Lorsqu'un hacker, ou même un simple internaute, découvrent intentionellement ou non une faille de sécurité sur un site internet, ils vont le plus souvent le signaler au propriétaire de ce site.
Lorsqu'un hacker, ou même un simple internaute, découvrent intentionellement ou non une faille de sécurité sur un site internet, ils vont le plus souvent le signaler au propriétaire de ce site. Mais parfois, le propriétaire en question refuse de reconnaître qu'il y a une faille, et donc ne la corrige pas...
La RATP et la sécurité : on avance, on avance Mi-juillet, un internaute souscrivait en ligne au passe Navigo (une carte à puce équipée d'une puce RFID permettant de franchir les bornes de contrôle dans les transports en commun d'Ile-de-France sans avoir de ticket à sortir) lorsqu'il s'est rendu compte qu'une partie de son numéro de dossier apparaissait dans l'adresse (URL) de la page en question.
Il réalise alors qu'en modifiant ce numéro, il peut accéder aux données de plusieurs autres abonnés, c'est à dire les noms, prénoms, adresses, emails, numéros de téléphone ou encore photos des personnes en question, sans qu'aucun mot de passe ne lui soit demandé. Il signale donc la faille en question à la RATP, la société de transport qui propose cette carte sur son site internet, ainsi qu'à Comutitres le groupe qui gère l'ensemble des titres de transport proposés en Ile-de-France.
Oui mais voilà, la RATP refuse de reconnaître qu'une faille est présente sur son site internet, et n'apporte que pour seule réponse la suppression des fiches que cet internaute a envoyées pour prouver l'existence de la faille.
Ne sachant plus que faire et ne souhaitant pas laisser cette faille en place car conscient du danger que cela représente, il se tourne alors vers l'association de consommateurs UFC Que-Choisir, qui signale à son tour le problème à la RATP. C'est seulement alors que la partie du site consacrée à la demande d'un passe Navigo aurait été fermée.
Et pendant ce temps, rien ne dit qu'une personne malveillante n'a pas pu se rendre également compte de l'existence de cette faille et récupérer ces données à l'insu des personnes concernées...
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Signaler un problème avec ce contenu
Commentaires
Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?