente de la lsite des partenaires ' PAreil !
Faire en sorte que ça se reproduise pas à la RATP ' PAREIL !
La seule chose que ça peut rapporter, c'est de la THUNE.
Or la seule chose qu'UFC a voulu faire c'est que ça se reproduise pas. Ca s'appelle rendre service ... Mais apparemment, rendre service n'est pas une expressio nde ton vocabulaire.
Honnètement, en l'état ca ne sert absolument à rien de porter plainte.
En revanche, s'il s'avère que la publication des données a causé des dommage,s laors ok, portons plainte pour exiger réparation. Mais en l'état, franchement, aucune utilité ...
Des nuls de première.
Heureusement que je n'habite pas Paris