Plus de peur que de mal. Des centaines de milliers de contrats de services clients de Bouygues Telecom étaient accessibles en ligne. Alerté, l’opérateur a très vite bouché la brèche.
C’est via le protocole d’alerte mis en place par le site Zataz, nos confrères spécialistes dans la sécurité informatique, que Bouygues Telecom a eu connaissance du problème. Lorsqu’un client souhaitait récupérer un document administratif, le site de l’opérateur générait un lien vers un PDF (qui donc contenait toutes les informations personnelles du client, nom, adresse mail et postale, numéro de téléphone, etc.).
L’URL en question contenait un numéro correspondant au document demandé, en remplaçant ou en modifiant sensiblement ce numéro il était possible d’avoir accès aux documents d’autres clients et donc à l’ensemble de leurs données personnelles qui y figuraient.
“Chaque url proposant le PDF affichait le numéro du document généré. Si 12345 fournissait le PDF du contrat d’un client A, 123 proposait l’internaute B, 12347, un Français C, etc. Ainsi, un pirate aurait très bien pu automatiser la collecter. Avec un script en python modifiant l’IP et l’ID à chaque connexion, par exemple” explique Damien Bancal, le fondateur de Zataz.com.
Très rapidement après en avoir eu connaissance, Bouygues Telecom a corrigé le tir et la faille n’était plus exploitable. Par chance aucun numéro de cartes bancaires n’était accessible via cette manoeuvre et aucun pirate n’a pu exploiter le problème avant l’alerte Zataz.
Nouvelle mise à jour des Freebox Server, avec une nouveauté qui pourra être utile pour…
Si le mariage n'est pas acté, un rapprochement se profile entre France Bleu et les…
Univers Freebox traite de l’actualité de Free et des télécoms et a toujours été un…
Si vous êtes fans de littérature ou de la dernière série Disney+, Free et la…
L'opérateur annonce avoir recruté 81 000 nouveaux abonnés fixe et 170 000 sur le mobile…
Face aux nombreuses victimes de la cyberattaque de Free, un formulaire en ligne devait être…