Passer au contenu

Une faille béante corrigée sur le site du premier opérateur de parkings publics

L’opérateur EFFIA laissait accessible plusieurs centaines de milliers de factures sur son site. Une manne d’informations privées appartenant aux clients qui auraient pu largement servir dans une escroquerie à grande échelle.

L’entreprise Effia ne vous dit peut-être rien. Ses parkings pour voitures et autres deux roues, par contre, vous sont en revanche certainement familiers. Cette société est le leader du stationnement en gare SNCF. Effia travaille aussi avec plus de 140 collectivités locales. Sa mission : la gestion d’espace de stationnement, un élément devenu stratégique dans les villes. Effia, via son site Internet Resaplace.com permet de réserver dans plus de 260 parkings, dont ceux qui ont servi lors du Mondial de l’automobile. Ce ne sont pas moins de 10 millions de véhicules accueillis par an et plus de 21000 abonnés. A partir du site Resaplace, vous choisissez la ville, la date, la durée, vous rentrez vos informations personnelles et le tour est joué. La place de parking est à vous. Le site vous communique ensuite votre facture, sous forme d’un PDF téléchargeable à partir d’un lien.

Oui mais voilà : Il y a encore quelques jours, le portail de réservation laissait en accès libre les documents liés aux transactions entre Effia et ses utilisateurs. Il suffisait de modifier le numéro de la facture proposée dans l’adresse Internet fourni par le loueur. Une URL qui affichait un fier https (s, comme sécurisé !). Cette modification très simple permettait de tomber nez-à-nez avec la facture d’un autre client. Un petit manège qui pouvait se reproduire des centaines de milliers de fois. Lors de notre constatation, la fuite révélait… plus de 500.000 factures.

Des données idéales pour une campagne de phishing

Du pain bénit pour un escroc qui pouvait ainsi découvrir l’identité des usagers, leurs adresses, leurs déplacements, leur numéro de client. Heureusement, aucune donnée bancaire n’était accessible. Il en fallait cependant beaucoup moins à un pirate informatique pour mettre en place un piège aux couleurs d’Effia. Imaginez une fausse promotion à destination des potentielles victimes : à coup sûr, elles seraient tombées dans le panneau et auraient fourni leurs informations bancaires.

Alertée par la rédaction, l’entreprise a été exemplaire dans sa correction « Nous avons mis en ligne un patch correctif, souligne la direction marketing d’Effia. Un audit de la part de notre hébergeur a été effectué pour constater qu’il n’y avait pas eu de téléchargement massif de factures. Notre correspondant CNIL n’a pas jugé nécessaire au vu de ces éléments d’alerter la CNIL. » Exemplaire, mais il aurait été bon, cependant, d’avertir les utilisateurs. Pour le moment dans l’Hexagone, les entreprises, sauf les fournisseurs d’accès à l’Internet, ne sont pas tenues d’informer les clients lors d’une fuite de données. Cela devrait changer d’ici 2016 avec l’entrée en vigueur d’une loi Européenne, histoire de permettre aux victimes de prêter attention à d’éventuelles sollicitations douteuses réalisées à partir de leurs données volées ou perdues.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Damien Bancal